09-05-2011, 11:29 AM
L'algorithme de hashage utilisé, tu peux le deviner dans 80% des cas grâce à la taille du hash généré. Ensuite, ce n'est pas parce que une partie de ta sécurité est dans le code qu'elle est inviolable (collaboration avec d'autres personnes, fuite au niveau de l'hébergeur, problème de configuration, plantage du serveur...).
Finalement, si tu veux bruteforcer le salt en supposant par exemple que le salt est simplement concaténé au mot de passe, il te suffit de le faire sur la ligne correspondant à ton compte, puisque tu connais déjà le mot de passe et le résultat, il ne te reste plus qu'a trouver le salt.
Le mieux me semble être un salt statique(code) + un salt dynamique (bdd), les deux suffisement longs, le tout avec quelque chose d'un peu plus sérieux que du md5.
Finalement, si tu veux bruteforcer le salt en supposant par exemple que le salt est simplement concaténé au mot de passe, il te suffit de le faire sur la ligne correspondant à ton compte, puisque tu connais déjà le mot de passe et le résultat, il ne te reste plus qu'a trouver le salt.
Le mieux me semble être un salt statique(code) + un salt dynamique (bdd), les deux suffisement longs, le tout avec quelque chose d'un peu plus sérieux que du md5.