Discussion :

[Fngonka]

Bonjour à Tous.

Pour une meilleure sécurité dans mon application j’aimerais crypter les mots de passe de mes utilisateurs avant de les stocker. De sorte à respecter la confidentialité du mot de passe. Apres plusieurs jours de recherche sur le net j’ai découvert MD5 et SHA2, j’aimerais donc savoir comment m’en servir sur ma page d’authentification.

Toute indication susceptible de me mettre sur la bonne voie serait la bienvenue parce que j’ai tellement lu dessus que je suis un peu perdu je ne sais même plus par ou commencer.

Merci à tous.

[tomlev]

il y a plein d'exemples dans le forum, fais une petite recherche avant de poster

[getz85]

Y'a même les fonctions toutes faites sur le msdn :

http://msdn.microsoft.com/fr-fr/libr...d5(VS.80).aspx

[Fngonka]

Y'a même les fonctions toutes faites sur le msdn :

http://msdn.microsoft.com/fr-fr/libr...d5(VS.80).aspx

Merci pour ce lien. J'ai pourtant passé beaucoup de temps à essayer de comprendre MD5 sur msdn et je ne suis pas tombé sur une page aussi explicite. Merci encore

[Gunny]

Perso je préfère la solution Javascript pour la sécurité. En utilisant une fonction côté serveur, le mot de passe va transiter en clair sur le réseau (entre l'utilisateur et le serveur), donc pas top.

[flogreg]

Perso je préfère la solution Javascript pour la sécurité. En utilisant une fonction côté serveur, le mot de passe va transiter en clair sur le réseau (entre l'utilisateur et le serveur), donc pas top.

c'est quoi la solution javascript ? Si c'est en javascript, tu as accès au code source donc tu peux le décrypter aussi non ?

[Gunny]

Tu fais crypter le mot de passe côté client, par un script javascript (ça se trouve facilement sur google). Les algorithmes comme le MD5 (même si ce n'est plus très vrai maintenant) ou SHA-256 ne fonctionne que dans un sens : on peut crypter mais pas décrypter.

Comme ça, par exemple, tu stockes dans ta base de données les mots de passe ainsi cryptés, et dans ton formulaire, au moment de le soumettre, tu dis à javascript de crypter le mot de passe que le client a tapé, et d'envoyer la version cryptée à la place de la version en clair. Comme ça, le mot de passe en clair ne voyage jamais nulle part, et si quelqu'un intercepte et décode la communication, il va tomber sur le mot de passe crypté, et sera donc dans l'incapacité de retrouver le mot de passe d'origine.

[flogreg]

ben si tu interceptes le mot de passe crypté par javascript et que tu refais la page sans le cryptage et que tu submit le tout au serveur, ca passe... donc ca ne sert à rien

[tomlev]

ben si tu interceptes le mot de passe crypté par javascript et que tu refais la page sans le cryptage et que tu submit le tout au serveur, ca passe... donc ca ne sert à rien

lol, bien vu !
de toutes façons la seule manière efficace d'assurer la sécurité du transport est de passer par une liaison SSL...

[Gunny]

ben si tu interceptes le mot de passe crypté par javascript et que tu refais la page sans le cryptage et que tu submit le tout au serveur, ca passe... donc ca ne sert à rien

Oui oui, mais le vrai mot de passe ne sa balladant jamais en clair et étant impossible à décoder, personne ne peut le connaître réellement, ce qui apporte une sécurité supplémentaire chez l'utilisateur (s'ils utilisent leur mot de passe ailleurs). De plus, au lieu de servir le mot de passe aux hackers sur un plateau d'argent, ça les oblige quand même à faire quelques pirouettes de plus, ce qui est toujours bon à prendre puisque ça peut décourager (qui a dit script kiddies ? )

[flogreg]

pour résumer:

javascript : eviter que le mot de passe se ballade en clair sur le réseau.
C# : pour éviter que le mot de passe soit stocké en clair dans la base.

Donc il faudrait crypter en javascript ET en C#

[Gunny]

En fait le Javascript peut suffire pour les deux, il suffit de crypter le mot de passe dès que la personne s'inscrit, en vérifiant qu'il est bien passé à la moulinette md5 (ah ces salauds d'utilisateurs qui désactivent le javascript...).
Mais en c# ça peut aussi être pratique parfois, si les mots de passes sont générés automatiquement par exemple.

[SaumonAgile]

Juste pour vous remettre les idées en place, celui qui inclut javascript dans une politique de sécurité est sûr de se planter monumentalement.
Comme il a déjà été dit :
- pour ne pas stocker le mot de passe en clair, il faut stocker son hash MD5
- pour ne pas transférer le mot de passe en clair, il faut passer par une liaison SSL (sur HTTPS par exemple).

[seth78]

Et puis imaginons qu'un client a désactivé javascript sur son navigateur. On ne peut même plus l'authentifier... Bof bof.. Donc Javascript c'est pour l'aspect "kikoolol" et SSL c'est pour la sécurité!

[tomlev]

celui qui inclut javascript dans une politique de sécurité est sûr de se planter monumentalement.

Dis ça à la Société Générale
La saisie du mot de passe dans Logitel Net se fait via un "clavier virtuel" en javascript...

[flogreg]

Dis ça à la Société Générale
La saisie du mot de passe dans Logitel Net se fait via un "clavier virtuel" en javascript...

idem pour la caisse d'épargne

[SaumonAgile]

Dis ça à la Société Générale
La saisie du mot de passe dans Logitel Net se fait via un "clavier virtuel" en javascript...

idem pour la caisse d'épargne

Oui c'est pour éviter les key-logger, mais ça ne sécurise pas le système pour autant, c'est ce que je voulais dire.

[flogreg]

Oui c'est pour éviter les key-logger, mais ça ne sécurise pas le système pour autant, c'est ce que je voulais dire.

de toute facon derrière, il y a du ssl. Mais là on parlait du problème pour les clients bloquant le javascript.

[SaumonAgile]

Mais là on parlait du problème pour les clients bloquant le javascript.

Oki, c'est vrai que dans ce cas, pas de bras, pas de chocolat

[alband85]

Dis ça à la Société Générale
La saisie du mot de passe dans Logitel Net se fait via un "clavier virtuel" en javascript...

Oui, mais ça, c'est parce que c'est pour les petits clients. Pour les gros clients, c'est pas la même appli... et y'a pas de JS !
(quoi qu'en regardant le source, j'ai un vilain doute là... bouh qu'ils sont cochons mes voisins de bureau...)