<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr" lang="fr">
<head>
<title>Sécuriser les mots de passe avec les hashs et les salts</title>
<meta http-equiv="content-type" content="text/html; charset=utf-8"/>
<meta name="description" content="Liste de tutoriels classés par catégorie (introduction au langage PHP, environnements de travail, les bases, bonnes pratiques, xml, poo, bases de données, concepts avancés...)" />
<meta name="keywords" content="php, php2, php3, php4, php5, php6, symfony, cake, dupral, joomla, mysql, tutoriels, tutoriaux, tutorials, apprendre, debutant, programmation, serveur, web, rasmus, lerdorf, zend, zeev, zuraski, forum, paris, afup, poo, objet, base, données, exécution, opcode, compilation, framework, communauté, sécurité, injection, elephpant, scripts, hello, world, wamp, mamp, xamp, lamp, easyphp, oracle, postgresql, sqlite, mssql, phpmyadmin, cookies, sessions, tableaux, arrays, strings, xss, sql, csrf" />
<meta name="author" content="Hugo Hamon" />
<link rel="stylesheet" type="text/css" media="screen" href="/css/v2/global.css" />
<!--[if lt IE 7]>
<link rel="stylesheet" type="text/css" media="screen" href="/css/v2/ie/ie6.css" />
<![endif]-->
<!--[if gte IE 7]>
<link rel="stylesheet" type="text/css" media="screen" href="/css/v2/ie/ie7.css" />
<![endif]-->
<link rel="stylesheet" type="text/css" media="screen" href="/css/v2/interieur.css" />
<link rel="stylesheet" type="text/css" media="screen" href="/css/v2/insertcode.css" />
<link rel="alternate" type="application/atom+xml" title="Flux Atom des actualités" href="/syndication/atom-actualites.php"/>
<link rel="alternate" type="application/atom+xml" title="Flux Atom des flash-infos" href="/syndication/atom-flashs.php"/>
<link rel="alternate" type="application/atom+xml" title="Flux Atom des forums" href="/syndication/atom-forums.php"/>
<link rel="alternate" type="application/atom+xml" title="Flux Atom des portions de script" href="/syndication/atom-portions.php"/>
<link rel="alternate" type="application/atom+xml" title="Flux Atom des tutoriels" href="/syndication/atom-tutoriels.php"/>
<link rel="alternate" type="application/rss+xml" title="Flux RSS des actualités" href="/syndication/rss-actualites.php"/>
<link rel="alternate" type="application/rss+xml" title="Flux RSS des flashs-infos" href="/syndication/rss-flashs.php"/>
<link rel="alternate" type="application/rss+xml" title="Flux RSS des forums" href="/syndication/rss-forums.php"/>
<link rel="alternate" type="application/rss+xml" title="Flux RSS des portions de script" href="/syndication/rss-portions.php"/>
<link rel="alternate" type="application/rss+xml" title="Flux RSS des tutoriels" href="/syndication/rss-tutoriels.php"/>
<link rel="stylesheet" href="/js/highlightjs/styles/github.css"/>
</head>
<body>
<div id="page">
<div id="fond-content">
<h1>Sécuriser les mots de passe avec les hashs et les salts</h1>
<div id="preambule">
<ul>
<li>
<a href="#content" title="Aller au contenu"><span>Aller au </span>contenu</a>
</li>
<li>
<a href="#menu" title="Aller au menu"><span>Aller au </span>menu</a>
</li>
</ul>
<form method="get" action="#" id="searchForm" onsubmit="alert('Moteur de recherches non disponible !');">
<fieldset>
<legend>Rechercher</legend>
<div>
<label for="search">Rechercher : </label>
<input type="text" id="search" name="search" title="Entrez vos mots-clés" value="mots-clés" onfocus="this.value='';"/>
</div>
<button type="submit" name="rechercher">OK</button>
</fieldset>
</form>
</div>
<div id="container">
<div id="header">
<ul id="menu">
<li><a accesskey="1" href="/index.html" title="Retour à la page d'accueil">Accueil</a></li>
<li><a accesskey="2" href="/actualites/actualites" title="Consulter les actualités">Actualités</a></li>
<li><a accesskey="3" href="/tutoriels.html" title="Consulter les tutoriels PHP">Tutoriels</a></li>
<li><a accesskey="4" href="/portions-de-script.html" title="Les portions de code triées par catégories">Scripts</a></li>
<li><a accesskey="5" href="/forums.html" title="Accéder aux forums de discussions">Forums</a></li>
<li><a accesskey="6" href="/forums/inscription.html" title="Devenir membre du site">Inscription</a></li>
<li><a accesskey="7" href="/guestbook.html" title="Signer le livre d'or">Livre d'or</a></li>
<li><a accesskey="9" href="/contacts/contactez-nous.html" title="Formulaire de contact">Contact</a></li>
</ul>
</div><!-- end of #header -->
<div id="content">
<div id="articles">
<div id="publicite">
<script type="text/javascript"><!--
google_ad_client = "pub-7753901842799835";
google_ad_width = 468;
google_ad_height = 60;
google_ad_format = "468x60_as";
google_ad_type = "image";
google_ad_channel = "5793904880+8022013819+9063761553+6586917175";
google_color_border = "341473";
google_color_bg = "ffffff";
google_color_link = "000033";
google_color_text = "000000";
google_color_url = "660000";
//-->
</script>
<a href="http://cpc.trafiz.net/tracking.php?id=503&amp;typeclic=partner&amp;typeclic_tool=206&amp;urlredirect=http%3A%2F%2Fraynette.fr%2Fscript-pro%2Fmoteur-de-recherche%2F" title="Boutique en ligne, solution e-commerce, script PHP et PERL : RAYNETTE">
<img src="/design/partenaires/raynette.gif" alt="Boutique en ligne, solution e-commerce, script PHP et PERL : RAYNETTE" />
</a>
</div>
<h2>Sécuriser les mots de passe avec les hashs et les salts</h2>
<div id="infosPost">
<ul>
<li class="iconeAuteur">Par Emacs</li>
<li class="iconeCommentaires">
35
commentaires
</li>
<li class="iconeEtoile">28838 lectures</li>
<li class="iconeSyndication">
<a href="/syndication/rss-tutoriels.php" title="S'abonner au flux RSS des tutoriels">RSS</a> -
<a href="/syndication/atom-tutoriels.php" title="S'abonner au flux Atom des tutoriels">Atom</a>
</li>
</ul>
<img src="/images/tutoriels/presentation/ZJkP9w8Ncnnq.png" alt="" class="imageDroite"/>
</div>
<div>
<p>
Comme nous le savons tous, le but d'un mot de passe est avant tout de rester connu d'une personne ou d'un groupe de personne. Sa divulgation entraine alors la perte complète de son efficacité et de sa sécurité. Lorsque le mot de passe devient connu d'une personne tierce, alors cette dernière peut par exemple s'approprier des droits sur une application et compromettre son fonctionnement normal. Un mot de passe est une donnée extrêmement sensible et convoitée par des pirates, quelle que soit l'application qui l'utilise.
