Sécurité sur le site ?

Florian

Florian Le 15 avril 2016 à 16:00 (Édité le 25 janvier 2019 à 17:50)

Hello,

J'ai vu que PrimFX utiliser SHA1 sur les tutos pour crypter les mots de passe, j'ai eu peur et malheureusement, il utilise aussi pour le forum, donc je trouve ça assez bizzar, et surtout dangereux car dans quelque mois/année le SHA1 sera comme le MD5 déjà qu'il ai un peu, c'est a dire facile a décrypter, donc si y'a une faille SQL la personne aura nos Mot de passe, donc je me demande pourquoi, PrimFX utilise pas "password_hash" qui permet de crypter un mot de passe assez complex, voir indecryptable.

Donc pourquoi pas faire un tuto sur password_hash et changer nos mot de passe avec ceci
PaulLavieille

PaulLavieille Le 15 avril 2016 à 16:14

Tout à fait d'accord ! 😀
TheFlameflo

TheFlameflo Le 15 avril 2016 à 21:21

Le problème, c'est qu'il est trop tard pour le site... Il ne peut pas tout décrypter et recrypter, non ?
Florian

Florian Le 15 avril 2016 à 22:50 (Édité le 15 avril 2016 à 22:52)

Non, mais il peux en nous envoyant un mail et nous dire de changer de mot de passe en changeant le mot de passe ça update avec le Password_hash

Imaginons que mon mot de passe soit Test

Il dit allez changez votre mot de passe il check si j'ai mis le bon mot de passe si oui il update avec le hash donc il peux le faire sans nous envoyer un mail, soit a la connexion il rajoute une requête qui update le mot de passe avec le nouveau hash soit via email 
Nobodief

Nobodief Le 16 avril 2016 à 02:36

Sha1 est déjà obsolète depuis belle lurette hein, y'a juste à taper sha1 decrypt sur google pour trouver un decrypter en ligne, faut pas ce voiler la face les gars la majorité des causes de hack ne proviennent pas de faille php, mais de l'utilisateur lui même.

De plus il n'y à pas besoin d'avoir un tutoriel pour savoir utiliser le password_hash, juste à lire la doc est à faire deux trois test sur une chaîne de caractère basique.
TheFlameflo

TheFlameflo Le 16 avril 2016 à 06:18

J'ai été voir un decrypteur pour tester un sha1, ça décryptait pas le mot de passe, sauf si j'utilise un site en ligne pour crypter les sha1. Mais je vais quand même me tourner pour la suite vers password_hash.
Nobodief

Nobodief Le 16 avril 2016 à 12:52 (Édité le 16 avril 2016 à 13:16)

Ah tu utilise les bad gamme.

Celui la http://md5decrypt.net/Sha1/ me décode presque tous les hash que je génère à l’exception des mot de passe très long ou complexe, donc oui c'est pas très au point, mais les mots de passe basique sont tout même fortement exposés à être décrypter facilement. 
TheFlameflo

TheFlameflo Le 16 avril 2016 à 16:45

Ah !
Effectivement, ça décrypte beaucoup mieux !
Je vais y penser la prochaine fois que je vais crypter quelque chose ! 😀
Merci!
Dwardower

Dwardower Le 18 avril 2016 à 10:32

Bonjour !
Mon réseau social a eu le même problème, changer son algorithme de cryptage et j'ai trouvé une solution pour ce faire !
Il suffit qu'à chaque inscription ou changement de mot de passe le mot de passe soit crypté via le nouvel algorithme !
Les mots de passes en sha1, eux, il est important de les laisser et de ne pas y toucher.
Lors de la connexion le mot de passe entré passera par 2 système de cryptage différent pendant 3 mois le temps que tout les utilisateurs puissent avoir leurs mots de passes avec le nouvel algo de cryptage.

Je conseil un gros algorithme de cryptage pour ne pas à avoir à le changer pendant des années (je ne donnerai pas celui de mon réseau social car il est asser robuste et je n'aimerai pas qu'il soit cracké ^^')
Florian

Florian Le 18 avril 2016 à 16:23

@Dwardower Ou alors a la connexion tu update le mot de passe 😉 


Après c'est sur y'a les algo mais faut que ça soit du lourd style 50-100caractères soit password_hash qui est a ce jour-ci le meilleur ou alors SHA512 mais dans quelque années il sera comme le MD5/SHA
Nobodief

Nobodief Le 19 avril 2016 à 13:38

Pour connaître les hash fournis par php 5.6.0:
print_r(hash_algos());
Un lien intéressant sur Bcrypt et d'autre méthode de hashage.
http://www.crazyws.fr/tutos/securiser-un-mot-de-passe-en-base-de-donnees-BEKIC.html
coucougael94

coucougael94 Le 20 avril 2016 à 16:32

Je suis d'accord. Si quelqu'un veut, j'ai un site en php, qui s'occupe de calculer la somme de Control d'une chaîne ou d'un fichier(écrit en php). site.
Voila un site qui permet de décrypter des sommes de Control en sha 1 et md5. Il faudra un peut de temps pour répondre aux captcha 😶. Je pense que ce site peut être piraté. J'aimerai tout de même que primFx(si vous voyez de qui je parle) nous fasse un tuto pour nous expliquer comment utilisé htmlspecialchars() et htmlspecialentities()pour éviter les failles... .
ViXo

ViXo Le 20 avril 2016 à 18:46

http://md5decrypt.net/Sha1/
Hugo_LOLI

Hugo_LOLI Le 21 avril 2016 à 18:23 (Édité le 21 avril 2016 à 18:26)

Bonsoir,
Une bonne idée, à en parler à PrimFX.
Cordialement,
Hugo, Rédacteur chez PrimFX
M69-74

M69-74 Le 25 avril 2016 à 08:20

Après si tu as une partie admin, protege le par un .htacces !
TheOldNoob

TheOldNoob Le 26 avril 2016 à 17:01

Vous prenez pas la tête hein... C'est pas l'appel store... Un petit forum n'a pas besoin d'un systeme de sécurité type NASA 😀
Vous devez être connecté pour poster une réponse. Se connecter ou Créer un compte