22-04-2014, 03:12 PM
Salut,
Concernant le sel, on est d'accord sur les rainbow table ; mais c'est également le cas pour les collisions. Je m'explique : le but de la collision est d'avoir une entrée différente de l'initiale qui aura la même sortie. Mais si on ajoute du sel à l'entrée initiale, la collision ne sert plus à rien puisqu'elle sera différente : même si on connait l'entrée différente qui donne la même sortie, quand on va la tester ça ne va pas marcher.
La lenteur anti-brute force ne devient pas un trou à DDoS si c'est correctement utilisé (on peut régler la difficulté de l'algorithme). En soit, un DDoS restera possible, mais comme sur n'importe quel site web.
Enfin, je suis dubitatif sur le sleep(1000). Ralentir le site n'est pas un outil pour éviter le brute force, parce que si quelqu'un (par une autre faille, genre Heartbleed) récupère ta base de données, le sleep sert à rien. Autant utiliser directement la fonction prévue pour ça (password_hash) qui fait déjà ce ralentissement de base et le fait de manière plus propre.
Concernant le sel, on est d'accord sur les rainbow table ; mais c'est également le cas pour les collisions. Je m'explique : le but de la collision est d'avoir une entrée différente de l'initiale qui aura la même sortie. Mais si on ajoute du sel à l'entrée initiale, la collision ne sert plus à rien puisqu'elle sera différente : même si on connait l'entrée différente qui donne la même sortie, quand on va la tester ça ne va pas marcher.
La lenteur anti-brute force ne devient pas un trou à DDoS si c'est correctement utilisé (on peut régler la difficulté de l'algorithme). En soit, un DDoS restera possible, mais comme sur n'importe quel site web.
Enfin, je suis dubitatif sur le sleep(1000). Ralentir le site n'est pas un outil pour éviter le brute force, parce que si quelqu'un (par une autre faille, genre Heartbleed) récupère ta base de données, le sleep sert à rien. Autant utiliser directement la fonction prévue pour ça (password_hash) qui fait déjà ce ralentissement de base et le fait de manière plus propre.