Sujet Important : Sécurité, mot de passe, etc.
- 34 réponses
- 13 participants
- 3 208 vues
- 15 followers
Afficher le sujet de la discussion
.: Odon Quelconque :.
11001
Drogué·e à l’AFéine
Membre depuis 22 ans
Ok évidement pour ne pas laisser les mots de passe en clair dans la base, afin qu'un simple accès en lecture si elle est dans la partie accessible par HTTP du site ne compromette pas tous les comptes.
Mais comment est généré le salt unique et pérenne pour chaque utilisateur, où est-il stocké si ce n'est dans la base et surtout comment ce salt - sinon les informations qui permettent de le calculer - est-il transmis avec le mot de passe par le client lors de l'authentification ? J'imagine bien qu'avec un carte à puce ou un lecteur d'empreintes, transmettre des informations supplémentaires garantissant la légitimité de l'utilisateur est possible, mais avec un simple couple identifiant/mdp ?
Ceci dit, j'imagine que nero ne va pas détailler la politique et les algorithmes d'authentification d'AF sur le forum.
Mais comment est généré le salt unique et pérenne pour chaque utilisateur, où est-il stocké si ce n'est dans la base et surtout comment ce salt - sinon les informations qui permettent de le calculer - est-il transmis avec le mot de passe par le client lors de l'authentification ? J'imagine bien qu'avec un carte à puce ou un lecteur d'empreintes, transmettre des informations supplémentaires garantissant la légitimité de l'utilisateur est possible, mais avec un simple couple identifiant/mdp ?
Ceci dit, j'imagine que nero ne va pas détailler la politique et les algorithmes d'authentification d'AF sur le forum.
« What is full of redundancy or formula is predictably boring. What is free of all structure or discipline is randomly boring. In between lies art. » (Wendy Carlos)
theroms
444
Posteur·euse AFfamé·e
Membre depuis 15 ans
Zerosquare
4852
Squatteur·euse d’AF
Membre depuis 14 ans
Citation de .: Otto von Zine :. :
Rajouter un salt, c'est grosso-modo équivalent à passer d'une fonction de hashage unique pour tout le monde (donc analysable d'avance) à n fonctions différentes, n étant le nombre de salts différents possibles. Et connaître le salt est équivalent à savoir laquelle de ces n fonctions a été utilisée, c'est tout : ça n'aide pas à casser le mot de passe.
Ceci dit, l'une des règles essentielles de la sécurité informatique, c'est que celle-ci doit reposer sur la sûreté des algorithmes (c'est le boulot des chercheurs en cryptographie d'évaluer ça) et non sur le fait qu'il soient secrets. Les méthodes publiques ont été étudiées et testées "grandeur nature", donc leurs avantages et inconvénients sont connus. Alors que si tu bricoles un truc secret dans ton coin, il n'y a personne pour vérifier qu'il n'y a pas de faille (même des petites modifications en apparence mineures peuvent avoir de grosse répercussions en matière de sécurité). Et rien ne dit que ta méthode secrète ne sera pas découverte : tu penseras alors être en sécurité alors que ce n'est pas vrai...Mais comment est généré le salt unique et pérenne pour chaque utilisateur, où est-il stocké si ce n'est dans la base et surtout comment ce salt - sinon les informations qui permettent de le calculer - est-il transmis avec le mot de passe par le client lors de l'authentification ?Le salt n'est pas vraiment confidentiel, en fait. Ce qui est important, c'est qu'il soit différent pour chaque utilisateur : une valeur aléatoire choisie à la création du compte convient parfaitement. Tu peux tout-à-fait le stocker dans ta base de données avec le hash du mot de passe. Et tu n'as pas besoin de le transmettre à l'utilisateur, le calcul peut se faire sur le serveur.
Rajouter un salt, c'est grosso-modo équivalent à passer d'une fonction de hashage unique pour tout le monde (donc analysable d'avance) à n fonctions différentes, n étant le nombre de salts différents possibles. Et connaître le salt est équivalent à savoir laquelle de ces n fonctions a été utilisée, c'est tout : ça n'aide pas à casser le mot de passe.
Citation de .: Otto von Zine :. :
Ceci dit, j'imagine que nero ne va pas détailler la politique et les algorithmes d'authentification d'AF sur le forum.Je ne sais pas, Nero fait ce qu'il veut
Will Zégal
74673
Will Zégal
Membre depuis 22 ans
Les gars, vos discussions techniques sont passionnantes, mais je dois siffler la fin de la récré et vous inviter à aller continuer ailleurs votre hors-sujet.
Le propos de ce sujet est d'inviter les membres à faire un peu plus gaffe à leur choix de mot de passe, pas de discourir de la sécurité des bases de données
Le propos de ce sujet est d'inviter les membres à faire un peu plus gaffe à leur choix de mot de passe, pas de discourir de la sécurité des bases de données
.: Odon Quelconque :.
11001
Drogué·e à l’AFéine
Membre depuis 22 ans
En stockant les mots de passe en clair, AF serait en avance sur son temps :
https://www.lemonde.fr/technologies/article/2011/03/02/internet-un-decret-impose-aux-hebergeurs-de-conserver-les-mots-de-passe_1487396_651865.html
https://www.lemonde.fr/technologies/article/2011/03/02/internet-un-decret-impose-aux-hebergeurs-de-conserver-les-mots-de-passe_1487396_651865.html
« What is full of redundancy or formula is predictably boring. What is free of all structure or discipline is randomly boring. In between lies art. » (Wendy Carlos)
- < Liste des sujets
- Charte