</p>
<h3>Qu'est-ce qu'un mot de passe ?</h3>
<p>
Métaphoriquement, un mot de passe peut être perçu comme une clé ouvrant une / des porte(s) à celui qui le détient. Ainsi, cet utilisateur s'approprie des droits supplémentaires que d'autres personnes n'ont pas. Il ne tient alors qu'à lui de ne pas le divulguer pour que les privilèges qui lui sont conférés ne soient pas détournés par une tierce personne mal intentionnée.
</p>
<p>
Lorsqu'un / des mots de passe doivent être sauvegardés dans un système d'information (base de données, fichiers de configuration...), cela devient plus compliqué. En effet, la sécurité ne tient plus qu'à une personne mais repose à présent sur la sécurité du système d'information lui même (accès physique, identifiants pour se connecter dessus) ainsi que sur la manière dont sont stockés ces mots de passe dans le SI.
</p>
<h3>Sécurité des mots de passe dans un système d'information</h3>
<p>
Il est évident qu'une protection accrue des mots de passe dans le système d'information doit être mise en place. Le stockage des mots de passe en clair dans le système d'information devient alors impossible. Pourquoi ? Prenons le cas typique d'une base de données dans laquelle sont stockés les identifiants des utilisateurs d'un extranet d'une entreprise. Cela sous-entend qu'il y'ait une politique de sécurité à plusieurs niveaux de droits.
</p>
<p>
Un technicien n'aura pas les mêmes privilèges sur l'application que son supérieur hiérarchique. Ce dernier n'aura également pas les mêmes droits que le directeur des ressources humaines ou le PDG. Dans ce genre d'application, le mot de passe est le garant de la sécurité des données. Il faut donc le protéger assidument. Un recours au chiffrement devient alors indispensable.
</p>
<h3> Pourquoi crypter les données sensibles dans un SI ?<br />
</h3>
<p>
La réponse est simple. Il s'agit de garder confidentiel le mot de passe qui a été attribué à l'utilisateur en dehors de l'application. Il y'a aussi une part de déontologie dans la mesure où même le responsable de l'application ne devrait pas à connaître les identifiants personnels des utilisateurs. Cela ne le regarde pas. Revenons à notre exemple.
</p>
<p>
Qui dit extranet dit aussi accès à l'application depuis Internet. Il convient alors de chiffrer les données par une connexion sécurisée HTTPS et de protéger l'application contre d'éventuels accès pirates. Admettons que cet extranet ait mal été écrit et qu'il comporte une faille d'injection SQL. Un pirate pourrait alors récupérer les mots de passe enregistrés dans la base de données et pénétrer l'application sans problème avec les identifiants du PDG. Si les mots de passe sont cryptés, le pirate aura bien plus de mal à retrouver leur correspondance en clair. Dans cet exemple, l'attaque provient de l'extérieur mais qu'en est-il si la faiblesse du système se trouve à l'intérieur même de celui-ci ?
</p>
<p>
En effet, supposons qu'il faille maintenir la base de données en se connectant directement dessus. La société qui a édité l'application envoie son administrateur de base de données en intervention. Ce technicien intervient sur place mais ne fait aucunement partie de la société qui utilise l'application. Pourtant elle va manipuler la base de données. C'est à dire qu'elle pourra très probablement consulter tout ce qui s'y trouve à l'intérieur... y compris les identifiants de connexion. Si les mots de passe avaient été enregistrés en clair, il aurait pu s'approprier les accès de n'importe quel utilisateur sur l'application extranet... Malgré tout, rien ne l'empêche de se créer un nouvel utilisateur avec tous les droits directement dans la base de données. Nous verrons donc par la suite qu'un cryptage traditionnel ne suffit pas pour renforcer la sécurité d'un mot de passe.
</p>
<h3>Les méthodes de cryptage </h3>
<p>
Il en existe beaucoup. Cela peut aller des algorithmes de cryptage (pouvant être décryptés avec l'algorithme et la clé adéquate) aux algorithmes de hashage. Ce sont plutôt ces derniers que l'on a tendance à utiliser aujourd'hui. En effet, un algorithme de hashage permet de chiffrer une chaine sans possibilité d'opération inverse. Le résultat du hash produit généralement une chaine unique et de longueur fixe. C'est le cas par exemple des algorithmes MD5 et SHA1. Ainsi, lors d'une phase d'authentification, on ne compare plus deux mots de passe en clair mais deux hashes du mot de passe.
