Wiki SIO Chaptal

Outils pour utilisateurs

Outils du site

Piste :
bloc3:secure-passwords

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
bloc3:secure-passwords [2024/07/11 14:53] – [Hachage des mots de passe] adminbloc3:secure-passwords [2026/01/19 11:07] (Version actuelle) – [Salage des mots de passe] admin
Ligne 24: Ligne 24:
   * Mémoriser les mots de passe sous leur seule forme hachée ;   * Mémoriser les mots de passe sous leur seule forme hachée ;
   * Pour l'authentification, <color blue>ne JAMAIS utiliser SQL pour comparer le mot de passe saisi avec celui stocké en base de données</color>. Le risque est d'amener le mot de passe en clair dans le SGBD où il sera enregistré dans les Logs ;   * Pour l'authentification, <color blue>ne JAMAIS utiliser SQL pour comparer le mot de passe saisi avec celui stocké en base de données</color>. Le risque est d'amener le mot de passe en clair dans le SGBD où il sera enregistré dans les Logs ;
-  * Dans le cas général, pour l'authentification, comparer dans le langage de programmation le mot de passe saisi et fraichement haché avec le mot de passe haché stocké en base de données ; +  * Dans le cas général, pour l'authentification, <color blue>comparer dans le langage de programmation le mot de passe saisi et fraichement haché avec le mot de passe haché stocké en base de données</color> 
-  * Une variable qui mémorise un mot de passe en clair doit avoir une durée de vie la plus courte possible. Ce qui signifie que la donnée doit être explicitement détruite ou effacée au plus vite.+  * <color blue>Une variable qui mémorise un mot de passe en clair doit avoir une durée de vie la plus courte possible</color>. Ce qui signifie que la donnée doit être explicitement détruite ou effacée au plus vite.
  
  
  
 ==== Salage des mots de passe ==== ==== Salage des mots de passe ====
-Le hachage des mots de passe a beau être un procédé à haut niveau de sécurité lorsqu'il est convenablement mis en place (non-réversibilité, taille du hash-code élevée, algorithme lent, etc.), il n'en reste pas moins que l'ensemble comporte une fragilité particulière dans l'hypothèse du vol d'une base de données complète. Dans ce cas, un individu malveillant disposant de beaucoup de temps et d'un outillage spécialisé (**tables arc-en-ciel**) pourrait compromettre de nombreux mots de passe en s'appuyant sur l'homogénéité du hachage appliqué.+Le hachage des mots de passe a beau être un procédé à haut niveau de sécurité lorsqu'il est convenablement mis en place (non-réversibilité, taille du hash-code élevée, algorithme lent, etc.), il n'en reste pas moins que l'ensemble comporte une fragilité particulière dans l'hypothèse du vol d'une base de données complète. Dans ce cas, un individu malveillant disposant de beaucoup de temps et d'un outillage spécialisé (**tables arc-en-ciel**) pourrait compromettre de nombreux mots de passe en s'appuyant sur l'application homogène du hachage.
  
 Pour contrer cette capacité, on appliquera un **salage** des mots de passe. Le [[https://fr.wikipedia.org/wiki/Salage_%28cryptographie%29|salage]] consiste à ajouter une information aléatoire (le sel) au mot de passe avant son hachage. __Le sel étant variable d'un hachage à l'autre, on aura un hash-code différent pour le hachage du même mot de passe à deux moments différents__. Dans, ce cas, les tables arc-en-ciel deviennent inopérantes. \\ \\  Pour contrer cette capacité, on appliquera un **salage** des mots de passe. Le [[https://fr.wikipedia.org/wiki/Salage_%28cryptographie%29|salage]] consiste à ajouter une information aléatoire (le sel) au mot de passe avant son hachage. __Le sel étant variable d'un hachage à l'autre, on aura un hash-code différent pour le hachage du même mot de passe à deux moments différents__. Dans, ce cas, les tables arc-en-ciel deviennent inopérantes. \\ \\ 
bloc3/secure-passwords.1720702437.txt.gz · Dernière modification : de admin