Bonjour, cliquez-ici pour vous inscrire et participer au forum.
  • Login:



+ Répondre à la discussion
Affichage des résultats 1 à 9 sur 9

Cryptage mot de passe htaccess

  1. harominc

    Date d'inscription
    octobre 2016
    Messages
    90

    Cryptage mot de passe htaccess

    Bonjour j'ai une question concernant le cryptage des mots de passe pour un fichier htaccess. Dans le fichier htpswrd on peut mettre des mots de passes cryptés, mais comment le serveur Web fait il pour connaître l'algorithme et la clé qui permettront de trouver le mdp en clair et qui permettra donc de le comparer avec le mdp que l'utilisateur va entrer sur le site web?

    Merci

    -----

     


    • Publicité



  2. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 214

    Re : Cryptage mot de passe htaccess

    Une bonne pratique est en effet que le serveur stock uniquement le Login + le hash (en général MD5) du mot de passe (et non pas le mdp en clair).

    A l'inscription le serveur hash le mdp de l'utilisateur et le stock dans htpasswd.

    Quand l'utilisateur veut se connecter, il compare le hash de ce qu'a entré l'utilisateur avec ce qui est stocké dans le htpasswd.

    L'intérêt du point de vue sécurité, c'est que si le serveur se fait pirater, les mdp ne sont pas écrits en clair.

    Selon la façon dont les mdp ont été hashés (avec ou sans sel, etc.), une attaque de type dictionnaire est toutefois souvent efficace et donc tous les mdp simples et courants sont facilement trouvables (par exemple si je tombe sur "5f4dcc3b5aa765d61d8327deb882c f99" je sais immédiatement que ce mot de passe c'est "password", par contre "039c49d295c830e051dfbff82b3f8 49f"... aucune idée !).
    Dernière modification par BioBen ; 04/06/2017 à 23h58.
     

  3. harominc

    Date d'inscription
    octobre 2016
    Messages
    90

    Re : Cryptage mot de passe htaccess

    Salut, d'accord merci pour ta reponse. Tu dis que l'algorithme utilisé est md5, c'est celui par défaut pour tous les serveurs Web? Ou cet algorithme est il écrit pour que le serveur fasse appel à lui?sur le système d'exploitation, la base de donnée du serveur ..?

    Merci
     

  4. pm42

    Date d'inscription
    juillet 2015
    Messages
    3 653

    Re : Cryptage mot de passe htaccess

    Citation Envoyé par harominc Voir le message
    Tu dis que l'algorithme utilisé est md5, c'est celui par défaut pour tous les serveurs Web?
    Non, d'Apache. Si tu utilises un autre serveur, il y aura un autre mécanisme.

    Citation Envoyé par harominc Voir le message
    Ou cet algorithme est il écrit pour que le serveur fasse appel à lui?sur le système d'exploitation, la base de donnée du serveur ..?
    Dans une librairie que le serveur utilise. La base de données n'a vraiment rien à faire dans l'histoire et d'ailleurs, elle n'existe pas forcément.
     

  5. harominc

    Date d'inscription
    octobre 2016
    Messages
    90

    Re : Cryptage mot de passe htaccess

    d'accord et si on utilise apache et qu'on veut utiliser un autre algorithme il faudra installer sa librairie c'est ca?

    merci
     


    • Publicité



  6. tonnerre33

    Date d'inscription
    juin 2017
    Âge
    33
    Messages
    22

    Re : Cryptage mot de passe htaccess

    Tu peux utiliser d'autres algorithmes, tu as une liste ici :

    https://httpd.apache.org/docs/trunk/...cryptions.html
     

  7. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 214

    Re : Cryptage mot de passe htaccess

    J'ai indiqué "en général md5" tout simplement car c'est l'algo le plus couramment utilisé pour le stockage de mots de passe (pour des raisons historiques et de rapidité), bien qu'il ne soit pas exempt de vulnérabilités (c'est un euphémisme). Il est possible d'utiliser d'autres algorithmes.

    Par ailleurs, du point de vue sémantique, on parle de hash plutôt que de chiffrement dans ce cas là (bien que les algos soient exactement les mêmes) .