</p>
<h4>Hasher un mot de passe avec MD5</h4>
<pre class="php"><div class="head">Exemple de hash avec md5()</div><div class="de1"><span class="kw2"><?php</span></div><div class="de1"> <span class="re0">$md5</span> = <a href="http://www.php.net/md5"><span class="kw3">md5</span></a><span class="br0">(</span><span class="st0">'m0tD3P4ss3'</span><span class="br0">)</span>;</div><div class="de1"><span class="kw2">?></span></div></pre>
<p>
La variable $md5 contient alors une chaine unique, composée de caractères hexadécimaux et d'une longueur de 32 caractères.
</p>
<h4>Hasher un mot de passer avec SHA1 </h4>
<pre class="php"><div class="head">Exemple de hash avec sha1()</div><div class="de1"><span class="kw2"><?php</span></div><div class="de1"> <span class="re0">$sha1</span> = <a href="http://www.php.net/sha1"><span class="kw3">sha1</span></a><span class="br0">(</span><span class="st0">'m0tD3P4ss3'</span><span class="br0">)</span>;</div><div class="de1"><span class="kw2">?></span></div></pre>
<p>
La variable $sha1 contient ici une chaine unique, composée de caractères hexadécimaux et d'une longueur de 40 caractères.
</p>
<h3>Pourquoi les hashs simples ne suffisent plus ? </h3>
<p>
Cette méthode permet de chiffrer les chaines efficacement mais restent « crackables » ! « Ah bon ? Pourtant il a été écrit plus haut que l'on ne pouvait réaliser l'opération inverse !!! » Effectivement ! Néanmoins il existe sur Internet des « <em><strong>rainbow tables</strong></em> » (dictionnaires) capables de vous retourner la chaine en clair d'un md5(), d'un sha1() ou d'un autre algorithme standard de hash. Nul besoin de rappeler que les mots de passe classiques du type <em>root, superadmin, toto... </em>existent dans ces dictionnaires. Pour peu que le mot de passe original soit un mot du dictionnaire, il est fort probable que l'on puisse le retrouver dans une rainbow table à partir de son hash.
</p>
<h3>Hasher les mots de passe avec des « salts »</h3>
<p>
Cette technique consiste en la concaténation d'une ou plusieurs clés (appelées aussi « salt », « seed » ou « graine ») au mot de passe, puis le hashage de la chaine ainsi créée. Bien entendu, la / les clés doivent rester secrètes dans un fichier de configuration de l'application. Prenons un exemple simple de hash de mot de passe à partir de deux graines.
</p>
<pre class="php"><div class="head">Hash de mot de passe avec des salts</div><div class="de1"><span class="kw2"><?php</span></div><div class="de1"> </div><div class="de1"> <span class="co1">// Déclaration des constantes</span></div><div class="de1"> <a href="http://www.php.net/define"><span class="kw3">define</span></a><span class="br0">(</span><span class="st0">'PREFIX_SALT'</span>, <span class="st0">'prison'</span><span class="br0">)</span>;</div><div class="de1"> <a href="http://www.php.net/define"><span class="kw3">define</span></a><span class="br0">(</span><span class="st0">'SUFFIX_SALT'</span>, <span class="st0">'break'</span><span class="br0">)</span>;</div><div class="de1"> </div><div class="de1"> <span class="re0">$hashSecure</span> = <a href="http://www.php.net/md5"><span class="kw3">md5</span></a><span class="br0">(</span>PREFIX_SALT.<span class="st0">'m0tD3P4ss3'</span>.SUFFIX_SALT<span class="br0">)</span>;</div><div class="de1"><span class="kw2">?></span></div></pre>
<p>
Dans cet exemple, nous allons finalement hasher avec l'algorithme MD5 la chaine suivante : <em>prisonm0tD3P4ss3break</em>
</p>
<p>
Ainsi le MD5 de cette chaine sera complètement différent du MD5 du mot de passe seul.
</p>
<h4>Quel est alors l'intérêt de cette technique ? </h4>
<p>
Cette technique permet de ne pas pouvoir récupérer facilement le mot de passe d'origine en clair dans une rainbow table à partir du MD5. La sécurité du mot de passe réside alors dans la complexité et la confidentialité des clés choisies.
</p>
<p>
Revenons à notre exemple de départ en considérant que les mots de passe sont cette fois-ci hashés avec cette méthode avant d'être enregistrés en base de données. Le technicien malintentionné en intervention sur la base de données pourra essayer de cracker les mots de passe à partir d'une rainbow table, il n'y parviendra pas car il ne connait pas les graines utilisées et la méthode de cryptage employée. De même, s'il reconnait le format MD5 des mots de passe et qu'il enregistre son mot de passe sous ce format, celui-ci ne fonctionnera pas au moment de l'identification. En effet, le hash de la concaténation de son mot de passe saisi et des deux graines ne correspondra pas au hash qu'il a enregistré juste avant dans la base de données.
</p>
<h3>Cette technique peut-elle servir en dehors des mots de passe ?</h3>
<p>
La réponse est oui ! Cette technique est employée pour chiffrer des informations placées dans un champ caché de formulaire ou bien dans un cookie. La technique du seed permet notamment de vérifier l'intégrité d'une donnée enregistrée entre chaque page. Cela revient à dire que si son hash ne correspond pas avec le hash attendu, c'est que le client a modifié l'information de son côté pour tenter de gruger votre application. Il sera donc possible d'appliquer les traitements adéquats : message d'erreur, bannissement de l'utilisateur pendant un certain temps...
