Veuillez vous connecter ou créer un compte pour suivre ce topic
Ce topic est suivi par: coucougael94, Hugo_LOLI
Auteur Sujet: Sécurité sur le site ?

Florian

Messages: 73

Hello,

J'ai vu que PrimFX utiliser SHA1 sur les tutos pour crypter les mots de passe, j'ai eu peur et malheureusement, il utilise aussi pour le forum, donc je trouve ça assez bizzar, et surtout dangereux car dans quelque mois/année le SHA1 sera comme le MD5 déjà qu'il ai un peu, c'est a dire facile a décrypter, donc si y'a une faille SQL la personne aura nos Mot de passe, donc je me demande pourquoi, PrimFX utilise pas "password_hash" qui permet de crypter un mot de passe assez complex, voir indecryptable.

Donc pourquoi pas faire un tuto sur password_hash et changer nos mot de passe avec ceci
Publicité

PaulLavieille

Messages: 123

Tout à fait d'accord ! Sourire

TheFlameflo

Messages: 305

Le problème, c'est qu'il est trop tard pour le site... Il ne peut pas tout décrypter et recrypter, non ?

Florian

Messages: 73

Non, mais il peux en nous envoyant un mail et nous dire de changer de mot de passe en changeant le mot de passe ça update avec le Password_hash

Imaginons que mon mot de passe soit Test

Il dit allez changez votre mot de passe il check si j'ai mis le bon mot de passe si oui il update avec le hash donc il peux le faire sans nous envoyer un mail, soit a la connexion il rajoute une requête qui update le mot de passe avec le nouveau hash soit via email 

Nobodief

Messages: 73

Sha1 est déjà obsolète depuis belle lurette hein, y'a juste à taper sha1 decrypt sur google pour trouver un decrypter en ligne, faut pas ce voiler la face les gars la majorité des causes de hack ne proviennent pas de faille php, mais de l'utilisateur lui même.

De plus il n'y à pas besoin d'avoir un tutoriel pour savoir utiliser le password_hash, juste à lire la doc est à faire deux trois test sur une chaîne de caractère basique.

TheFlameflo

Messages: 305

J'ai été voir un decrypteur pour tester un sha1, ça décryptait pas le mot de passe, sauf si j'utilise un site en ligne pour crypter les sha1. Mais je vais quand même me tourner pour la suite vers password_hash.

Nobodief

Messages: 73

Ah tu utilise les bad gamme.

Celui la http://md5decrypt.net/Sha1/ me décode presque tous les hash que je génère à l’exception des mot de passe très long ou complexe, donc oui c'est pas très au point, mais les mots de passe basique sont tout même fortement exposés à être décrypter facilement. 

TheFlameflo

Messages: 305

Ah !
Effectivement, ça décrypte beaucoup mieux !
Je vais y penser la prochaine fois que je vais crypter quelque chose ! Sourire
Merci!

Dwardower

Messages: 121

Bonjour !
Mon réseau social a eu le même problème, changer son algorithme de cryptage et j'ai trouvé une solution pour ce faire !
Il suffit qu'à chaque inscription ou changement de mot de passe le mot de passe soit crypté via le nouvel algorithme !
Les mots de passes en sha1, eux, il est important de les laisser et de ne pas y toucher.
Lors de la connexion le mot de passe entré passera par 2 système de cryptage différent pendant 3 mois le temps que tout les utilisateurs puissent avoir leurs mots de passes avec le nouvel algo de cryptage.

Je conseil un gros algorithme de cryptage pour ne pas à avoir à le changer pendant des années (je ne donnerai pas celui de mon réseau social car il est asser robuste et je n'aimerai pas qu'il soit cracké ^^')

Florian

Messages: 73

@Dwardower Ou alors a la connexion tu update le mot de passe Clin d'oeil 


Après c'est sur y'a les algo mais faut que ça soit du lourd style 50-100caractères soit password_hash qui est a ce jour-ci le meilleur ou alors SHA512 mais dans quelque années il sera comme le MD5/SHA

Nobodief

Messages: 73

Pour connaître les hash fournis par php 5.6.0:
print_r(hash_algos());
Un lien intéressant sur Bcrypt et d'autre méthode de hashage.
http://www.crazyws.fr/tutos/securiser-un-mot-de-passe-en-base-de-donnees-BEKIC.html

coucougael94

Messages: 35

Je suis d'accord. Si quelqu'un veut, j'ai un site en php, qui s'occupe de calculer la somme de Control d'une chaîne ou d'un fichier(écrit en php). site.
Voila un site qui permet de décrypter des sommes de Control en sha 1 et md5. Il faudra un peut de temps pour répondre aux captcha Stupide. Je pense que ce site peut être piraté. J'aimerai tout de même que primFx(si vous voyez de qui je parle) nous fasse un tuto pour nous expliquer comment utilisé htmlspecialchars() et htmlspecialentities()pour éviter les failles... .

MagieEtTutos

Messages: 14

http://md5decrypt.net/Sha1/

Hugo_LOLI

Messages: 6

Bonsoir,
Une bonne idée, à en parler à PrimFX.
Cordialement,
Hugo, Rédacteur chez PrimFX
Publicité

Marius

Messages: 138

Après si tu as une partie admin, protege le par un .htacces !

TheOldNoob

Messages: 604

Vous prenez pas la tête hein... C'est pas l'appel store... Un petit forum n'a pas besoin d'un systeme de sécurité type NASA Sourire


Veuillez vous connecter ou créer un compte pour poster une réponse