Retourner au contenu associé (entrée de forum : Y a-t-il des cryptographes dans la salle? Stockage de mots de passe)
Posté par Croconux le 25 octobre 2015 à 11:36. En réponse au message Y a-t-il des cryptographes dans la salle? Stockage de mots de passe. Évalué à 4. Dernière modification le 25 octobre 2015 à 11:36.
Travaillant dans une boîte devant être certifiée PCI-DSS, je peux parler de ce qu'on a chez nous.
en dur dans le code (!) en clair dans une DB
Ne bouge pas, je vais chercher la chevrotine
sous forme de condensat (hash) en utilisant une fonction qui va bien : MD5, SHA1,...
MD5 est maintenant considéré comme faible et même SHA1 est limite.
idem 2., en utilisant une fonction qui va mieux : bcrypt
Pourquoi pas mais bcrypt est conçu pour être coûteux. C'est à prendre en compte en fonction du nombre de logins.
idem 3., mais avec un sel ajouté au début du mdp à stocker idem 4., mais le sel est différent pour chaque entrée
Tant qu'à introduire un salage autant le rendre aléatoire. Ca évite que des utilisateurs ayant le même mot de passe aient le même hash.
Sinon, chez nous les mots de passe sont stockés hashés en SHA-512 + salt.
AltStyle によって変換されたページ (->オリジナル) / アドレス: モード: デフォルト 音声ブラウザ ルビ付き 配色反転 文字拡大 モバイル
# Sha2 + Salt
Posté par Croconux . En réponse au message Y a-t-il des cryptographes dans la salle? Stockage de mots de passe. Évalué à 4. Dernière modification le 25 octobre 2015 à 11:36.
Travaillant dans une boîte devant être certifiée PCI-DSS, je peux parler de ce qu'on a chez nous.
Ne bouge pas, je vais chercher la chevrotine
MD5 est maintenant considéré comme faible et même SHA1 est limite.
Pourquoi pas mais bcrypt est conçu pour être coûteux. C'est à prendre en compte en fonction du nombre de logins.
Tant qu'à introduire un salage autant le rendre aléatoire. Ca évite que des utilisateurs ayant le même mot de passe aient le même hash.
Sinon, chez nous les mots de passe sont stockés hashés en SHA-512 + salt.