</p>
</div>
<div class="visualClear">
<hr/>
</div>
<ul class="paginationTutoriel">
<li class="lienTutoGauche">
<a href="/tutoriels/tutoriel-39-introduction-aux-cross-site-request-forgeries-ou-sea-surf.html">« Introduction aux Cross Site Request Forgeries ou Sea Surf</a>
</li>
</ul>
<div class="visualClear">
<hr/>
</div>
<h2>Les commentaires</h2>
<div id="commentaires">
<div id="comment131" class="commentaire">
<p class="infosPost">
<span class="commentNumber">1.</span>
<span>Par Xireus</span>
<span>le 14/01/2008 19:50</span>
</p>
<blockquote>
<p>Pas mal le tuto <img src="/design/smilies/moqueur.gif" alt="" /> ! Comme je te l'ai dit, tu devrais parler de crypt() et de son utilisation pour blowfish. Pourquoi ne pas aussi introduire OpenSSL et mcrypt ?<br />
<br />
Ca en reste quand même un bon tuto <img src="/design/smilies/smile.gif" alt="" /> .</p>
</blockquote>
</div>
<div id="comment132" class="commentaire">
<p class="infosPost">
<span class="commentNumber">2.</span>
<span>Par Emacs</span>
<span>le 14/01/2008 19:54</span>
</p>
<blockquote>
<p>Merci Xireus pour le commentaire. Effectivement Crypt() permet en plus d'utiliser un salt en paramètre facultatif. Je vais songer à ajouter ça en plus au tutoriel.</p>
</blockquote>
</div>
<div id="comment152" class="commentaire">
<p class="infosPost">
<span class="commentNumber">3.</span>
<span>Par chubie</span>
<span>le 02/02/2008 19:04</span>
</p>
<blockquote>
<p>Un tutoriel très intéressant. Je connaissais md5 et sha1 mais pas la méthode des graines.</p>
</blockquote>
</div>
<div id="comment157" class="commentaire">
<p class="infosPost">
<span class="commentNumber">4.</span>
<span>Par Divx</span>
<span>le 07/02/2008 22:36</span>
</p>
<blockquote>
<p>Il est vrai que le crypt() je l'utilise tout le temp je connaissai la technique des graines une technique peut rependut mais trés efficace !</p>
</blockquote>
</div>
<div id="comment159" class="commentaire">
<p class="infosPost">
<span class="commentNumber">5.</span>
<span>Par Chrisvip</span>
<span>le 09/02/2008 22:33</span>
</p>
<blockquote>
<p>Mais si tu mets "prison" et "break" dans le mot de passe, le MD5 change mais pas le mot de passe quand on l'entre ? C'est-à-dire quand je me connecte sur un espace membres...</p>
</blockquote>
</div>
<div id="comment160" class="commentaire">
<p class="infosPost">
<span class="commentNumber">6.</span>
<span>Par Emacs</span>
<span>le 10/02/2008 00:36</span>
</p>
<blockquote>
<p>Je ne comprends pas où tu veux en venir. Les salts doivent obligatoirement restées secrètes et être concaténées à chaque fois que tu veux tester l'intégrité du mot de passe.</p>
</blockquote>
</div>
<div id="comment164" class="commentaire">
<p class="infosPost">
<span class="commentNumber">7.</span>
<span>Par Huraken</span>
<span>le 11/02/2008 03:52</span>
</p>
<blockquote>
<p>La comparaison du mot de passe se fera toujours avec la concaténation des graines et le md5 de la base de données, çà ne va pas changer le mot de passe de départ.<br />
Sympa ce tutoriel, je connaissais pas les graines non plus.</p>
</blockquote>
</div>
<div id="comment166" class="commentaire">
<p class="infosPost">
<span class="commentNumber">8.</span>
<span>Par Chrisvip</span>
<span>le 11/02/2008 18:13</span>
</p>
<blockquote>
<p>Je sais si j'utilise ça dans un de mes sites, lorsque les membres vont taper leurs mots de passe, comment ils vont faire ?</p>
</blockquote>
</div>
<div id="comment169" class="commentaire">
<p class="infosPost">
<span class="commentNumber">9.</span>
<span>Par Emacs</span>
<span>le 11/02/2008 21:41</span>
</p>
<blockquote>
<p>Et bien lorsqu'ils tapent le password, tu concatènes les salts puis tu calcules le hash md5(). Il ne te reste plus qu'à le comparer avec celui enregistré en BDD. Si les deux hashes sont identiques, c'est que la concaténation des salts+PWD est identique et donc que le password tapé est correct.</p>
</blockquote>
</div>
<div id="comment171" class="commentaire">
<p class="infosPost">
<span class="commentNumber">10.</span>
<span>Par Chrisvip</span>
<span>le 12/02/2008 20:01</span>
</p>
<blockquote>
<p>Ah d'accord, mais on m'a dit que le MD5 est indécryptable, pourquoi utiliser ça alors ?</p>
</blockquote>
</div>
<div id="comment172" class="commentaire">
<p class="infosPost">
<span class="commentNumber">11.</span>
<span>Par Emacs</span>
<span>le 12/02/2008 20:44</span>
</p>
<blockquote>
<p>Tu n'as pas lu le tutoriel correctement. Certes md5() ne permet pas d'être décrypté. C'est le principe du hash. Mais il existe plusieurs solutions pour cracker un password en md5() comme par exemple : <br />
<br />
* l'attaque par brute force qui va tester toute une série de combinaisons possibles jusqu'à trouver la bonne.<br />
<br />
* l'utilisation du "rainbow table" (dictionnaire) qui va te retourner la correspondance en clair à partir d'une chaine md5(). Si le mot de passe et son md5 sont référencés dans une rainbow table, alors il n'y a plus de sécurité par rapport au password.<br />
<br />
Avec la méthode du salt, ça permet de renforcer la sécurité des passwords car il devient plus difficile de retrouver la chaine originale.<br />
<br />
