Bonjour,
Petite correction par rapport à ton message : non, sha1 n'est pas sûr. Pas plus que md5. Globalement, vu la puissance des ordinateurs actuels, c'est exactement la même chose de stocker en md5/sha1 (avec ou sans sel) et de stocker en dur.
Petit rappel : le sel sert à éviter les collisions, pas les attaques en bruteforce. Hors actuellement, avec un algo bien fait, il suffit de quelques secondes pour un mot de passe de 10 caractères avec des caractères non-alphanumériques.
La seule méthode fiable pour stocker un mot de passe, c'est le passage par du blowfish, qui est implémentée dans le cadre de la fonction password_hash de php (mais tous les langages ont une implémentation). L'intérêt de cette méthode, c'est que le blowfish est un algorithme volontairement lent : il faut de base une seconde pour faire un test. Du coup, le bruteforce devient impossible.
Pour le reste on est d'accord, on ne stocke pas un mot de passe en dur.
Petite correction par rapport à ton message : non, sha1 n'est pas sûr. Pas plus que md5. Globalement, vu la puissance des ordinateurs actuels, c'est exactement la même chose de stocker en md5/sha1 (avec ou sans sel) et de stocker en dur.
Petit rappel : le sel sert à éviter les collisions, pas les attaques en bruteforce. Hors actuellement, avec un algo bien fait, il suffit de quelques secondes pour un mot de passe de 10 caractères avec des caractères non-alphanumériques.
La seule méthode fiable pour stocker un mot de passe, c'est le passage par du blowfish, qui est implémentée dans le cadre de la fonction password_hash de php (mais tous les langages ont une implémentation). L'intérêt de cette méthode, c'est que le blowfish est un algorithme volontairement lent : il faut de base une seconde pour faire un test. Du coup, le bruteforce devient impossible.
Pour le reste on est d'accord, on ne stocke pas un mot de passe en dur.