En gros, les SHA sont conçues pour être le plus rapide possible tout en étant très difficiles à inverser ou même à simplement trouver une collision. La seule solution pour "casser" un mot de passe est donc plus ou moins la recherche exhaustive, qu'on raffine avec un time-memory tradeoff sous la forme de rainbow tables.
L'idée derrière l'utilisation de fonctions de hachages dédiées au stockage des mots de passe, de type bcrypt, est d'avoir une fonction de hachage bien plus lente à calculer qu'un simple SHA. Ça permet de ralentir beaucoup les attaques par recherche exhaustive ; l'impact sur l'usage n'est pas si important puisque côté serveur tu ne le calcule pas ou une seule fois, et côté client une fois de temps en temps.
[^] # Re: Chaussures du cordonnier
Posté par aiolos . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 4.
En gros, les SHA sont conçues pour être le plus rapide possible tout en étant très difficiles à inverser ou même à simplement trouver une collision. La seule solution pour "casser" un mot de passe est donc plus ou moins la recherche exhaustive, qu'on raffine avec un time-memory tradeoff sous la forme de rainbow tables.
L'idée derrière l'utilisation de fonctions de hachages dédiées au stockage des mots de passe, de type bcrypt, est d'avoir une fonction de hachage bien plus lente à calculer qu'un simple SHA. Ça permet de ralentir beaucoup les attaques par recherche exhaustive ; l'impact sur l'usage n'est pas si important puisque côté serveur tu ne le calcule pas ou une seule fois, et côté client une fois de temps en temps.