En somme : La complexité de la salt + la complexité du password + la sécurité de la salt (connue de personne) = sécurité du password</p>
</blockquote>
</div>
<div id="comment187" class="commentaire">
<p class="infosPost">
<span class="commentNumber">12.</span>
<span>Par Maxime</span>
<span>le 01/03/2008 22:47</span>
</p>
<blockquote>
<p>Tuto intéressant, mais j'ai une question à vous soumettre. Supposons qu'une personne à réussi à découvrir les mots de passe cryptés dans le système d'information avec une sécurité maximum. Supposons que pour vérifier le mot de passe des membres, le site utilise un système de cookie et qu'un cookie contient le mot de passe crypté du membre, au cas où celui-ci serait volé. Le mot de passe du cookie correspond donc au mot de passe du système d'information. Imaginons maintenant que la personne qui a réussi à découvrir les mots de passe dans le système d'information créé le cookie contenant le mot de passe des membres, qu'il y place le mot de passe d'un membre prélevé dans le système d'information, vous serez d'accord qu'il jouira des mêmes droits de celui de qui il a pris la place.<br />
<br />
Comment parer ce problème ?</p>
</blockquote>
</div>
<div id="comment189" class="commentaire">
<p class="infosPost">
<span class="commentNumber">13.</span>
<span>Par Paul Henri Bonnement</span>
<span>le 02/03/2008 00:11</span>
</p>
<blockquote>
<p>Tutoriel sympa, première fois que je vois cette méthode des graines, et je dois avouer qu'elle me plait bien <img src="/design/smilies/smile.gif" alt="" /><br />
Pourquoi ne pas pousser le vice en passant plusieurs algo de cryptage sur les mot de passe ? :o</p>
</blockquote>
</div>
<div id="comment190" class="commentaire">
<p class="infosPost">
<span class="commentNumber">14.</span>
<span>Par Emacs</span>
<span>le 02/03/2008 00:42</span>
</p>
<blockquote>
<p>@Maxime : pour parer ce problème c'est tout simple. Il y'a une règle d'or à respecter : ne jamais transmettre de mot de passe (même crypter) dans un cookie. Il vaut mieux y stocker une chaine cryptée qui a par exemple été construite avec la concaténation du login, email et chaine aléatoire au moment de l'inscription. Cette nouvelle chaine est placée dans le cookie et en base de données. Le problème c'est que malgré tout, si le pirate arrive à voler ce cookie, alors il pourra se logguer sur le compte de la personne. Donc la meilleure manière de se protéger à se niveau là est de ne pas implémenter de système de reconnaissance automatique et d'obliger l'utilisateur à se logguer à chaque passage. C'est certes moins ergonomique et "user-friendly" mais c'est aussi la méthode la plus "secure".<br />
<br />
@Paul Henri : on pourrait très bien pousser le vice en multipliant les algorithmes de cryptage. Par exemple faire un sha1() sur un md5(). Il n'appartient qu'au développeur de choisir la stratégie de sécurité à appliquer à son application et à ses passwords. Cette méthode des salts avec un seul md5() ou sha1() s'avère déjà très efficace dans la mesure où les graines sont bien évidemment gardées secrètes.</p>
</blockquote>
</div>
<div id="comment230" class="commentaire">
<p class="infosPost">
<span class="commentNumber">15.</span>
<span>Par Nicolas c'est moi</span>
<span>le 03/04/2008 16:37</span>
</p>
<blockquote>
<p>En français, on dit chiffrer et pas crypter qui est un angliscisme.<br />
<br />
Sinon le fait d'appliquer plusieurs algorithme de chiffrement successivement n'améliore pas la sécurité.</p>
</blockquote>
</div>
<div id="comment231" class="commentaire">
<p class="infosPost">
<span class="commentNumber">16.</span>
<span>Par Emacs</span>
<span>le 03/04/2008 18:50</span>
</p>
<blockquote>
<p>Oh Nicolas ! Merci pour ton passage et ton commentaire <img src="/design/smilies/smile.gif" alt="" /><br />
<br />
Je note ta remarque concernant l'abus de langage. Je vais mettre l'article à jour.<br />
<br />
Par contre, pourrais-tu nous expliquer pourquoi le fait d'appliquer plusieurs algorithmes de chiffrement n'améliore pas la sécurité stp ? Serait-ce parceque ça renforce les risques de collision ?</p>
</blockquote>
</div>
<div id="comment235" class="commentaire">
<p class="infosPost">
<span class="commentNumber">17.</span>
<span>Par dinette</span>
<span>le 10/04/2008 20:02</span>
</p>
<blockquote>
<p>Tuto très sympa et fort intéressant mais ce qui m'intrigue, c'est que si le membre perd son mot de passe comment le récupérer et le lui renvoyer? Moi cela m'est déjà arrivé plusieurs fois. Il est crypté dans la db donc irrécupérable.</p>
</blockquote>
</div>
<div id="comment236" class="commentaire">
<p class="infosPost">
<span class="commentNumber">18.</span>
<span>Par Emacs</span>
<span>le 10/04/2008 21:27</span>
</p>
<blockquote>
<p>Bonsoir Dinette,<br />
<br />
On ne renvoie pas le password d'origine puisque l'on ne peut pas le retrouver. Dans ce cas, on est obligé de générer un nouveau password et de l'envoyer à l'utilisateur pour qu'il puisse se relogguer et le changer.</p>
</blockquote>
</div>
<div id="comment252" class="commentaire">
<p class="infosPost">
<span class="commentNumber">19.</span>
<span>Par pagesdiv</span>
<span>le 03/05/2008 12:49</span>
