Bonjour j'ai une question concernant le cryptage des mots de passe pour un fichier htaccess. Dans le fichier htpswrd on peut mettre des mots de passes cryptés, mais comment le serveur Web fait il pour connaître l'algorithme et la clé qui permettront de trouver le mdp en clair et qui permettra donc de le comparer avec le mdp que l'utilisateur va entrer sur le site web?
Merci
Une bonne pratique est en effet que le serveur stock uniquement le Login + le hash (en général MD5) du mot de passe (et non pas le mdp en clair).
A l'inscription le serveur hash le mdp de l'utilisateur et le stock dans htpasswd.
Quand l'utilisateur veut se connecter, il compare le hash de ce qu'a entré l'utilisateur avec ce qui est stocké dans le htpasswd.
L'intérêt du point de vue sécurité, c'est que si le serveur se fait pirater, les mdp ne sont pas écrits en clair.
Selon la façon dont les mdp ont été hashés (avec ou sans sel, etc.), une attaque de type dictionnaire est toutefois souvent efficace et donc tous les mdp simples et courants sont facilement trouvables (par exemple si je tombe sur "5f4dcc3b5aa765d61d8327deb882c f99" je sais immédiatement que ce mot de passe c'est "password", par contre "039c49d295c830e051dfbff82b3f8 49f"... aucune idée !).
Dernière modification par BioBen ; 04/06/2017 à 23h58.
Salut, d'accord merci pour ta reponse. Tu dis que l'algorithme utilisé est md5, c'est celui par défaut pour tous les serveurs Web? Ou cet algorithme est il écrit pour que le serveur fasse appel à lui?sur le système d'exploitation, la base de donnée du serveur ..?
Merci
Non, d'Apache. Si tu utilises un autre serveur, il y aura un autre mécanisme.Envoyé par harominc
Dans une librairie que le serveur utilise. La base de données n'a vraiment rien à faire dans l'histoire et d'ailleurs, elle n'existe pas forcément.
d'accord et si on utilise apache et qu'on veut utiliser un autre algorithme il faudra installer sa librairie c'est ca?
merci
Tu peux utiliser d'autres algorithmes, tu as une liste ici :
https://httpd.apache.org/docs/trunk/...cryptions.html
J'ai indiqué "en général md5" tout simplement car c'est l'algo le plus couramment utilisé pour le stockage de mots de passe (pour des raisons historiques et de rapidité), bien qu'il ne soit pas exempt de vulnérabilités (c'est un euphémisme). Il est possible d'utiliser d'autres algorithmes.
Par ailleurs, du point de vue sémantique, on parle de hash plutôt que de chiffrement dans ce cas là (bien que les algos soient exactement les mêmes) .
La raison est la suivante : il y a chiffrement du mot de passe, certes, mais ce chiffrement n'est pas fait dans le but que le mot de passe chiffré soit un jour décrypté : le mot de passe est stocké chiffré et le serveur compare l'input de l'utilisateur chiffré avec le mot de passe chiffré. Bref, contrairement à un chiffrement puis decryptage pour récupérer le contenu en clair, là on compare juste deux messages chiffrés pour vérifier que leur version chiffrée (hash) est identique.
Dernière modification par BioBen ; 05/06/2017 à 15h53.
Bonjour,
Il faut arrêter de dire n'importe quoi la par contre.
MD5 n'a pas de vulnéraibilités au sens commun, on "sait" juste générer des collisions : 2 mots différents en entrée -> même md5
C'est justement complètement différent...Par ailleurs, du point de vue sémantique, on parle de hash plutôt que de chiffrement dans ce cas là (bien que les algos soient exactement les mêmes) .
Un algorithme de chiffrement : on a un clair -> on le chiffre -> on peut déchiffrer le message chiffré
Un algorithme de hashage : on a un clair -> on obtient un hashé -> on ne peut pas retrouver le message en clair.
On stocke le hash du mot de passe (avec ajout de sel pour le rendre "unique")
Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.
Pour un algorithme de hashage, la possibilité de trouver une collision est une vulnérabilité.
Par ailleurs je pensais plutôt à sa rapidité comme vulnérabilité, qui permet de tester des milliards de possibilités par seconde.
MD5 n'a jamais été conçu pour hasher des mots de passe mais pour hasher des fichiers (donc beaucoup d'entropie) pour avoir sa signature. Un mot de passe c'est trop peu d'entropie et la vitesse de MD5 couplé à l'évolution de la puissance de calcul le rend vulnérable pour les utilisations de stockage de mot de passe. L'ajout de sel complexifie le process selon le sel ajouté, mais souvent ça reste insuffisant.
J'ai sans doute été trop court dans mon explication, donc imprécis oui, mais sur le principe je pense que c'était clair.C'est justement complètement différent...
Un algorithme de chiffrement : on a un clair -> on le chiffre -> on peut déchiffrer le message chiffré
Un algorithme de hashage : on a un clair -> on obtient un hashé -> on ne peut pas retrouver le message en clair.
On stocke le hash du mot de passe (avec ajout de sel pour le rendre "unique")
Bonne soirée.
