• [^] # Re: niveau -0.5

    Posté par . En réponse au journal L'art de stocker des mots de passe. Évalué à 3.

    Règle de base en cryptographie : ne jamais assumer qu'une information "non communiquée" ne sera jamais découverte. La cryptographie par obfuscation (on cache les algorithmes et les constantes) a toujours échoué à un moment ou un autre.

    Le problème de prendre un nom d'utilisateur comme $perUserSalt, c'est que ce n'est pas une donnée cryptographiquement sécurisée. Par exemple, les octets qui le composent ne peuvent pas prendre toutes les valeurs possibles : seulement des caractères imprimables.
    Le fait de limiter "l'aléatoire" du sel peut faciliter une attaque.

    Il est donc préférable de générer un sel aléatoire qui sera plus fiable.