</p>
<blockquote>
<p>Crypt est une racine grecque tres ancienne signifiant caché.<br />
Donc NE FAIT ABSOLUMENT PAS partie du patrimoine parlé celte/saxon.<br />
Crypter n'est donc pas un anglicisme. C'est une appropriation historique.</p>
</blockquote>
</div>
<div id="comment277" class="commentaire">
<p class="infosPost">
<span class="commentNumber">20.</span>
<span>Par Sithran</span>
<span>le 23/05/2008 21:00</span>
</p>
<blockquote>
<p>Ce qui est intéressant, c'est de faire en sorte d'utiliser un salt différent pour chaque utilisateur, ça garantit encore plus la sécurité.</p>
</blockquote>
</div>
<div id="comment278" class="commentaire">
<p class="infosPost">
<span class="commentNumber">21.</span>
<span>Par Emacs</span>
<span>le 24/05/2008 10:33</span>
</p>
<blockquote>
<p>Oui c'est exact Sithran! C'est ce que fait d'ailleurs le framework Symfony et son plug-in sfGuard de gestion des utilisateurs. Avoir une salt propre à chaque user c'est plus sécurisé mais ça implique aussi de la stocker en base de données et donc de faire un appel supplémentaire sur la BDD. Dans ce tutoriel, j'ai juste présenter le principe de fonctionnement des mots de passe hashés avec une salt <img src="/design/smilies/smile.gif" alt="" /></p>
</blockquote>
</div>
<div id="comment360" class="commentaire">
<p class="infosPost">
<span class="commentNumber">22.</span>
<span>Par Occurrence Web</span>
<span>le 31/07/2008 11:30</span>
</p>
<blockquote>
<p>"Le technicien malintentionné en intervention sur la base de données [...] il ne connait pas les graines utilisées et la méthode de cryptage employée"<br />
<br />
Petit B-mol : s'il est technicien, il y a toutes les chances qu'il puisse obtenir les graines utilisées en récupérant le bon script.<br />
<br />
En tout cas les tutos sont bien conçus ici, bravo ! Niveau sécurité, j'emploie la même technique de Hash/salt à peu de chose près. Selon les projets, je rajoute une 2ème clé qui contient le hash/salt de l'IP+version du navigateur de l'internaute, uniquement utile pour un contrôle permanent PENDANT la navigation de l'internaute.</p>
</blockquote>
</div>
<div id="comment410" class="commentaire">
<p class="infosPost">
<span class="commentNumber">23.</span>
<span>Par JeremyB9</span>
<span>le 15/09/2008 13:09</span>
</p>
<blockquote>
<p>Bonjour,<br />
<br />
J'avais lu il y a quelques jours cette méthode de graine, et il faut dire que cela peut être très intéressant.<br />
Dans le tutoriel, on dit qu'on peut trouver un mot de pass (notament lorqu'il est hashé avec md5() ) par Brute force ou en utilisant les "raibow tables".. mais j'ai lu qu'il existait des collisions avec certains mots. Par exemple, si on hash le mot "poule" avec md5(), idem pour "frite", les deux hash peuvent donner la même chaine unique (d'où la collision) !<br />
Alors voilà, je sais pas si il est intéressant de le rajouter dans le tutoriel ou pas, mais je l'aurai au moins dit ici.</p>
</blockquote>
</div>
<div id="comment411" class="commentaire">
<p class="infosPost">
<span class="commentNumber">24.</span>
<span>Par Emacs</span>
<span>le 15/09/2008 14:00</span>
</p>
<blockquote>
<p>Salut Jérémy,<br />
<br />
Effectivement des risques de collisions existent, c'est pourquoi il vaut mieux éviter la solution présentées telle qu'elle dans ce tutoriel. Certes, elle fonctionne bien et est efficace mais elle a surtout pour objectif de présenter le principe des salts. Dans l'idéal, la génération de la salt devrait être laissée à la portée de PHP via sa fonction crypt() qui gère nativement plusieurs algorithmes de chiffrage dont MD5, SHA1 ou Blowfish pour ne citer qu'eux.<br />
<br />
++</p>
</blockquote>
</div>
<div id="comment414" class="commentaire">
<p class="infosPost">
<span class="commentNumber">25.</span>
<span>Par OSteEL</span>
<span>le 23/09/2008 14:38</span>
</p>
<blockquote>
<p>Excellent tutoriel, clair, précis, orthographe et syntaxe soignées.<br />
<br />
Suffisamment rare pour être souligné.<br />
<br />
Je vais faire le tour voir ce que vous proposez d'autre <img src="/design/smilies/smile.gif" alt="" /></p>
</blockquote>
</div>
<div id="comment744" class="commentaire">
<p class="infosPost">
<span class="commentNumber">26.</span>
<span>Par Chantal.C</span>
<span>le 10/05/2009 17:09</span>
</p>
<blockquote>
<p>Merci pour ce tuto excellent,je vais l'étudier de plus près.<br />
A++</p>
</blockquote>
</div>
<div id="comment756" class="commentaire">
<p class="infosPost">
<span class="commentNumber">27.</span>
<span>Par bruno</span>
<span>le 18/05/2009 08:07</span>
</p>
<blockquote>
<p>Une bonne idée est d'utiliser substr pour compliquer le haschage , sur un sha256 , on peut ne garder que 20 caractères , autant dire que pour retrouver le hasch complet ...</p>
</blockquote>
</div>
<div id="comment770" class="commentaire">
<p class="infosPost">
<span class="commentNumber">28.</span>
<span>Par SenseiGirl57</span>
<span>le 23/05/2009 19:13</span>
</p>
<blockquote>
<p>Il se passe quoi si on trouve grâce à des rainbow tables 2 des mots de passes saltés ? On va vite se rendre compte que dans les 2 y'a prison et break, et savoir que le mot de passe c'est ce qu'il y a entre, non ?<br />
