Rechercher : dans
Par :

Hash md5

Dernière réponse le 17 jun 2009 à 16:26:54 Chamicki, le 17 jun 2009 à 12:20:30 
 Signaler ce message aux modérateurs

Bonjour,

je croyais qu'un hash md5 étais indescriptible et qu'il étais impossible d'en retrouver la valeur d'origine.
Hors j'ai trouver plusieurs site capable de faire la conversion...

Comment crypter mes mot de passe ?

Meilleures réponses pour « Hash md5 » dans :
[mythes] MD5 a été cassé VoirMythe MD5 a été cassé. Il n'est plus sûr. Il ne faut plus l'utiliser. Réalité FAUX. Explications Collisions La faille trouvée dans MD5 concerne la possibilité de trouver des collisions MD5 (c'est-à-dire des blocs de données différents...
[md5sum] Vérifier l'intégrité des téléchargements VoirSomme MD5 Introduction I - Windows I-1 - Pour les puristes de la ligne de commande (sous "Dos") I-2 - Pour les inconditionnels de l'interface graphique "GUI" mst MD5 WinMD5 winMd5Sum II - GNU/LInux II-1 -Dans une console II-2 Pour les...
[Gravure] Graver ou lire un fichier .BIN / .CUE VoirLes fichiers .bin et .cue sont respectivement : .BIN : une image de CD, c'est-à-dire une copie binaire d'un CD ou d'un DVD sous forme d'un fichier .CUE : informations sur les pistes du disque. Les fichiers .BIN / .CUE sont utilisables par...
Télécharger MD5 Checksum VoirEn téléchargeant des données sur Internet, il est possible que les données soient altérées par un tiers ou tout simplement que le lien de téléchargement soit corrompu. MD5 Checksum est un outil permettant de vérifier l'intégrité d'un fichier par la...
Fichier MD5 VoirFormat MD5 Un fichier MD5 est une somme de contrôle. Comment lire ou créer un fichier MD5 ? Pour utiliser un fichier MD5, veuillez consulter le lien ci-dessous : MD5Sum

1

pyschopathe, le 17 jun 2009 à 12:39:39
  • +1

Md5 est une fonction irréversible. Les site qui "font la conversion" font en fait une attaque par dictionnaire : ils possèdent une liste pré calculée de mots (au sens large) avec les hash correspondant et comparent ton hash à leur liste.

Si la valeur que tu hash n'est pas triviale, il devient très difficile de la retrouver puisque les dictionnaires ne contiennent pas toutes les valeurs possibles.

Une bonne pratique consiste à générer une chaîne aléatoire appelée sel ou salt (que tu stockeras aussi en base) et de calculer md5( "$password$string" ) au lieu de md5($password).

Répondre à pyschopathe

2

NooD, le 17 jun 2009 à 13:38:53

Et même un peu plus que ça puisque des failles ont été trouvées dans l'algorithme (cf http://fr.wikipedia.org/wiki/MD5).
tu peux utiliser SHA-256, plus sûr mais la technique du grain de sel est efficace également.

Répondre à NooD

3

pyschopathe, le 17 jun 2009 à 15:26:05

C'est vrai que des collisions ont été créées artificiellement, mais pour une chaîne de caractère aussi courte qu'un mot de passe, la technique du bourrage me semble difficile à mettre en place de manière discrète, et il suffit de vérifier la longueur des données envoyées pour mettre à mal le bourrage (parce que trouver deux chaines qui ont le même hash, à la rigueur, mais pour qu'elles fassent environ la même taille, à 300% près, faut s'accrocher !).

Répondre à pyschopathe

4

Dackxes, le 17 jun 2009 à 15:34:35

Je crois que le meilleur moyen est un cryptage en Php qu 'on utilise pour les .htaccess.

Voir : http://www.siteduzero.com/...

Répondre à Dackxes

5

Chamicki, le 17 jun 2009 à 15:45:28

C'est indéchiffrable la méthode crypt de php ?

Répondre à Chamicki

6

pyschopathe, le 17 jun 2009 à 16:22:37

Crypt peut utiliser différents algorithmes, entre autres md5... Il faut savoir qu'aucun chiffrement n'est indéchiffrable : avec suffisamment de temps et de puissance de calcul, tout se casse. Mais dans le cas d'une application classique (pas de secret défense ou informations dans ce genre là), personne n'aura envie de passer 6 mois à faire tourner un cluster de mainframes pour casser un mot de passe. Il faut garder une échelle de mesures de sécurité cohérente avec ton application.

De plus, sécuriser les mots de passe en base n'est important que si ta base de données est compromise. Sans ça, il n'y a aucun intérêt.

Il faut être conscient que la sécurité globale de ton application correspond à la sécurité du maillon le plus faible. pense donc à protéger tes sessions, à n'autoriser les connexions que via un canal sécurisé, à protéger tes scripts des XSS et des injections sql, c'est bien plus important que trouver un algorithme de chiffrement inviolable pour stocker des mots de passe.

Répondre à pyschopathe

7

 Chamicki, le 17 jun 2009 à 16:26:54

Ok merci, non c'est juste pour protéger une zone admin mais c'étais plus une question d'ordre générale pour savoir...

Répondre à Chamicki