• [^] # Re: C'est alléchant mais

    Posté par . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 7.

    Vu que tu rajoutes un sel qui peut être déduit du site cela n'apporte aucune sécurité supplémentaire.

    Oui et non ;)

    Le but d'un sel est d'invalider le plus possible l'usage de rainbow table (valeurs déjà pré-calculées par l'attaquant avant de vouloir s'attaquer au craquage de ton mot de passe)

    Que la valeur du sel soit connue n’empêche pas que cela invalide un bonne partie des valeurs de ces rainbows tables.

    Et plus les valeurs de sels sont grandes et aléatoires, plus ça a de chance d'invalider une partie de ces rainbow tables.

    C'est pourquoi outre le domaine du site web, je conseille très fortement, comme il ne peut pas générer un sel aléatoire car c'est l'opposé du but recherché par son outils, de quand même concaténer un sel constant assez long (plus il est long, mieux c'est).

    Si il peut le conserver secret, c'est mieux, bien évidemment mais default il peut être publique.