<br />
@bruno beaucoup plus de risques de colisions donc non ?</p>
</blockquote>
</div>
<div id="comment771" class="commentaire">
<p class="infosPost">
<span class="commentNumber">29.</span>
<span>Par bruno</span>
<span>le 25/05/2009 10:07</span>
</p>
<blockquote>
<p>Bonjour Sensei .<br />
<br />
Non , tout repose sur l'id principal qui lui doit étre vraiment unique , a partir de la , il n'y a pas de collision .<br />
<br />
<br />
En règle générale , il n'y a pas beaucoup d'attaques sur les sites moyens , a part les attaques automatisées qui ciblent des failles courantes , qui commencent par chercher des form.php ou login.php, et les applications populaires telles phpbb et autres .<br />
<br />
Déja , le salt est très bien et suffit . On peut d'ailleurs mettre un salt différent pour chaque membre .<br />
<br />
Non , c'est vraiment très bien si vous n'étes pas directeur de banque .<br />
<br />
Quand a mon commentaire , c'était juste une idée .<br />
<br />
En fait , j'utilise sha256 et javascript pour l'authentification d'espace membre , 128 carctères ça fait beaucoup , pour mes sessions j'utilise md5 et salt .<br />
<br />
<br />
Mais c'est vrai que couper un hash rend la tache quasi impossible , du moins excessivement longue , car il faut retrouver la partie manquante plus le salt .</p>
</blockquote>
</div>
<div id="comment786" class="commentaire">
<p class="infosPost">
<span class="commentNumber">30.</span>
<span>Par Florian</span>
<span>le 08/06/2009 10:27</span>
</p>
<blockquote>
<p>Bonjour à tous.<br />
Juste pour ceux qui confondraient...<br />
On ajoute les grains de sable avant de crypter les données.<br />
echo md5('prison'.'m0tDeP4sSe'.'break'<img src="/design/smilies/clin_d_oeil.gif" alt="" />;<br />
// donne 59041b3344975b7abc04b1b636c75f95<br />
<br />
Donc on ne voit plus apparaitre les grains de sables, et sur plusieurs mots de passes, il n'y a pas le même début ni la même fin. C'est l'ensemble qui se retrouve crypté...<br />
<br />
@+</p>
</blockquote>
</div>
<div id="comment825" class="commentaire">
<p class="infosPost">
<span class="commentNumber">31.</span>
<span>Par JC</span>
<span>le 26/06/2009 18:23</span>
</p>
<blockquote>
<p>Hello,<br />
Merci pour cette excellente article !<br />
<br />
Sinon, le salt ne devrait pas plutôt être appliqué après avoir hashé le mdp ?<br />
Comme 'salt'.md5(mdp) ?<br />
<br />
Car sur le site de php on peut remarquer à l'exemple 3 que le salt est appliqué après hashage du mdp: <br />
<br />
http://fr3.php.net/manual/fr/function.crypt.php<br />
<br />
++</p>
</blockquote>
</div>
<div id="comment860" class="commentaire">
<p class="infosPost">
<span class="commentNumber">32.</span>
<span>Par SenseiGirl57</span>
<span>le 19/07/2009 02:02</span>
</p>
<blockquote>
<p>@Florian, oui mais on s'en rendra compte dans la rainbow table.</p>
</blockquote>
</div>
<div id="comment880" class="commentaire">
<p class="infosPost">
<span class="commentNumber">33.</span>
<span>Par sceptique</span>
<span>le 03/08/2009 20:16</span>
</p>
<blockquote>
<p>Je voudrais savoir comment on peut encrypter AVANT un post method. Car peu importe le hash les données doivent être envoyer à une page de réponse. Exemple <br />
<form action="login.php" method="post"> <br />
<input type="password" id="pass" name="pass" value="" /><br />
<br />
la valeur $_POST['pass'] contient le mot de passe en clair, Alors comment y remedier SANS utiliser de Javascript.</p>
</blockquote>
</div>
<div id="comment881" class="commentaire">
<p class="infosPost">
<span class="commentNumber">34.</span>
<span>Par Emacs</span>
<span>le 04/08/2009 11:20</span>
</p>
<blockquote>
<p>@sceptique : le seul moyen ici c'est de passer par une connexion HTTPS <img src="/design/smilies/clin_d_oeil.gif" alt="" /></p>
</blockquote>
</div>
<div id="comment924" class="commentaire">
<p class="infosPost">
<span class="commentNumber">35.</span>
<span>Par julien</span>
<span>le 09/09/2009 11:20</span>
</p>
<blockquote>
<p>je me demandais comment il était possible de générer un "salt" différent pour chaque mot de passe enregistrer. L'idée me semble génial car cela signifie que même si un mot de passe devait être déchiffré, les autres restent relativement sécurisés. Mais si le "salt" est généré aléatoirement, comment faire le contrôle sur le mot de passe originel lors de la connexion d'une personne (par exemple)<br />
<br />
Merci d'avance</p>
</blockquote>
</div>
</div>
</div><!-- end of #articles -->
</div><!-- end of #content -->
</div><!-- end of #container -->
<div id="side">
<div id="login-box">
<form method="post" action="/auth">
<fieldset>
<legend>Identifiez-vous</legend>
<div>
<label for="login"><abbr title="Identifiant">ID</abbr></label>
<input type="text" id="login" name="login" value=""/>
</div>
<div>
<label for="pass"><abbr title="Mot de passe">MDP</abbr></label>
<input type="password" id="pass" name="password" value=""/>
</div>
<div id="actions">
<input type="submit" name="gotolog" value="OK" class="submit"/>
<a href="/forums/inscription.html" title="Rejoignez Apprendre-PHP !">Join</a><span class="masquer"> | </span>
