KioskeaKioskeaCommentCaMarcheInscrivez-vous, c'est gratuit !
Vendredi 16 mai 2008 - 13:41:47

Comment bien stocker et vérifier un mot de passe.

Ils ont besoin de votre aide Tous les messages sans réponse
Avec excel 4 mon stock est 4 comment faire si je rajoute 2 mon stock passe a 6 Comment stocker mes codes et mot de passe Dhtml vérification mot de passe Fichier de stockage mot de passe firefox Ou est stocké les mot de passe sous internet explorer xp Ou sont stockee les mots de passe sur xp Ou sont stockés les mots de passe active directory Page verification mot de passe Passer paramètre date à un procédure stockée en vba Passer un tableau en paramètres à en procédure stockée sql server Php connexion base de donnée ou stocker mot de passe de connexion Procedure stocké mot de passe Recuperer mot de passe stocker sur pc Verification bande passante Verification login mot de passe php Verification login password avec flash Verification login password mysql flash Verifier le format date passer en parametre pl sql Verifier que le nom d'utilisateur et le mot de passe sont corrects pour votre serveur de messagerie Vérifier un mot de pass avec java Windows mail mot de passe invalide verifier les parametres de votre compte
 
Actualité Toutes les actualités
 
Avis de la communauté Autres avis
Avis / Logiciels Autres avis
Vous êtes ici : Astuces Programmation
Rechercher :  dans 
Comment bien stocker et vérifier un mot de passe. sebsauvage lundi 14 janvier 2008 à 13:14:51 sebsauvage

Si vous développez une application qui doit gérer les mots de passe, il est important de bien le faire, sous peine de risquer le piratage de votre système et la compromition des données de vos utilsateurs.

Il existe de bonnes pratiques pour stocker un mot de passe.

La bonne manière de stocker


Stockez le login et hash(login+salt+motdepasse)

Pseudo-code: passwordHash = MD5( login + "zo5pro$1pvkhj6*cz4a8ùtvb#ui4oeuio" + motdepasse )
Stockez login et passwordHash. Ne stockez pas motdepasse.

Pourquoi un hash ?


Il ne faut jamais stocker le mot de passe en clair.

Risque: Si quelqu'un s'introduit dans votre base de mots de passe, il pourrait les récupérer directement et les utiliser.

Protection: Le hash permet de calculer une empreinte du mot de passe. Comme l'algorithme n'est pas réversible, on ne peut pas retrouver immédiatement le mot de passe à partir du hash.
C'est pour cela qu'on utilise un hash cryptographique. Typiquement MD5, SHA-1 ou autre (SHA-256, SHA-512...)
Ne jamais utiliser de CRC ou CRC32.

Pourquoi un salt ?


Les rainbow-tables sont de grosses tables contenant des hash (MD5 et autres) précalculées.
Cela permet de retrouver très rapidement le mot de passe qui a donné un hash précis.

Risque: Si vous utilisez juste MD5(motdepasse), les rainbow-tables permettent de retrouver le mot de passe correspondant au MD5 en quelques minutes, voire quelques secondes.

Protection: En utilisant un salt, cela rend les rainbow-tables totalement inutiles.
Le salt est une valeur arbitraire, de la longueur de votre choix. Définissez-la comme une constante dans votre application.

Pourquoi ajouter le login ?


Si vous stockez juste MD5(salt+motdepasse) ou MD5(motdepasse), cela veut dire que deux utilisateurs ayant le même mot de passe auront le même hash.

Risque: On peut repérer très facilement les utilisateurs ayant le même mot de passe. Si un utilisateur est compromis, cela permet d'accéder immédiatement à d'autres utilisateurs (qui ont peut-être des droits supérieurs).

Protection: En ajoutant le login avant de hasher, la MD5 résultante sera différente pour chaque utilisateur, même s'ils ont le même mot de passe.

Vérification


Lorsque vous recevez login et mot de passe, il vous suffit de refaire le même calcul:
  • Rechercher dans votre base le hash correspondant à ce login
  • Comparer la valeur avec hash(login+salt+motdepasse)
  • Si les deux hash sont identiques, le mot de passe entré est correct.

 

Autres Astuces dans la catégorie Programmation