Nous sommes actuellement le 13 Juil 2026, 03:21

Le fuseau horaire est UTC-5 heures [Heure d’été]




Publier un nouveau sujet Répondre au sujet  [ 8 message(s) ] 
Auteur Message
 Sujet du message: PHP & password encryption
MessagePublié: 20 Sep 2004, 09:00 
Hors-ligne
Régulier
Régulier
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 18:42
Message(s) : 382
Localisation : Sherbrooke
Hi everybody,

Je suis en train de développer une application en PHP et j'aimerais savoir comment faire pour encrypter un mot de passe reçu de l'usager avant de l'inscrire dans la base de données; J'ai lu dans un livre qu'il y avait la fonction mypass=password($myPassword) qui retournait un hash encrypté de $myPassword, mais meme sur php.net cette fonction est introuvable. Dois-je inclure quelque chose comme en C++ ou quel autre moyen connaisez-vous pour y parvenir?

Merci!

XND

_________________
Hope this helps,

-XND- :P
zechris@gmail.com
JAPH.


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 09:52 
Hors-ligne
Modérateur
Modérateur
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 15:10
Message(s) : 3551
Localisation : Beauport, Québec
Regarde pour la fonction md5()

_________________
Procyon,
Modérateur de la section Trouvailles


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 10:36 
Hors-ligne
Régulier
Régulier
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 18:42
Message(s) : 382
Localisation : Sherbrooke
merci de ta réponse! J'ai entendu dire que le cryptage par md5 est pas tres robuste. devrais-je l'utiliser en conjoncture avec sha1?..

XND

_________________
Hope this helps,

-XND- :P
zechris@gmail.com
JAPH.


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 10:40 
Hors-ligne
Modérateur
Modérateur
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 15:10
Message(s) : 3551
Localisation : Beauport, Québec
XND a écrit:
merci de ta réponse! J'ai entendu dire que le cryptage par md5 est pas tres robuste. devrais-je l'utiliser en conjoncture avec sha1?..

XND


je n'ai jamais entendu parler de ce problème.

Le MD5, c'est un algorithme qui génère une empreinte de 128 bits unique à partir de n'importe quel texte.

L'avantage du MD5, c'est qu'il est irréversible. C'Est pas possible de prendre un code MD5 et d'en retrouver la chaine originale, même en sachant l'algorithme.

Ça veut aussi dire que si tu utilise ça, les gens ne pourront pas récupérer leur mot de passe, tu devra en générer un nouveau si ils l'oublient.

_________________
Procyon,
Modérateur de la section Trouvailles


Dernière édition par Procyon le 20 Sep 2004, 10:52, édité 1 fois.

Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 10:51 
Hors-ligne
Modérateur
Modérateur
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 15:10
Message(s) : 3551
Localisation : Beauport, Québec
Eh bien il est toujours intéressant d'en savoir un peu plus! :D C'Est pas un côté sur lequel je m'étais vraiment penché beaucoup.

http://www.computerworld.com/securityto ... rity-95343

Le MD5 est encore très fiable, mais effectivement le SHA-1 est plus récent et est supposé être plus solide.

EDIT:

http://www.certicom.com/index.php?action=res,md5_faq

Selon eux, il serait maintenant facile de générer des collisions avec le MD5!

On en apprend.. :D

Prends sha1() :D

_________________
Procyon,
Modérateur de la section Trouvailles


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 10:59 
Hors-ligne
Régulier
Régulier
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 18:42
Message(s) : 382
Localisation : Sherbrooke
excellent merci buddy!

_________________
Hope this helps,

-XND- :P
zechris@gmail.com
JAPH.


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 11:09 
Hors-ligne
Modérateur
Modérateur
Avatar de l’utilisateur

Inscription : 07 Jan 2002, 15:10
Message(s) : 3551
Localisation : Beauport, Québec
Encore un peu plus pour ceux que ça intéresse.

http://en.wikipedia.org/wiki/MD5
Citer:
On 17 August 2004, collisions for MD5 were announced by Xiaoyun Wang, Dengguo Fen, Xuejia Lai and Hongbo Yu [1] (http://eprint.iacr.org/2004/199.pdf). Their attack was reported to take only one hour on an IBM P690 cluster.


http://eprint.iacr.org/2004/199.pdf

http://en.wikipedia.org/wiki/MD5CRK

_________________
Procyon,
Modérateur de la section Trouvailles


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Sep 2004, 13:52 
Hors-ligne
Fidèle
Fidèle
Avatar de l’utilisateur

Inscription : 08 Jan 2002, 11:31
Message(s) : 811
Localisation : Still on Mars
Tu peux aussi ajouté d'autre info a ton md5 ou sha1.

Par example a place de prendre un password tout bete et le metre directe dedans fais des opération dessus.

- coupe le pw en deux et inverse les section
- ajoute une parti du username dedans
- ...

De cette facon si il reussi a trouvé un match du sha1 ils ne seront toujours pas le pw du user...
Puiis si ils essai d'entré des donné bidon (attaque par dictionnaire par example) ca ne foncitonnera pas car tu contourne le probleme.

Aussi si tu veux vraiment poussé valide les pw de test user avec les fonction php.net/crack

Tu peux meme conduire des attacque toi meme et les prévenir de changer leur pw car il est insécuritaire

Have fun ;)

_________________
Pro_PHP

La Conference PHP Québec 2008
La communauté PHP Québec


Haut
 Profil  
Répondre en citant  
Afficher les messages publiés depuis :  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 8 message(s) ] 

Le fuseau horaire est UTC-5 heures [Heure d’été]


Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 2 invité(s)


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum

Recherche de:
Aller vers :  
Propulsé par phpBB® Forum Software © phpBB Group
Traduction et support en françaisHébergement de site