http://www.net-actuality.org Derniers messages publiés sur le billet : Comment vos mots de passe sont protégés (ou pas) sur le net Net-Actuality.org fr http://www.net-actuality.org/images/biggg_logo.gif http://www.net-actuality.org Tue, 14 Feb 2012 08:41:38 +0100 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14334 Commentaires Florian Mike (visiteur) a dit :
Pour le grain statique, il est commun à tous les utilisateurs mais le grain dynamique, étant spécifique, comment le site en question peut savoir que ce grain dynamique là correspond à cet utilisateur là et un pas un autre ? Est ce par rapport à un login ?

Le grain dynamique correspondra à une caractéristique correspondant à l'utilisateur. Par exemple, on pourra utiliser une partie de son adresse e-mail ou encore son pseudo.

Tout en sachant qu'il faut se baser sur des données qui ne changeront pas.

Prenons un exemple :
- je décide de baser le sel dynamique sur le pseudo des [...].]]> Thu, 05 May 2011 17:14:44 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14333 Commentaires Mike (visiteur)
Merci pour vos réponses !

Mais je veux juste rebondir sur ce que vous avez écrit :
le script va lui adjoindre le sel statique et/ou dynamique : BoGossazerty_NA

Le grain statique est commun à tous les utilisateurs. Cependant, le grain dynamique étant spécifique, comment le site en question peut savoir s'il correspond à cet utilisateur là et un pas un autre ? Est ce par rapport à un login ?

Cordialement,

Mike]]> Wed, 04 May 2011 20:02:54 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14332 Commentaires Florian Mike (visiteur) a dit :
Mais moi quand je rentre mon mot de passe,azerty, il est calculé le hash: H(azerty).
H(azerty) n'est pas égal à (BoGossazerty_NA). Donc je ne peux pas m'authentifier, non ?

En fait, lorsque la vérification est faite, le système va calculer le hash seulement après que le grain de sel ait été concaténé au mot de passe saisi par l'utilisateur.
Ex :
- l'utilisateur saisi "azerty"
- le script va lui adjoindre le sel statique et/ou dynamique : BoGossazerty_NA
- puis il le hashe
- enfin, il fait les comparaisons entre ce qui a été saisi et ce qui est dans la base de [...].]]> Wed, 04 May 2011 10:55:48 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14329 Commentaires Mike (visiteur)
Merci d'avance.]]> Sun, 01 May 2011 07:36:28 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14328 Commentaires Mike (visiteur)
J'ai pris beaucoup plaisir à lire cet article (d'autant qu'il est précis). Alors merci.

Il y a des choses que je n'ai pas comprises. Pouvez me les expliquer ?

1) J'ai compris le principe du mot de passe. (on stocke la valeur hachée initiale du mot de passe, qui sera comparée à la valeur hachée nouvellement calculée lorsque l'on rentre le mot de passe.)

Mon problème se situe au niveau du salage. Les grains vont ajouter des chaines de caractères, et donc, modifier le hash. La valeur stockée sur l'ordinateur sera, par exemple, H(BoGossazerty_NA) avec H la fonction de hachage.
Mais, moi, quand je rentre mon mot [...].]]> Sat, 30 Apr 2011 10:58:10 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_14315 Commentaires Kysic Juste quelques remarques :
- Il faudrait remplacer crypter, crypté et cryptage par chiffrer, chiffré et chiffrement.
- L'exemple "_NA" comme grain de sel statique n'est vraiment pas le meilleur puisque l'article le dit lui même, plus il sera compliqué moins il y aura de chance de le trouver dans un dictionnaire. Autant donc prendre comme exemple "0*%mT$AZ.$.?2#h09ml" (puisqu'en plus personne n'aura besoin de mémorisé cette chaîne contrairement à un password).
- Il serait possible d'aborder également la longueur du mot de passe. Donner un exemple pour [...].]]> Sun, 13 Mar 2011 10:41:53 +0100 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_13838 Commentaires Florian pnprog (visiteur) a dit :

L'idée,
c'est qu'au moment de la connexion, on compose aléatoirement chaine de
caratères (un jeton ou "token" que l'on stocke dans la base de donnée
(à la ligne correspondant à l'utilisateur) et dans le cookie. [...]Oui, pas mal comme système ! Pas pensé à l'évoquer dans l'article, mais il ne se veut pas exhaustif


leroiarthur a dit :

Et ne
serait-il pas mieux d'avoir un protocole de cryptage unique pour chaque
site ? C'est sûrement quelque chose d'extrêmement complexe, mais des
sites comme PayPal ou des e-boutiques n'utilisent-elles [...].]]> Mon, 31 Aug 2009 12:50:09 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_13837 Commentaires leroiarthur Mon, 31 Aug 2009 10:27:37 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_13835 Commentaires pnprog (visiteur) site utilise en passant en revue votre cookie, et plus particulièrement
le champ mot de passe qui s'y trouve (s'il fait 32 caractères, c'est du
SHA1/MD5, 64 caractères : SHA256, 128 caractères : SHA512/Whirlpool).

Il ne faut normalement pas enregistrer le mot de passe dans le cookie (ni nulle part ailleurs en fin de compte), ni même son hash.
L'idée, c'est qu'au moment de la connexion, on compose aléatoirement chaine de caratères (un jeton ou "token" que l'on stocke dans la base de donnée (à la ligne correspondant à l'utilisateur) et [...].]]> Sun, 30 Aug 2009 17:17:50 +0200 http://www.net-actuality.org/forum/sujet-13830-comment-vos-mots-de-passe-sont-proteges-ou-pas-sur-le-net_1.html#mess_13834 Commentaires Florian ]]> Sat, 29 Aug 2009 14:19:42 +0200