Je vous encourage à essayer de vous identifier sur un site, en ayant seulement le login et le MD5 du mot de passe, vu qu'il est cassé 
Tenez, par exemple ici le MD5 de mon mot de passe est "7598df337173173a3233d51e679854a8".
Bonne chance :glace:
Je vous encourage à lire ce résumé et le détail de la méthode de cassage. Votre mot de passe serait en danger si et seulement s'il contenait une chaine provoquant une collision. Quelle probabilité, sachant que les seules collisions trouvées sont sur des chaines de plusieurs Ko (on est loin des 10 caractères d'un mot de passe) ? Ce qui est surtout remis en question c'est la signature des fichiers, mais aussi la validité à long terme d'une clé SSL (encore qu'en cas de problème, le système de révocation suffit à éliminer la clé corrompue).
Sachant qu'on connait M et M' telles que md5(M)==md5(M'), alors toutes les chaines contenant M ou M' ne sont plus protégées par le cryptage MD5. Mais toute chaine ne contenant pas M ni M' restent OK.
Tiens, je vous donne une astuce : il n'y a aucune collision connue avec la chaine "bidule". Ajoutez systèmatiquement "bidule" aux mots de passe des utilisateurs et vous pourrez être vraiment rassuré
Ou encore mieux -- astuce donnée dans l'article citée plus haut -- au lieu de stocker md5($password), stockez md5($password).sha1($password). Les référentiels (les chaines M et M' provoquant une collision) n'étant pas les mêmes pour md5 et sha-1, vous êtes tranquilles
Le seul vrai moyen de "casser" du MD5 ça reste le brut-force, et le nombre d'opérations rend la chose impossible pour le commun des ordinateurs dans un temps "raisonnable" (inférieur à plusieurs années, en considèrant que l'opération prend une fraction de seconde, je n'ai pas les chiffres exacts en tête). Donc aucun souci, par contre vu l'évolution des ordinateurs effectivement le brut-force pourrait représenter un risque dans les décennies à venir.
On peut utiliser le SHA-256 qui demandera X² opérations là où X opérations suffisent pour casser un SHA-1. Ou mieux, SHA-512. Le jour où les ordinateurs seront suffisamment puissants pour qu'un pirate anonyme puisse casser un mot de passe en MD5 en moins d'un an, je pense qu'on sera passé à d'autres algorithmes de hash depuis bien longtemps
Tenez, par exemple ici le MD5 de mon mot de passe est "7598df337173173a3233d51e679854a8".
Bonne chance :glace:
Je vous encourage à lire ce résumé et le détail de la méthode de cassage. Votre mot de passe serait en danger si et seulement s'il contenait une chaine provoquant une collision. Quelle probabilité, sachant que les seules collisions trouvées sont sur des chaines de plusieurs Ko (on est loin des 10 caractères d'un mot de passe) ? Ce qui est surtout remis en question c'est la signature des fichiers, mais aussi la validité à long terme d'une clé SSL (encore qu'en cas de problème, le système de révocation suffit à éliminer la clé corrompue).
Sachant qu'on connait M et M' telles que md5(M)==md5(M'), alors toutes les chaines contenant M ou M' ne sont plus protégées par le cryptage MD5. Mais toute chaine ne contenant pas M ni M' restent OK.
Tiens, je vous donne une astuce : il n'y a aucune collision connue avec la chaine "bidule". Ajoutez systèmatiquement "bidule" aux mots de passe des utilisateurs et vous pourrez être vraiment rassuré
Ou encore mieux -- astuce donnée dans l'article citée plus haut -- au lieu de stocker md5($password), stockez md5($password).sha1($password). Les référentiels (les chaines M et M' provoquant une collision) n'étant pas les mêmes pour md5 et sha-1, vous êtes tranquilles
Le seul vrai moyen de "casser" du MD5 ça reste le brut-force, et le nombre d'opérations rend la chose impossible pour le commun des ordinateurs dans un temps "raisonnable" (inférieur à plusieurs années, en considèrant que l'opération prend une fraction de seconde, je n'ai pas les chiffres exacts en tête). Donc aucun souci, par contre vu l'évolution des ordinateurs effectivement le brut-force pourrait représenter un risque dans les décennies à venir.
On peut utiliser le SHA-256 qui demandera X² opérations là où X opérations suffisent pour casser un SHA-1. Ou mieux, SHA-512. Le jour où les ordinateurs seront suffisamment puissants pour qu'un pirate anonyme puisse casser un mot de passe en MD5 en moins d'un an, je pense qu'on sera passé à d'autres algorithmes de hash depuis bien longtemps
Ressources [PHP][MySQL][![[Image: fav.png]](http://prototypejs.org/images/fav.png)
prototype.js]
prototype.js]