Bienvenue sur Cr@zy WS !

Pour plus d'information sur Cr@zy WS, je vous invite à vous rendre dans la partie à propos où j'explique les grandes lignes de ce site consacré en grande partie à l'actualité Hack, Sécurité, High-Tech et Webdev.

Newsletter et réseaux sociaux

Pour suivre les dernières news du site, essayez les différents types d'abonnements disponibles et rejoignez-moi sur les réseaux sociaux.

Cr@zy's Apps

En dehors des scripts que je développe, il y a le sous-domaine Cr@zy's Apps qui est consacré aux applications externes que j'ai pu développer.

Sécurité

Depuis longtemps je m'intéresse à la sécurité informatique où j'effectue des tests d'intrusion, d'audit et d'architecture. A travers mes articles, je vous partage l'essentiel de l'actualité.

Webdev

En ce qui concerne le webdev, je vous propose quelques scripts écrits en PHP, Javascript et autres, que j'essaierai d'alimenter quand j'ai un peu de temps. Je propose également mes services pour le développement de votre site.

Musique

Pour ceux qui apprécient la musique électronique qui tourne autour du Hardcore, Gabber, Industrial, Psychanelic et autres, vous pouvez écouter/télécharger gratuitement mes mixs.

Connexion

connexion auto. à chaque visite
Inscription Mot de passe perdu ?
One is light one is dark...
4 - 8 - 15 - 16 - 23 - 42

Sécuriser un mot de passe en base de données

18/04/2012 à 17:45
A VOIR AUSSI...
COMMENTAIRES (11)
lm
11/06/2012 à 09:49:16

bon article, merci.

Je ne comprends pas bien le mécanisme si j'utilise un salt aléatoire pour le calcul d'un hash d'un mot de passe d'une application. Au moment où je vais comparer ce hash au mot de passe envoyé par l'utilisateur + fonction de hash comment aurais-je connaissance du salt qui avait été utilisé ?

lauMarot
11/06/2012 à 09:59:37
+1(1)

Ok, tout compris (j'ai trouvé la réponse à ma question précédente en lisant le code de hash_password et check_password).

désolé pour le bruit !

syndrael
04/07/2012 à 19:02:50

Article sympa.. Je reconnais ne pas avoir forcément besoin d'une telle 'artillerie' mais c'est bien d'avoir des articles à la fois pointus et abordables..
Je testerai quand même sur PHP pour ma culture perso.
S.

bosco
19/07/2012 à 15:51:18

Salut, article niquel,
cependant je met en place le système de base et je me rend compte que en voulant récupérer le hash valid dans la fonction check_password. Celui ci n'existe pas puisque l'on essaye de récupérer la valeur a partir du 64eme caractères.... alors que le hash du password et du salt concaténé fait 64 caractères.

Une idée ?
merci !

mortlier
09/09/2012 à 09:10:21

Merci énormément pour ce code !

Très utile :)

Topheur
01/10/2012 à 23:39:39

Le chiffrement est la méthode que l'on utiliser pour crypter un password et le stocker en base.
Mais quelque soit la méthode (crypter ou pas), si quelqu'un trouve mon mots de passe il accédera a mes données.
D’où ma question certainement stupide, en fin de compte a quoi cela sert 'il de chiffrer les password.
Alors certain dirons c'est au cas ou on pirate ta DB. Dans ce cas il n'y a toujours pas d’intérêt a crypter le password car le pirate a accès a tous les contenus stocké en DB.
Décidément bien que l'article soit super intéressant sur la méthode, je ne voie pas l’intérêt d'une tel chose.
Qq peut il m'éclairer ?

Raytrex
23/10/2012 à 03:32:35

@Topheur

Si le pirate a accès à ta DB et que les mots de passe sont en clair, non seulement il pourra lire les contenus de la DB mais aussi se connecter sur le site sous l'identité qu'il veut.
L'intérêt de chiffrer les mots de passe est de limiter le préjudice à la divulgation des infos de la DB.

Sorow
10/11/2012 à 16:55:14

@Topheur Et comme souvent les clients utilisent les mêmes mot de passe d'un site à l'autre, ça permet de limiter les dégâts...

zalass
29/05/2013 à 00:14:56

Bonsoir
très bon mini tutoriel !
Des améliorations à faire dans ta classe
afin de permettre notamment à ton algo de supporter
les versions de PHP relativement récente par exemple à partir de la version 4 et aussi les CPU
car tout le monde ne s'y connait forcement pas en serveurs( utilisateur connecté par secondes ou par minutes).
moi je l'ai amélioré et c'est un peu plus flexible et robuste en ligne de code mais sa vaut le coup.
Encore merci pour le partage .

Shakealot
29/06/2013 à 13:22:50
+1(1)

Hello !
Je ne comprends pas la fonction de vérif de mot de passe de la première méthode.
Si :
salt = azerty
mdp = wxcvbn
salt_crypté = iiiiiiiiii
mdp_crypté = pppppppppp
mdp à tester = wxcvbX
On a donc deux arguments, le mot de passe à tester (mdp à tester = wxcvbX) et le hash du mot de passe concaténé au salt (dbhash = ppppppppppiiiiiiiiii)
On récupère le salt_crypté grâce à la fonction substr($dbhash, 0, 64).
On récupère le mdp_crypté avec substr($dbhash, 64, 64).
On hash le mdp à tester pour pouvoir le comparer hash("sha256", $mdp à tester . $salt_crypté).
Et c'est la où ça plante dans mon cerveau, on hash donc "wxcvbXiiiiiiiiii" et non pas "wxcvbXazerty", la comparaison suivante ne peut donc pas fonctionner...
Comment récupère-t-on le salt non crypté en fait ?

Kyrd
03/11/2013 à 02:19:09
lauMarot a dit :
Ok, tout compris (j'ai trouvé la réponse à ma question précédente en lisant le code de hash_password et check_password).

désolé pour le bruit !

Moi je n'ai pas compris ^^
Un petit éclaircicement serait fort apprécié (et je pense que Shakealot ne serait pas contre également ;) )

POSTER UN COMMENTAIRE
Captcha
Entrez le code affiché *
Actuellement
visiteur(s) connecté(s)

Nuage de mots clés

Derniers commentaires

Archives

Copyright © 2007-2016 Cr@zy WS v0.954
58 requêtes exécutées en 0.000805 secondes - Page générée en 0.746 secondes
Site optimisé pour le moteur de rendu Gecko : Mozilla Firefox
Accueil · Contact · A propos · S'abonner · Mises à jour · Flux RSS