supinfotraining

Stocker les mots de passe

Next page »

Rappelons que les problèmes de sécurité informatique sont à deux niveaux :

  • utilisateur final
  • administrateur


Alors que les règles de sécurité sur les mots de passe complexes commencent à se répandre, si les administrateurs ne respectent pas les règles de sécurité élémentaires le Web sera encore et toujours un lieu "unsecure".

Nous allons voir pourquoi il ne faut pas stocker les mots de passe en clair, les risques que cela peut engendrer et les alternatives du stockage en clair.

Next page »

Ajouter un commentaire








Commentaires

Jeremie
19/05/10


L'article est vieux, mais au cas où quelqu'un tomberais dessus : Non seulement il convient de hasher ses mots de passe avec une fonction robuste (SHA-1, 256, 512, ...) mais il faut conjointement renforcer ce hash pour le rendre impossible à cracker via les hash-table ou le bruteforce. La technique est d'ajouter un "grain de sel" à chaque mot de passe avant de la hasher, un grain de sel différent pour chaque utiliasteur sera grandement apprécié ! Le grain de sel peut être un chaîne aléatoire, cela peut aussi être une information comme la date d'inscription du membre, qui change à chaque inscription et est persistante. Au final on calcul le hash comme ceci : hash = sha1(grain_de_sel + mot_de_passe)