+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : md5 (/showthread.php?tid=1276)
RE: md5 - Ange_blond - 13-06-2007
tu n'as pas besoin de décrypter le MD5, meme si ça se fait...
il te suffi de comparer les MD5 des chaines tout simplement...
Mais pr de la vraie sécurité le MD5 n'est pas fiable du tout depuis que tout le monde sais l'utiliser...
RE: md5 - naholyr - 13-06-2007
Je vous encourage à essayer de vous identifier sur un site, en ayant seulement le login et le MD5 du mot de passe, vu qu'il est cassé
Tenez, par exemple ici le MD5 de mon mot de passe est "7598df337173173a3233d51e679854a8".
Bonne chance :glace:
Je vous encourage à lire ce résumé et le détail de la méthode de cassage. Votre mot de passe serait en danger si et seulement s'il contenait une chaine provoquant une collision. Quelle probabilité, sachant que les seules collisions trouvées sont sur des chaines de plusieurs Ko (on est loin des 10 caractères d'un mot de passe) ? Ce qui est surtout remis en question c'est la signature des fichiers, mais aussi la validité à long terme d'une clé SSL (encore qu'en cas de problème, le système de révocation suffit à éliminer la clé corrompue).
Sachant qu'on connait M et M' telles que md5(M)==md5(M'), alors toutes les chaines contenant M ou M' ne sont plus protégées par le cryptage MD5. Mais toute chaine ne contenant pas M ni M' restent OK.
Tiens, je vous donne une astuce : il n'y a aucune collision connue avec la chaine "bidule". Ajoutez systèmatiquement "bidule" aux mots de passe des utilisateurs et vous pourrez être vraiment rassuré
Ou encore mieux -- astuce donnée dans l'article citée plus haut -- au lieu de stocker md5($password), stockez md5($password).sha1($password). Les référentiels (les chaines M et M' provoquant une collision) n'étant pas les mêmes pour md5 et sha-1, vous êtes tranquilles
Le seul vrai moyen de "casser" du MD5 ça reste le brut-force, et le nombre d'opérations rend la chose impossible pour le commun des ordinateurs dans un temps "raisonnable" (inférieur à plusieurs années, en considèrant que l'opération prend une fraction de seconde, je n'ai pas les chiffres exacts en tête). Donc aucun souci, par contre vu l'évolution des ordinateurs effectivement le brut-force pourrait représenter un risque dans les décennies à venir.
On peut utiliser le SHA-256 qui demandera X² opérations là où X opérations suffisent pour casser un SHA-1. Ou mieux, SHA-512. Le jour où les ordinateurs seront suffisamment puissants pour qu'un pirate anonyme puisse casser un mot de passe en MD5 en moins d'un an, je pense qu'on sera passé à d'autres algorithmes de hash depuis bien longtemps
RE: md5 - Sephi-Chan - 13-06-2007
En effet, plus tard il faudra mettre en place des systèmes pour changer de mot de passe tous les N jours, ou plus drôle : changer d'algorithme de hash !
M'enfin on est pas les plus concernés par ça non plus...
Sephi-Chan
RE: md5 - Loetheri - 13-06-2007
Sephi-Chan a écrit :Si justement, quand on crypte on peut décrypter. Seuls les hachages sont irréversibles.
Les plus hachage les plus connus en php sont md5() (comme son nom l'indique
Voir également hash().
Sephi-Chan
Oui, désolé ^^ Je me suis trompé.
Le md5 est très puissant et cassable. Mais dans quelle circonstance ? Exceptionnelle ou plutôt miraculeuse ... Donc oui, utilisez-le encore
Sinon le sha1 est la nouvelle mode en PHP ^^
RE: md5 - Sephi-Chan - 13-06-2007
Ca va pour cette fois, mais attention.
Le sha1()... Nouvelle mode, même faiblesse (cf. l'article de CCM qu'a linké Naholyr).
Pourquoi les gens se mettent pas à des modes utiles ?
Ce serait cool un monde ou la mode, c'est d'écrire dans un bon français, de pas porter des lunettes de mouches à merde, d'acheter des vêtements pour ce qu'elles sont et non un petit logo.
Sephi-Chan, non ?
RE: md5 - Loetheri - 13-06-2007
NicoMSEvent a écrit :Loetheri a écrit :Si tu crypte, tu ne peux décrypter.
faux
avec ENCODE(str,pass_str) tu peux encoder du texte, et le récupérer avec DECODE().
Maintenant, si c'est un mot de passe, tu peux utiliser du md5.
Par exemple, pour le mot de passe TOTO
MD5('TOTO') va te donner 'abcdefgh' comme clé de cryptage
plus tard, quelqu'un essaye le mot de passe TARATATA
MD5('TARATATA') v
C'est pour cela que Sephi-Chan m'a repris et que j'ai dit m'être trompé ;-)
RE: md5 - NicoMSEvent - 13-06-2007
Loetheri a écrit :Si tu crypte, tu ne peux décrypter.
FAUX!
Tu peux crypter une phrase avec ENCODE(ma_phrase,'mot_de_passe) et le récupérer avec un DECODE()
Par contre, si tu veux que PERSONNE (oui je dis bien PERSONNE meme pas toi) n'ai acces aux mots de passe, utilise le MD5.
Exemple avec le MD5 :
tu définis ton mot de passe à TOTO
MD5('TOTO') -> fgkskazfkfsq
quelqu'un essaye d'entrer le mot de passe TARATATA
tu va crypter aussi le mot de passe entré
MD5('TARATATA') -> fkjdf5454gfd
comme fkjdf5454gfd!=fgkskazfkfsq le mot de passe n'est pas bon
Par contre, quand tu va entrer a nouveau ton mot de passe,
MD5('TOTO') -> fgkskazfkfsq
les deux cryptages coincident, et donc le mot de passe est bon.
J'espère que tu as suivi
Loetheri a écrit :C'est pour cela que Sephi-Chan m'a repris et que j'ai dit m'être trompé ;-)
le temps que j'écrive ma réponse, on m'a pris de vitesse ^^
RE: md5 - Mysterarts - 13-06-2007
Quand je disais qui ne se décrypte pas, je parlais de méthode normal, je veux dire avec une fonction par exemple, comme "decode()", donc j'avais raison ^^ nananananère !
Sephi-Chan a écrit :Ce serait cool un monde ou la mode, c'est d'écrire dans un bon français, de pas porter des lunettes de mouches à merde, d'acheter des vêtements pour ce qu'elles sont et non un petit logo.Moi je te suis mon gars !
Sephi-Chan, non ?
Surtout pour ta dernière mode !
On fait quoi ? on monte un groupe ? une association ? un parti ?
On fait un site web ? on fait un jeu dans lequel on but toutes les joueurs qui porte des marques ?
Mysterarts, motivé
RE: md5 - Ange_blond - 14-06-2007
Autant pour moi il est facile de cryper en MD5 mais la chaine ne peut etre décodée...
RE: md5 - blackneo - 14-06-2007
salut a tous
md5 reste assez simple et pour ce qui disent que ces facile de le decrypté et bien je suis pas daccord 10 caracteres alphanumeriques bien melangé et là personne ne le trouve, et pour les membres du site c'est simple dites leurs qu'il faut mettre 8 ou 10 caracteres et qu'il faut melanger les chiffres et les lettres qestion de securité.
Et logiquement personne a acces au mot de pass crypté donc v'est franchement inutile de se prendre la tete la dessus.
bon journée