[Amélioration] Hashage du mot de passe

RathorianRathorian Member
mars 2010 modifié dans Discussions générales
Bonjour,

Un petit message pour vous proposez une amélioration qui me semble nécessaire.
En faisant une recherche sur le forum, en 2008 quelqu'un avait déjà demandé ça mais avec aucune suite.

Nous sommes maintenant en 2010 est il est de plus en plus nécessaire d'avoir une sécurité optimal, le hashage des mots de passe en md5 est dépassé. C'est pourquoi je vous propose une demande d'amélioration de Pluxml ( si cela est possible chers administrateurs ), un hashage des mots de passe en "sha1" voir "sha256".

Je pense que ça pourrait être vraiment pas mal de faire ça.

Je sais très bien que le but de Pluxml est d'afficher les pages le plus vite possible etc...

Pour information, temps nécessaire au hashage en microseconde :
md5 = 6890.058
sha1 = 8886.098
sha256 = 19020.08

Vous en pensez quoi ?

Réponses

  • RathorianRathorian Member
    Bonjour,

    Personne intéressé par cette éventuelle amélioration ?
  • maramamarama Member
    Rathorian a écrit:
    Bonjour,
    Personne intéressé par cette éventuelle amélioration ?
    Si on est intéressé et c'est dans nos évolutions pour les prochaines versions
  • FrédéricFrédéric Member
    Ou alors avec Salt personnalisable dans la config ?
  • RathorianRathorian Member
    marama a écrit:
    Rathorian a écrit:
    Bonjour,
    Personne intéressé par cette éventuelle amélioration ?
    Si on est intéressé et c'est dans nos évolutions pour les prochaines versions
    Merci marama.
    Fred a écrit:
    Ou alors avec Salt personnalisable dans la config ?
    Tu penses à un Salt personnalisé à l'inscription du rédacteur (Admin) ?
  • FrédéricFrédéric Member
    mars 2010 modifié
    Ben tu peux très bien en avoir un généré/dédié par défaut et le changer quand tu le désire un fois le compte fais.

    Le couplage md5/sh1/sh2 + salt feront l'affaire.

    Et pendant que l'on n'est dans la config, une option pour définir le dossier admin, est elle envisageable ?
  • RathorianRathorian Member
    Tout ça sors un peu de ma faible connaissance en PHP.

    Mais il me semble avoir lu un article un jour qui disait que c'était pas conseillé de coupler plusieurs méthodes de hachage car il y avait un risque de collision, après il est vrai qu'il y a qu'un seul Rédacteur possible sur Pluxml ( pour le moment ) donc un seul mot de passe. Mais je ne peux pas être sûr non plus de ce que j'avance, ça remonte déjà à quelques temps.
  • mementomemento Member
    salut,
    Rathorian a écrit:
    Tout ça sors un peu de ma faible connaissance en PHP.

    Mais il me semble avoir lu un article un jour qui disait que c'était pas conseillé de coupler plusieurs méthodes de hachage car il y avait un risque de collision, après il est vrai qu'il y a qu'un seul Rédacteur possible sur Pluxml ( pour le moment ) donc un seul mot de passe. Mais je ne peux pas être sûr non plus de ce que j'avance, ça remonte déjà à quelques temps.
    Tu as tout à fait raison. Les algorithmes de hashage ne doivent pas être couplés sinon ils perdent de leur efficacité au niveau de la sécurité.
  • RathorianRathorian Member
    mars 2010 modifié
    memento a écrit:
    salut,
    Rathorian a écrit:
    Tout ça sors un peu de ma faible connaissance en PHP.

    Mais il me semble avoir lu un article un jour qui disait que c'était pas conseillé de coupler plusieurs méthodes de hachage car il y avait un risque de collision, après il est vrai qu'il y a qu'un seul Rédacteur possible sur Pluxml ( pour le moment ) donc un seul mot de passe. Mais je ne peux pas être sûr non plus de ce que j'avance, ça remonte déjà à quelques temps.
    Tu as tout à fait raison. Les algorithmes de hashage ne doivent pas être couplés sinon ils perdent de leur efficacité au niveau de la sécurité.
    Merci d'avoir confirmé ce que j'ai dis dans le message précédent, j'étais pas sûr de moi ;)
Connectez-vous ou Inscrivez-vous pour répondre.