3 Wrong Ways to Store a Password - Adam Bard and his magical blog
Interessant…
Mais la 3e solution j’ai un peu de mal à voir la faille : « Hash(password + salt) ».
Si le salt fait 10 caractères et le mdp en fait 10, ça fait une longueur totale de 20. On est quand même loin de son exemple de 6 caractères qu’il est possible de retrouver avec les rainbow-tables en quelques secondes…
S’il arrivera forcément un moment dans le futur, où trouver un mot de passe de 1000 caractères prendra moins d’une minute, on n’en est pas encore là.
À mon avis (mais je suis pas un expert en crypto, bien loin), on en vient toujours au même problème : les mots de passes sont trop courts, trop simples et trop souvent identiques partout.
Sinon, l’article m’apprend que les langages de prog intègrent un algo de stockage des mots de passe, y compris PHP, depuis 5.5. Faudra que je regarde ça.
http://php.net/manual/fr/function.password-verify.php
http://php.net/manual/fr/function.password-hash.php
Actuellement, Blogotext utilise Sha512 + salt.
(via)
Mais la 3e solution j’ai un peu de mal à voir la faille : « Hash(password + salt) ».
Si le salt fait 10 caractères et le mdp en fait 10, ça fait une longueur totale de 20. On est quand même loin de son exemple de 6 caractères qu’il est possible de retrouver avec les rainbow-tables en quelques secondes…
S’il arrivera forcément un moment dans le futur, où trouver un mot de passe de 1000 caractères prendra moins d’une minute, on n’en est pas encore là.
À mon avis (mais je suis pas un expert en crypto, bien loin), on en vient toujours au même problème : les mots de passes sont trop courts, trop simples et trop souvent identiques partout.
Sinon, l’article m’apprend que les langages de prog intègrent un algo de stockage des mots de passe, y compris PHP, depuis 5.5. Faudra que je regarde ça.
http://php.net/manual/fr/function.password-verify.php
http://php.net/manual/fr/function.password-hash.php
Actuellement, Blogotext utilise Sha512 + salt.
(via)