    La raison est la suivante : il y a chiffrement du mot de passe, certes, mais ce chiffrement n'est pas fait dans le but que le mot de passe chiffré soit un jour décrypté : le mot de passe est stocké chiffré et le serveur compare l'input de l'utilisateur chiffré avec le mot de passe chiffré. Bref, contrairement à un chiffrement puis decryptage pour récupérer le contenu en clair, là on compare juste deux messages chiffrés pour vérifier que leur version chiffrée (hash) est identique.
    Dernière modification par BioBen ; 05/06/2017 à 15h53.
     

  8. igor51

    Date d'inscription
    mars 2005
    Localisation
    Dans la Drôme
    Âge
    30
    Messages
    4 844

    Re : Cryptage mot de passe htaccess

    Bonjour,

    Il faut arrêter de dire n'importe quoi la par contre.
    Citation Envoyé par BioBen Voir le message
    J'ai indiqué "en général md5" tout simplement car c'est l'algo le plus couramment utilisé pour le stockage de mots de passe (pour des raisons historiques et de rapidité), bien qu'il ne soit pas exempt de vulnérabilités (c'est un euphémisme). Il est possible d'utiliser d'autres algorithmes.
    MD5 n'a pas de vulnéraibilités au sens commun, on "sait" juste générer des collisions : 2 mots différents en entrée -> même md5

    Par ailleurs, du point de vue sémantique, on parle de hash plutôt que de chiffrement dans ce cas là (bien que les algos soient exactement les mêmes) .
    C'est justement complètement différent...

    Un algorithme de chiffrement : on a un clair -> on le chiffre -> on peut déchiffrer le message chiffré
    Un algorithme de hashage : on a un clair -> on obtient un hashé -> on ne peut pas retrouver le message en clair.

    On stocke le hash du mot de passe (avec ajout de sel pour le rendre "unique")
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
     

  9. BioBen

    Date d'inscription
    septembre 2004
    Messages
    5 214

    Re : Cryptage mot de passe htaccess

    Citation Envoyé par igor51 Voir le message
    MD5 n'a pas de vulnéraibilités au sens commun, on "sait" juste générer des collisions : 2 mots différents en entrée -> même md5
    Pour un algorithme de hashage, la possibilité de trouver une collision est une vulnérabilité.
    Par ailleurs je pensais plutôt à sa rapidité comme vulnérabilité, qui permet de tester des milliards de possibilités par seconde.

    MD5 n'a jamais été conçu pour hasher des mots de passe mais pour hasher des fichiers (donc beaucoup d'entropie) pour avoir sa signature. Un mot de passe c'est trop peu d'entropie et la vitesse de MD5 couplé à l'évolution de la puissance de calcul le rend vulnérable pour les utilisations de stockage de mot de passe. L'ajout de sel complexifie le process selon le sel ajouté, mais souvent ça reste insuffisant.


    C'est justement complètement différent...

    Un algorithme de chiffrement : on a un clair -> on le chiffre -> on peut déchiffrer le message chiffré
    Un algorithme de hashage : on a un clair -> on obtient un hashé -> on ne peut pas retrouver le message en clair.

    On stocke le hash du mot de passe (avec ajout de sel pour le rendre "unique")
    J'ai sans doute été trop court dans mon explication, donc imprécis oui, mais sur le principe je pense que c'était clair.

    Bonne soirée.
     


    • Publicité







Sur le même thème :





 

Discussions similaires

  1. Protéger un dossier par htaccess
    Par milobil dans le forum Programmation et langages, Algorithmique
    Réponses: 1
    Dernier message: 21/03/2017, 08h54
  2. .htaccess simple…
    Par yoda1234 dans le forum Internet - Réseau - Sécurité générale
    Réponses: 2
    Dernier message: 06/02/2016, 15h01
  3. Logiciel de cryptage des fichiers par mot de passe.
    Par patagouin dans le forum Logiciel - Software - Open Source
    Réponses: 1
    Dernier message: 10/02/2013, 13h09
  4. [THUNDERBIRD] Accès par mot de passe et/ou cryptage
    Par gizmo3d dans le forum Logiciel - Software - Open Source
    Réponses: 3
    Dernier message: 05/11/2007, 18h03
  5. .htaccess pb !
    Par LTHOMAS dans le forum Internet - Réseau - Sécurité générale
    Réponses: 8
    Dernier message: 15/12/2006, 13h42