[Sécurité] Un cryptage plus efficace du mot de passe
couicsilver
Member
En jetant un coup d'oeil sur le fichier passwords.xml, et suite à un petit test, j'ai constaté que le mot de passe était crypté en md5.
En clair, si un hacker parvient à mettre la main sur ce fichier (à cause d'un mot de passe ftp simple, ou pour une quelqu'autre raison), il pourra aisément découvrir le mot de passe si celui-ci est "simple".
Pour donner une idée, mon Core Duo à 1.83Ghz, est capable avec un décrypteur brute force MD5 de tester en moyenne 2 millions de chaines de caractères par seconde. Pour un mot de passe ne contenant pas de majuscules et de chiffres, il faut :
-1h et des poussières au maximum pour décrypter un mot de passe de 7 caractères.
-2min et demi pour décrypter un mot de passe de 6 caractères... et moins pour des mots de passe plus cours.
Convaincu que tous les webmasters ne sont pas tous avertis (à savoir, utiliser un mot de passe long, avec des chiffres, etc.), je propose pour accroitre la sécurité, de faire un double cryptage MD5 (le mot de passe est crypté en un hash n°1, lui-même crypté en un hash n°2).
En effet, un hash de 32 caractères est pratiquement parlant impossible à décrypter (à moins d'avoir plusieurs supercalculateurs
) : il y a 10e39 combinaisons possibles, et avec un ordinateur traditionnel, le temp requis pour cette opération pourrait dépasser l'âge de la terre...
En clair, si un hacker parvient à mettre la main sur ce fichier (à cause d'un mot de passe ftp simple, ou pour une quelqu'autre raison), il pourra aisément découvrir le mot de passe si celui-ci est "simple".
Pour donner une idée, mon Core Duo à 1.83Ghz, est capable avec un décrypteur brute force MD5 de tester en moyenne 2 millions de chaines de caractères par seconde. Pour un mot de passe ne contenant pas de majuscules et de chiffres, il faut :
-1h et des poussières au maximum pour décrypter un mot de passe de 7 caractères.
-2min et demi pour décrypter un mot de passe de 6 caractères... et moins pour des mots de passe plus cours.
Convaincu que tous les webmasters ne sont pas tous avertis (à savoir, utiliser un mot de passe long, avec des chiffres, etc.), je propose pour accroitre la sécurité, de faire un double cryptage MD5 (le mot de passe est crypté en un hash n°1, lui-même crypté en un hash n°2).
En effet, un hash de 32 caractères est pratiquement parlant impossible à décrypter (à moins d'avoir plusieurs supercalculateurs
) : il y a 10e39 combinaisons possibles, et avec un ordinateur traditionnel, le temp requis pour cette opération pourrait dépasser l'âge de la terre... Connectez-vous ou Inscrivez-vous pour répondre.
Réponses