Tu peux pas comparer un MDP salé haché avec un MDP simplement haché en terme de robustesse, puisque le sel permet d'augmenter le nombre de hashs à faire pour l'attaquant, en fonction du nombre d'utilisateurs dans la base. Par exemple, si tu as 1000 utilisateurs, l'attaquant va devoir hacher chaque mot de passe candidat 1000 fois, une fois pour chaque sel.
Et donc la comparaison avec une fonction brute (raw sha1) perd son sens sans la dimension du nombre d'utilisateurs.
Cependant, un sha1 salé reste quelque chose de suffisamment lent à condition d'avoir beaucoup d'utilisateurs : c'est rarement le cas de yunohost.
Il y a donc un risque assez élevé en cas de fuite de la base de MDP, sauf si MDP sont très robustes (quasi-aléatoires).
[^] # Re: Mot de passe en md5 ?
Posté par matlink . En réponse au journal Retour d'expérience Yunohost. Évalué à 3.
Tu peux pas comparer un MDP salé haché avec un MDP simplement haché en terme de robustesse, puisque le sel permet d'augmenter le nombre de hashs à faire pour l'attaquant, en fonction du nombre d'utilisateurs dans la base. Par exemple, si tu as 1000 utilisateurs, l'attaquant va devoir hacher chaque mot de passe candidat 1000 fois, une fois pour chaque sel.
Et donc la comparaison avec une fonction brute (raw sha1) perd son sens sans la dimension du nombre d'utilisateurs.
Cependant, un sha1 salé reste quelque chose de suffisamment lent à condition d'avoir beaucoup d'utilisateurs : c'est rarement le cas de yunohost.
Il y a donc un risque assez élevé en cas de fuite de la base de MDP, sauf si MDP sont très robustes (quasi-aléatoires).
-- Matlink --