14-12-2010, 10:32 AM
(14-12-2010, 09:30 AM)NicoMSEvent a écrit : @globe : il existe des dictionnaires pour le md5 (le hash des mots "anglais" ou "français" ou des prénoms, ça fait déjà assez bien de possibilité, d'ou l'intéret d'avoir un mot de passe "fort" composé de MAJ/min, chiffres, caractères spéciaux, et ayant une certaine longueur), ou même le "grain de sel" (de préférence inconnu du visiteur) à ajouter a la fin du mot de passe, ce qui va mettre à mal ces dictinnaires
Mais ça ne change rien pour le hacker, crypter reste une bonne mesure, il n'y à pas de moyen de se prémunir de ça, on peut seulement insister sur l'importance d'utiliser des mots de passe complexes pour les utilisateurs. Le cryptage du mot de passe reste important et ça va contre toute éthique de ne pas le faire ! Je me sentirais assez honteux d'avoir en clair les mots de passe de membres. Mais pour moi ça ne rentre pas dans les mesures de sécurité simplement dans les règles de bon sens comme d'ailleurs de ne pas balancer d'informations sensibles en GET et ne pas réutiliser les valeurs sans les "nettoyer" surtout dans des requêtes =O