Discussion :

[laurentSc]

Bonsoir,

j'ai développé en php un forum avec un système d'inscription. Pour mémoriser le mot de passe des utilisateurs, je les stocke dans une base de données MySQL, mais pour l'instant, c'est en clair. Je sais qu'il y a moyen de le "coder", mais comment faire, puis comment le "décoder" quand on le relit ?

[sabotage]

En général on utilise une empreinte MD5 :
- tu enregistres dans la base MD5('mot de passe saisie')
- quand l'utilisateur se connecte, tu compares MD5('mot de passe tenté') avec ce qu'il y a dans la base.

Pour mieux sécuriser la chose, on peut ajouter un grain de sel au mot de passe ; car il existe des méthodes pour retrouver la chaine depuis l'empreinte.
par exemple :
MD5('mot de passe'.'date d'inscription')

[Doksuri]

MD5('mot de passe'.'date d'inscription')

est-ce que tu aurais un exemple d'utilisation, car ca m'interesse aussi :

je veux dire si lors de la creation du user, son mot de pass est MD5('pass'.'date'),
pour le verifier, tu dois faire pareil MD5('test'.'date')
donc qu'on ajoute .'date' ou pas, ca reviens au meme...enfin, je ne vois pas ce que ca apporte de plus question securite si derriere on fait la meme manipe

[sabotage]

Globalement le grain de sel sert a complexifier le mot de passe :

- pour empecher l'utilisation d'un dictionnaire de hash
- pour empecher les methodes de rainbow table (la je ne pourrais pas vraiment t'expliquer le concept, c'est une histoire de pré-calcul des hash).
- pour que deux utilisateurs ayant le meme mot de passe n'aient pas le meme hash

[Doksuri]

ah ok, d'accord.... oui, j'ai compris l'utilite.
merci

[laurentSc]

Merci. Pour moi, pas besoin de grain de sel : les utilisateurs ne sont pas informaticiens.
Et j'ai compris qu'on ne le décode pas : en retour, on compare le mot de passe du user "hashé" avec celui stocké dans la base.