<a href="/forums/identifiants-perdus.html" title="Vous avez oublié vos identifiants ?"><abbr title="Identifiant">ID</abbr>/<abbr title="Mot de passe">MDP</abbr>?</a><span class="masquer"> | </span>
<div class="clear"> </div>
</div>
</fieldset>
</form>
</div><!-- end of #login-box -->
<div id="nav">
<!-- Menu secondaire -->
<h3>Cours & tutoriels</h3>
<ul>
<li>
<a href="/tutoriels/categorie-1-1-introduction-au-langage-php.html" title="Introduction au langage PHP">Introduction à PHP</a>
</li>
<li>
<a href="/tutoriels/categorie-2-1-les-environnements-de-travail-pour-dvelopper-en-php.html" title="Les environnements de travail pour développer en PHP">Environnements de...</a>
</li>
<li>
<a href="/tutoriels/categorie-3-1-les-bases-du-langage-php.html" title="Les bases du langage PHP">Les bases</a>
</li>
<li>
<a href="/tutoriels/categorie-12-1-traitement-d-images-avec-php.html" title="Traitement d'images avec PHP">Les images</a>
</li>
<li>
<a href="/tutoriels/categorie-6-1-la-programmation-oriente-objet-poo.html" title="La programmation orientée objet (POO)">La POO</a>
</li>
<li>
<a href="/tutoriels/categorie-18-1-les-motifs-de-conception-design-patterns.html" title="Les motifs de conception (design patterns)">Les design patterns</a>
</li>
<li>
<a href="/tutoriels/categorie-17-1-scurit-des-applications-php.html" title="Sécurité des applications PHP">Sécurité PHP</a>
</li>
<li>
<a href="/tutoriels/categorie-21-1-les-frameworks-php.html" title="Les frameworks PHP">Les frameworks</a>
</li>
<li>
<a href="/tutoriels/categorie-19-1-bonnes-pratiques-de-dveloppement.html" title="Bonnes pratiques de développement">Bonnes pratiques</a>
</li>
<li>
<a href="/tutoriels/categorie-7-1-dveloppement-avanc-et-optimisation-des-applications.html" title="Développement avancé et optimisation des applications">Développement avancé...</a>
</li>
<li>
<a href="/tutoriels/categorie-8-1-exemples-concrets-de-scripts-php-utiles.html" title="Exemples concrets de scripts PHP utiles">Exemples concrets</a>
</li>
<li>
<a href="/tutoriels/categorie-10-1-les-serveurs-web-configuration-et-utilisation.html" title="Les serveurs Web : configuration et utilisation">Serveurs Web</a>
</li>
<li>
<a href="/tutoriels/categorie-24-1-congrs-salons-forums-autour-de-php.html" title="Congrès, salons, forums... autour de PHP">Evènements PHP</a>
</li>
</ul>
<!-- Livres PHP -->
<h3>Livres utiles</h3>
<p id="book">
<a href="http://www.amazon.fr/gp/product/2212121679?ie=UTF8&tag=appphp-21&linkCode=as2&camp=1642&creative=6746&creativeASIN=2212121679" title="">
<img src="/images/books/php-5-avance.jpg" alt="" />
</a>
</p>
<!-- Partenaires -->
<h3>Partenaires</h3>
<ul>
<li><a href="http://www.urlrewriting.fr/" title="Url Rewriting, Regex: actualité, tutoriel, download">URL Rewriting</a></li>
<li><a href="http://www.raynette.fr/script-gratuit/" title="Scripts PHP gratuits et professionnels avec Raynette">Scripts PHP gratuits</a></li>
<li><a href="http://training.sensiolabs.com/fr/course/PHPC1/developpement-web-avec-php-mysql" title="Construire un site web dynamique avec PHP et MySQL">Formation PHP MySQL</a></li>
<li><a href="http://training.sensiolabs.com/fr/course/PHPC2/programmation-orientee-objet-php" title="Programmation orientée objet avec PHP 5.3">Formation PHP 5.3 POO</a></li>
<li><a href="http://training.sensiolabs.com/fr/course/GITC1/controle-version-code-git" title="Git pour les développeurs">Formation Git</a></li>
<li><a href="http://training.sensiolabs.com/fr/course/SF2C2/developpement-web-avec-symfony2" title="Développement web avec Symfony2">Formation Symfony</a></li>
<li><a href="http://www.jobsphp.fr" title="Trouvez un emploi avec JobsPHP.fr">Emplois PHP</a></li>
<li><a href="http://www.lephpfacile.com" title="Cours de PHP">Le PHP Facile</a></li>
</ul>
</div><!-- end of #nav -->
</div><!-- end of #side -->
<div class="clear"> </div><!-- presentational div -->
</div><!-- end of #fond-content -->
</div><!-- end of #page -->
<p id="footer">
Copyright © 2007 - Apprendre-PHP.com - Tous droits réservés - Reproduction interdite même partielle - <a href="#page" title="Retour en haut de page">haut de page</a>
<br/><br/>
Webdesign par KAC - Intégration XHTML / CSS par Neovov - Développement par Emacs & Palleas.
</p>
<div id="footer-img"> </div>
<script type="text/javascript">
$(document).ready(function () {
$.post("/tutoriels/tutoriel-35/hits");
});
</script>
<script type="text/javascript" src="http://www.assoc-amazon.fr/s/link-enhancer?tag=appphp-21&o=8"></script>
<noscript>
<p>
<img src="http://www.assoc-amazon.fr/s/noscript?tag=appphp-21" alt="Boutique Amazon" />
</p>
</noscript>
<script type="text/javascript" src="/js/jquery.min.js"></script>
<script type="text/javascript" src="/js/highlightjs/highlight.pack.js"></script>
<script type="text/javascript">
hljs.tabReplace = ' ';
hljs.initHighlightingOnLoad();
</script>
<script type="text/javascript">
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js' type='text/javascript'%3E%3C/script%3E"));
</script>
<script type="text/javascript">
var pageTracker = _gat._getTracker("UA-3507931-1");
pageTracker._initData();
pageTracker._trackPageview();
</script>
</body>
</html>
Aucun commentaire:
Enregistrer un commentaire