Accueil

Doit on stocker le mot de passe de l’utilisateur chiffré dans une base de données ?

Je viens de m’apercevoir qu’après avoir oublié mon mot de passe sur gizmodo.fr, votre site m’a simplement renvoyé mon mot de passe, en clair par e-mail…
Il me semble que dans un système bien conçu, même le serveur ne connaît pas le mot de passe, mais seulement le résultat d’une fonction de hachage (non réversible) appliqué au mot de passe + une chaîne propre à la base de données (salt).
Comment doit-on s’y prendre pour ne pas se faire voler tous les mots de passe des utilisateurs, même en cas de compromission de la base de données utilisateurs ?

        1. Bonjour,
          Pourriez élaborer un peu en terme de cryptographie quand vous parlez de: phrase mystère, retrouver un mdp, mdp crypté ? ( en terme de crypto symétrique ou asymétrique, clef publique, privée, etc) Comment pensez vous que ça marche (Des détails SVP, pour avoir une réponse de bonne qualité que les lecteurs pourront apprécier)

        2. On ne peut pas imbriquer les réponses après 3 niveaux donc je réponds ici. J’ai regardé le lien sur http://fr.openclassrooms.com et franchement, le mec qui a écrit ça ne sait pas de quoi il parle: il propose de répéter la clef si sa taille est inférieure au message à chiffrer, ou de tronquer la clé si sa taille est supérieure, et il ne donne aucune indication sur l’aspect aléatoire de clef.

          D’après wikipedia:
          ***
          Le chiffrement par la méthode du masque jetable consiste à combiner le message en clair avec une clé présentant les caractéristiques très particulières suivantes :

          1/ La clé doit être une suite de caractères au moins aussi longue que le message à chiffrer.
          2/ Les caractères composant la clé doivent être choisis de façon totalement aléatoire.
          3/ Chaque clé, ou « masque », ne doit être utilisée qu’une seule fois (d’où le nom de masque jetable).
          ***

          Donc il viole 1 et 2 sans s’en apercevoir. Le point 3, on ne connaît pas sa politique de gestion vu qu’il ne parle de chiffrer qu’un mot de passe pour un utilisateur, mais ce n’est pas évoqué.

          Je ne vous en veux pas de donner en réponse un résultat qui apparaît haut dans les moteurs de recherche, mais de toute évidence, The maaaaan, son domaine n’est pas la cryptographie. On voit d’ailleurs qu’il a aussi un cours sur … Photoshop ?? sur openclassrooms.

  1. En termes de sécurité, le minimum est d’avoir le MDP crypté en base. Il ne peut pas (doit pas pouvoir) être décrypté par le serveur. En cas de perte, il faut renvoyer à l’utilisateur un email, à une adresse qu’il aura enregistré lors de son inscription, à usage unique et à durée de validité limitée dans le temps, qui lui donne accès à une page où il peut redéfinir son mot de passe sous réserve de donner la bonne réponse à une question secrète.

Identifiez-vous

perdu ?

Pas encore inscrit ?

Register