Discussion :

[scamphp]

Bonjour

Toujours en phase découverte... si j'ai bien compris le hachage des mots de passe ne sert qu'en cas de vol des données pour éviter de l'on puisse découvrir les mots de passes de tous le monde...

Donc les hachages sont unidirectionnel (théoriquement) sauf que se développe des dictionnaires inversé....

Partant de là, au fil des années les hachages sont de plus en plus inversable rapidement... avec l'évolution du matériel (calcul)... et de temps en temps de nous nouveau mode de hachage se développent : mdr5 -> sha1 -> sha2 -> sha3 -> ???


Cela veut il dire que si l'on prend une méthode de hachage on sera condamné à rester sur son utilisation sans pouvoir évoluer... je hache en md5 dans 2 ans, il n'est plus fiable découverte de je en sais pas quoi ou invention d'un super cpu... blabla bla

Cela veut dire que je ne peux pas passer sur le nouveau SHA10 (version 2053) qui n'existe pas encore mais qui sera à la mode dans 2 ans lol.

Ou faut-il favoriser l'encryptage openssl réversible.

[rawsrc]

Salut,

règle archi-simple : les mots de passe ne doivent jamais être lisibles ou récupérables que cela soit par l'utilisateur ou par le prestataire.
Tu dois mettre en place un mécanisme sécurisé de recréation de mot de passe oublié (par sécurisé : via code SMS, mail, app sur le téléphone portable, questions secrète, limite de validité du lien très forte...).

PHP fait toute la cuisine pour toi : regarde par ici

[yildiz-online]

Bonjour

Cela veut dire que je ne peux pas passer sur le nouveau SHA10 (version 2053) qui n'existe pas encore mais qui sera à la mode dans 2 ans lol.

Non, mais tu dois indiquer un identifiant pour l'algo utilisé, si un utilisateur entre son mdp et que l'algo est périmé, tu valide le mdp avec l'ancien algo, tu recalcules un hash avec le nouvel algo depuis le mdp qu'a fourni l'utilisateur et tu changes l'identifiant du hash vers le nouvel algo.

Transparent pour l'utilisateur, sécurisé, et évolutif.

[Celira]

Cela veut il dire que si l'on prend une méthode de hachage on sera condamné à rester sur son utilisation sans pouvoir évoluer...

Fondamentalement, rien ne t'empêche de changer de méthode de hachage. Il faut juste changer le code qui hache et celui qui fait la vérification par rapport au hash. Normalement, c'est relativement limité comme impact sur le code : d'un côté, l'inscription d'un nouvel utilisateur et la fonctionnalité de changement de mot de passe et de l'autre, l'authentification d'un utilisateur.

Le principal problème, c'est que tous les mots de passe de la base deviennent alors obsolètes. Il faut donc mettre en place une procédure pour demander à tous tes utilisateurs de changer leur mot de passe tout en conservant l'ancienne méthode le temps que le mot de passe doit mis à jour.

[grunk]

Des hash comme bcrypt sont également évolutif avec la puissance de calcul.
On peut leur donner un nombre de "round" à effectuer pour générer un hash. Plus ce nombre est élevé plus la génération est longue.

[scamphp]

Le principal problème, c'est que tous les mots de passe de la base deviennent alors obsolètes. Il faut donc mettre en place une procédure pour demander à tous tes utilisateurs de changer leur mot de passe tout en conservant l'ancienne méthode le temps que le mot de passe doit mis à jour.

tu dois indiquer un identifiant pour l'algo utilisé, si un utilisateur entre son mdp et que l'algo est périmé, tu valide le mdp avec l'ancien algo, tu recalcules un hash avec le nouvel algo depuis le mdp qu'a fourni l'utilisateur et tu changes l'identifiant du hash vers le nouvel algo.

Voila parfait tout est dit...

Merci à tous

[Celira]

tu dois indiquer un identifiant pour l'algo utilisé, si un utilisateur entre son mdp et que l'algo est périmé, tu valide le mdp avec l'ancien algo, tu recalcules un hash avec le nouvel algo

En fait, si tu haches en utilisant la fonction de php password_​hash, il y a une fonction native pour déterminer si le hash doit être recalculé : password_​needs_​rehash (*)

(*) ils sont forts chez PHP, ils ont anticipé le problème

[yildiz-online]

J'espère trouver l'équivalent en java sinon je ne pourrais plus me moquer de mes camarades phpistes