• # Sha2 + Salt

    Posté par . En réponse au message Y a-t-il des cryptographes dans la salle? Stockage de mots de passe. Évalué à 4. Dernière modification le 25 octobre 2015 à 11:36.

    Travaillant dans une boîte devant être certifiée PCI-DSS, je peux parler de ce qu'on a chez nous.

    en dur dans le code (!)
    en clair dans une DB

    Ne bouge pas, je vais chercher la chevrotine

    sous forme de condensat (hash) en utilisant une fonction qui va bien : MD5, SHA1,...

    MD5 est maintenant considéré comme faible et même SHA1 est limite.

    idem 2., en utilisant une fonction qui va mieux : bcrypt

    Pourquoi pas mais bcrypt est conçu pour être coûteux. C'est à prendre en compte en fonction du nombre de logins.

    idem 3., mais avec un sel ajouté au début du mdp à stocker
    idem 4., mais le sel est différent pour chaque entrée

    Tant qu'à introduire un salage autant le rendre aléatoire. Ca évite que des utilisateurs ayant le même mot de passe aient le même hash.

    Sinon, chez nous les mots de passe sont stockés hashés en SHA-512 + salt.