Faille dans MySQL avec le md5 ?
Je viens de voir qu'il existait des décodeurs md5
Alors, n'importe quelle personne malattentioné peut créér un site avec espace membre et consulter sa table MySQL pour décoder les mot de passes ??
Est-ce donc ici que se limite les tables MySQL ?
Voilà, juste pour prévenir et dire qu'il vaut mieux mettre des mots de passes différents pour chaque site ou l'on s'inscrit...
http://raphlight.free.fr/trad.php
Je viens de voir qu'il existait des décodeurs md5
Tu devrais lire une doc. sur le md5.
En effet, dès l'invention du md5, il existait déjà des "décodeurs" : la puissance de calcul des processeurs.
Je m'explique.
Le md5, c'est une technique de hachage, donc pour décoder, il faut soit brutforcer (tester toutes les possibles et voir si le md5 match ou non), soit avoir en sa possession, une base qui fait la corrélation entre une chaine en clair et son md5 (ce que tu as l'air de citer dans ton message).
md5 n'est pas infaillible : c'est une technique de hachage, par conséquent, deux chaines différentes peuvent avoir le même md5.
Ensuite, brutforcer un md5 qui d'origine fait 2 caractères, ca se trouve en 2 secondes, mais un mot de passe original qui fait 10 caractères, il faut s'accrocher quand meme (si jamais tu n'as pas de base qui fait le lien entre md5 et chaine en clair).
Donc je ne pense pas que les webmasters s'amusent à essayer de brutforcer tous les md5 qu'ils ont en base.
Sinon, ils les stockeraient directement en clair (ben ouais, c'est plus simple, pas besoin de déhacher :p).
PS : ce n'est pas une limite de MySQL, c'est juste MySQL qui ne fait qu'implémenter une technique de hachage connue.
Et pour compléter La Globule, qui te dit que le mot de passe est stocké en md5sum ? J'ai déjà vu des systèmes d'informations où les mots de passes sont stockés en clair.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
Ok, je pensais que c'était super sécurisé, mais non, pas tant que ca en fait...
Cam'empecheras pas de continuer de programmer en php et en MySQL :P
http://raphlight.free.fr/trad.php
L'erreur que nous faisons tous, au début (et certain même au-delà, mais soyons généreux de ne pas les nommer), nous croyons que la sécurité est accessoire, et que quelqu'un d'autre peu s'en occuper.
La sécurité est une démarche globale, et nos développements doivent s'y inscrire en connaissance de cause.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
perso, je préfère le sha-1 au md5,
le plus souvent je hash en sha-1 et je crypt le tout avec une fonction de mon invention, donc c'est assez sécurisé pour moi
.:[ UTB ]:. Diablo xo0 Au royaume des aveugles, les bornes sont rois...
le 28/03/2007 à 23:23
Bzh
Oh que oui ! Beaucoup de site enregistre le passe en clair dans la base de données.
Il n'a jamais été obligé de hacher le passe dans la base.
Chacun fait comme il veut.
C'est comme pour les gouts et les couleurs...
le 29/03/2007 à 10:42
Bzh
Mais ça n'a aucun interet diablo !!!
Puisque un hache du passe dans ta base ce n'est QUE pour que TU (toi, hein... ) ne sache pas les passe de TES membres !!!!
Donc, le cou de crypter avec une fonction de ta composition, je n'y vois aucun interet...
c'est simple pourtant
n'importe quel serveur MySQL est vulnérable à une attaque, un cracker peut donc afficher une table si ta sécurité laisse à désirer ou que le cracker est très fort, dans ce cas 3cas de figure :
- les mot de passe sont stockés en clair -> résultat : t'es mort !
- les mot de passes sont hashé en sha-1 -> résultat : déjà le cracker à un peu plus de mal à te owned, il doit passer pas brute force et si les mots de passes ne sont pas "hard" il y un risque de sécurité
- les mots de passes sont hashés et cryptés -> resultat : le cracker aura plus de mal déjà ! Car il se rendra bien compte que les chaines présentes ne sont pas des hash sha-1 (sauf si ta fonction génère un string qui y ressemble), il devra donc décrypter les mots de passes avant de se lancer dans une tentative de brute force ou autre.
Donc, je trouve que ça a de l'interet de doublement protéger les données sensibles, et puis on ne sécurise jamais assez un système ;)
.:[ UTB ]:. Diablo xo0 Au royaume des aveugles, les bornes sont rois...
le 29/03/2007 à 18:52
Bzh
Ah ah ah ah ah !!!
J'espère pour toi que ta base ne se fera jamais pirater !!!
Parce que si j'ai accès à ta base, bin j'ai accès à TOUT ton site !
Donc à la limite, les tits mots de passe de tes membres, je m'en fiche un peu !!!
Si quelqu'un à accès a ta base, c'est qu'il y a un sérieu problème quelque part !
La seule raison de hacher le mot de passe c'est simplement par respect pour tes membres. Que TOI, tu ne connaisses pas le mot de passe de monsieu Dupont qui est surement le même pour ses mails et son assès en ligne de son compte en banque.
Le hash d'un passe dans las base de données n'a surement pas comme bute de proteger ton site puisque s'il a accès à ta base, il a accès à tout ton site.
