Hachage, salt et open-source ?
Posté : 25 juin 2013, 10:48
Bonjour 
Je travail sur un petit projet PHP qui sera open-source. Donc tout le monde pourra voir le code source.
Dans ce projet j'intègre un espace membre. Je dois donc stocker les identifiants en toute sécurité dans ma base de données dans le cas où cette dernière se ferait hacker. Dans ce but, je stocke les mots de passes hachés (SHA-1) et non en clair.
Et pour éviter les rainbow tables et les brute force, j'ajoute des salts (grains de sels). Tout comme la majorité des développeurs web, je pense.
Par conséquent, les salts que j'utilise seront visibles pour n'importe qui, et donc le brute force sera possible pour ceux qui mettent des mots de passes simples. Enfin, toujours dans le cas où quelqu'un réussirait à accéder à ma base de données.
Ces grains de sels (salts) ajoutés aux mots de passes avant d'être hachés auront moins d’efficacité.
Avez-vous une idée de comment ça se passe dans ce cas là pour les projets open-sources ?
Merci de votre aide.
Je travail sur un petit projet PHP qui sera open-source. Donc tout le monde pourra voir le code source.
Dans ce projet j'intègre un espace membre. Je dois donc stocker les identifiants en toute sécurité dans ma base de données dans le cas où cette dernière se ferait hacker. Dans ce but, je stocke les mots de passes hachés (SHA-1) et non en clair.
Et pour éviter les rainbow tables et les brute force, j'ajoute des salts (grains de sels). Tout comme la majorité des développeurs web, je pense.
sha1($saltPrefix.$password.$saltSuffix);Par conséquent, les salts que j'utilise seront visibles pour n'importe qui, et donc le brute force sera possible pour ceux qui mettent des mots de passes simples. Enfin, toujours dans le cas où quelqu'un réussirait à accéder à ma base de données.
Ces grains de sels (salts) ajoutés aux mots de passes avant d'être hachés auront moins d’efficacité.
Avez-vous une idée de comment ça se passe dans ce cas là pour les projets open-sources ?
Merci de votre aide.