Discussion :

[GillesV]

Bonjour,
Des fonctions très pratiques pour hasher et comparer les mots de passe existent sous PHP5.5 mais je suis sous PHP5.4.
La fonction crypt() fonctionne et je compte l'utiliser de la façon suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$user_input = 'mypassword'; // vient normalement du $_POST['mdp']
$mdp_en_bdd = '$1$sD0.F1/.$smvGb4Kn.Pz8xa3WTlRVY1'; // hash enregistré dans la BDD
$hashed_password = crypt($user_input);
if ($mdp_en_bdd === crypt($user_input, $mdp_en_bdd)) {
   echo "Mot de passe correct !";
} else {
   echo "PB";
}

Je constate que ça marche mais j'ai plusieurs remarques :
- ce code est-il bel et bien sécurisANT ?
- j'utilise crypt() à deux reprises, une fois avec un seul argument, et une fois avec deux arguments ; je ne comprends pas le second argument (sa présence, son rôle)
- j'ai essayer de comprendre les sels, mais rien n'est clair pour moi (serait-ce d'ailleurs le second argument ?)
- Je ne trouve rien sur le web avec "crypt+PHP5.4" ; suis-je si seul que cela à avoir ce problème, ou tout du moins ce besoin ?
Par avance merci pour vos expertises.
Gilles

[sabotage]

Un article sur le sujet :
http://grunk.developpez.com/tutoriel...-securises/#LV

[Tsilefy]

N'essaie pas de faire de la crypto si tu n'as pas les connaissances pour. S'il y a un domaine où il ne faut pas faire d'à peu près, c'est bien celui-là.

Utilise la librairie password_compat qui te permet de disposer des password_hash() et password_verify sur PHP 5.4

[GillesV]

OK, j'ai testé la lib "password_compat" avec ce code qui donne de bons résultats (ça marche) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
require "password_compat.php"; // appel de la librairie "password_compat"
$password = 'coco';
$hash = password_hash($password, PASSWORD_DEFAULT, array('cost'=>14));
$hash2 = '$2y$14$NgGwL4ZhVmLPuPOHmySa6uc/ReqgGzNSDzKELY1kALBJIvQ.8VGFm'; // le hash de coco
if (password_verify($password, $hash2)) {
    echo "OK";
} else {
    echo "PAS OK";
}

Quelques questions :
- avec password_hash(), je n'ai pas besoin de stocker le sel quelque part ; vrai ?
- il est judicieux de définir le coût sois-même ; vrai ?
- un VARCHAR(60) en BDD est bien ou faut prévoir un peu plus ?
- j'ai intérêt à remplacer PASSWORD_DEFAULT par CRYPT_BLOWFISH. ; vrai ?
Merci.

Lien utile : http://blog.pascal-martin.fr/post/ph...-de-passe.html

[Tsilefy]

Quelques questions :
- avec password_hash(), je n'ai pas besoin de stocker le sel quelque part ; vrai ?

Vrai. Le sel est stocké avec le hash du mot de passe.

- il est judicieux de définir le coût sois-même ; vrai ?

Tout dépend de la valeur que tu mets :-) Plus la valeur est élevée, mieux c'est, mais plus ça prends du temps et demande des ressources

- un VARCHAR(60) en BDD est bien ou faut prévoir un peu plus ?

Si tu choisis PASSWORD_DEFAULT comme algorithme, la doc conseille de prévoir 255 caractères, tout simplement parce que dans des futures versions d'autres algorithmes seront peut-être utilisés, et ça entraînera peut-être une augmentation de la longueur du hash.

- j'ai intérêt à remplacer PASSWORD_DEFAULT par CRYPT_BLOWFISH. ; vrai ?

Faux. Pour le moment, PASSWORD_DEFAULT est égal à PASSWORD_BCRYPT (qui utilise CRYPT_BLOWFISH), donc il n'y a pas d'intérêt particulier. En le laissant à PASSWORD_DEFAULT, tu profiteras automatiquement d'un meilleur algorithme le jour où il sera ajouté. Et pas de souci pour les hash déjà stockés: chaque hash contient l'algorithme utilisé, donc password_verify() fonctionnera sans problème.

[GillesV]

Deux choses à dire :
1) Je mets VARCHAR(255)
2) merci à tous.

[ABCIWEB]

Salut,

Pour le cost tu peux t'inspirer de l'exemple 4 de la fonction password_hash et l'adapter pour crypt pour trouver les meilleures valeurs pour ton serveur.
Tu peux aussi choisir un coût différent suivant les utilisations, par exemple standard pour un forum ou espace public et très élevé pour une partie admin car dans ce dernier cas même si le serveur rame un peu ce n'est pas important puisqu'il ne sera pas souvent sollicité.

[GillesV]

Mon site web est une application (un cloud computing) qui est nécessairement accessible par une page d'identification.
En local chez moi, la fonction de recherche du coût idéal me donne 9 ; je laisserais bien 14, mais je me demande si ça peut générer un effondrement du serveur (une fois en prod) en cas de (trop) nombreuses connexions sur un temps donné (je suis actuellement sur un mutualisé), ou si certains vont devoir patienter plus de quelques secondes, ce qui n'est pas génial...

[ABCIWEB]

Et pourquoi ne fais-tu pas le test en conditions réelles d'utilisation, c'est à dire sur ton serveur mutualisé ?