22-04-2014, 02:58 PM
Oui, je n'ai pas précisé pour sha, c'est une erreur. Les SHA-0 et SHA-1 sont mauvais depuis un moment.
Pour le sel, je ne suis pas tout à fait d'accord. Ou alors je comprends mal les termes. A mon sens, le sel sert à éviter d'avoir la même signature si deux personnes ont le même mot de passe, et d'éviter l'usage de dictionnaires (rainbow table).
Le sel consiste à obtenir deux sorties différentes pour une même entrée.
A l'inverse, la collision consiste à trouver deux entrées qui ont la même sortie (le même hash).
Le sel permet également d'éviter l'usage de "rainbow table", aka un dictionnaire avec le hash de chaque mot de passe classique.
C'est pas la seule méthode fiable en pratique, car les algorithmes comme SHA-256 sont également robustes.
Pour la lenteur "anti-brute force", il faut aussi faire attention qu'elle peut devenir un "trou à DDoS"
Savez-vous si l'ajout d'un "sleep(1000)" limiterait vraiment le brute force sur la page de connexion?
Pour le sel, je ne suis pas tout à fait d'accord. Ou alors je comprends mal les termes. A mon sens, le sel sert à éviter d'avoir la même signature si deux personnes ont le même mot de passe, et d'éviter l'usage de dictionnaires (rainbow table).
Le sel consiste à obtenir deux sorties différentes pour une même entrée.
A l'inverse, la collision consiste à trouver deux entrées qui ont la même sortie (le même hash).
Le sel permet également d'éviter l'usage de "rainbow table", aka un dictionnaire avec le hash de chaque mot de passe classique.
C'est pas la seule méthode fiable en pratique, car les algorithmes comme SHA-256 sont également robustes.
Pour la lenteur "anti-brute force", il faut aussi faire attention qu'elle peut devenir un "trou à DDoS"
Savez-vous si l'ajout d'un "sleep(1000)" limiterait vraiment le brute force sur la page de connexion?