Bonjour,
je voudrais juste savoir laquelle de ces deux fonctions il vaut mieux utiliser, et surtout pourquoi
voilà, merci bien
Hayabusa
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] crypt ou md5 ?
Bonjour,
je voudrais juste savoir laquelle de ces deux fonctions il vaut mieux utiliser, et surtout pourquoi
voilà, merci bien
Hayabusa
La reponse est : ca depend pourquoi. s'il s'agit de stocker des mots de passe dans une BDD (ce que je suppose sinon la question ne se poserait pas), alors sans hesiter il faut utiliser md5, meme s'il y a une possibilité que cette reponse vire au troll. Si tu confirmes qu'il s'agit bien de cela, je developpes. sinon, je corrige !
c'est effectivement pour stocker un mot de passe dans un BDD
Ok, en gros l'argument principal pour utiliser crypt est : ca permet a l'utilisateur de recuperer son mot de passe s'il en a oublié un. Ce a quoi on repondra : s'i oublie son mot de passe, on lui en envoie un par mail choisi aleatoirement, et on lui permet de le changer pour en remettre un qu'il aime bien.
Le premier argument pour ne pas utiliser crypt : en terme de securité, tout ce qui n'est pas reellement utile doit etre interdit. vu qu'il n'est a priori pas reellement utile de pouvoir decrypter le mot de passe, autant utiliser une methode qui rend ce decryptage materiellement impossible. Apres, il y a d'autre raison annexe. La taille d'un md5 est fixe, meme si tu autorise (ce qui est une bonne chose) des mots de passe arbitrairement long, ce que tu stocke dans ta base a une taille fixée une fois pour toute, ce qui est pratique. si un vilain pirae reussit a avoir acces a ta base, peut etre qu'il est aussi capable d'afficher ton code php, et donc de recuperer le mot de passe utilisé par crypt, et donc de recuperer tous les mots de passe. ou il peut attaquer les mots de passe crypté par brute force pour les retrouver. Si par une (tres improbable, Ok) erreur de manip tu perdais la cle que tu utilises, ca te mettrait dans une sale situation. accessoirement, je me demande si le cryptage n'est pas plus couteux en temps e calcul, meme si c'est negligeable. on pourrait aussi avancer une raison ethique : tu n'es a priori pas censé etre en mesure de lire les mots de passe de tes utilisateurs.
si tu veux qqchose de plus solide que md5, utilise sha-1, voire sha-256, mais reste dans la fonction de hashage. si tu veux augmenter le niveau de securité, utilise un "sel" généré aleatoirement que tu concatene au mot de passe avant de le hacher, et que tu stocke a coté du mot de passe. en gros :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
ok, un grand merci pour ta réponse
EDIT : non c'est bon j'ai rien dit j'ai la solution : sel = 4 caractères
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager