skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos

vendredi 14 novembre 2008

Encryption de mot de passe

Publié par Infinite Loop, à 21 h 20 2 commentaires

Lorsque j'étais à mes premières expériences de programmation, j'ai travaillé sur de nombreux projets comportant des sections sécurisées par un nom d'usager et un mot de passe. Les codes d'accès étaient stockés dans une base de données et à ma grande surprise, les mots de passes n'étaient jamais ou très rarement encryptés. Même si parfois le contenu à protéger ne nécessitait pas une confidentialité absolue, je persistais à croire qu'il s'agissait d'une vulnérabilité dans le processus qu'il fallait corriger. D'autre part, le code dynamique des pages web avait été créé à l'aide des wizards de Dreamweaver (horrible!), qui était propice au SQL injection (doublement horrible, même si un correctif est sorti entre temps...). Certaines techniques de SQL injection permettent de contourner les mécanismes de sécurité tandis que d'autres donnent la possibilité d'extraire le nom d'une table, des champs et les données, donc possiblement le nom d'usager et le mot de passe.

Une première approche serait d'encrypter le mot de passe en utilisant un algorithme d'encryption, par exemple MD5 ou SHA1. C'est déjà un premier pas dans la bonne direction. Cependant, si le mot de passe à encrypter était "code 18", le résultat d'hachage (hash value) serait toujours le même :

MD5 : 33165ee9ddbc4cccd441e7bdc08aa606
SHA1 : 965ecafc34288a0db4efe0d1c6cd1c9d2d0c5796

Donc en effectuant une attaque par dictionnaire ou par brute force, c'est possible de réussir à obtenir le hash correspondant au terme utilisé comme mot de passe. C'est d'ailleurs une des raisons pour laquelle on recommande d'y inclure des lettres, des chiffres et des symboles, car le terme ne fera pas parti des tentatives si on est face à un dictionary attack. Pour augmenter la sécurité d'un cran, on pourra y ajouter un "salt".

En cryptographie, un salt est une série de bits qui sont ajoutés au mot de passe pour l'altérer avant qu'il soit encrypté.
Ce salt devrait être idéalement aléatoire et différent pour chaque mot de passe. Ceci aura comme avantage que deux mots de passes identiques au départ auront un hash différents à la fin. Voici un exemple qui illustre l'idée du mécanisme d'encryption :

  1. Lors de la création d'un compte utilisateur, saisir le nom d'usager (unique) et le mot de passe souhaité (exemple : "code 18").
  2. Générer une chaîne de caractères aléatoire d'une longueur d'au moins 8 caractères (par exemple : gxGPx$Bw). Cette chaîne servira de salt.
  3. Prendre le mot de passe et y concaténer le salt à la fin (mais pourrait être n'importe où). Ici, si le mot de passe est "code 18", la chaîne deviendra "code 18gxGPx$Bw".
  4. Encrypter la chaîne résultante pour obtenir le hash en utilisant MD5 ou SHA1 (ou tout autre algorithme). En utilisant SHA1, le résultat deviendra : 762c845c682521188c34af97fd06b53de3ea16e9
  5. Enregistrer dans la base de données le nom d'usager, le salt et le hash (mais pas le mot de passe).
Au moment de l'authentification :
  1. L'utilisateur entrera son nom d'usager et son mot de passe original (le salt faisant parti du mécanisme interne, il est transparent à l'usager). Attention, le mot de passe est devenu sensible à la case en raison de l'encryption!
  2. Prendre le nom d'usager entré et vérifier si un compte existe dans la base de données.
  3. S'il existe, récupérer le salt et le hash qui correspond à ce compte.
  4. Concaténer le salt au mot de passe fourni lors de l'authentification.
  5. Encrypter la chaîne résultante en utilisant le même algorithme d'encryption pour obtenir le hash.
  6. On autorisera l'accès que si le hash résultant est égal au hash récupéré de la base de données.
Un fait intéressant à remarquer est que le mot de passe original n'a jamais été stocké ni été envoyé vers la base de données, ni comparé directement avec ce que l'utilisateur a saisi. De plus, comme on compare les résultats de l'encryption, le mot de passe n'est jamais manipulé directement. Même si on réussissait à intercepter le nom d'usager, le salt et le hash, il sera impossible de faire l'opération inverse pour obtenir le mot de passe. D'ailleurs, si vous utilisez cette technique, je vous conseille de vous souvenir de votre mot de passe, car vous-même ne pourrez le récupérer (un autre mécanisme devra être implémenté pour palier à ce problème, je vous en reparle une autre fois).


Tags: Programmation, Sécurité

2 réponses à "Encryption de mot de passe"

  1. FLow a dit...
    2 décembre 2009 à 04 h 08

    hyper intéressant! merci.

    MaxiWheat a dit...
    2 avril 2013 à 15 h 34

    Deux autres articles hyper intéressants de Jeff Atwood qui poussent la réflexion plus loin :

    http://www.codinghorror.com/blog/2007/09/youre-probably-storing-passwords-incorrectly.html

    http://www.codinghorror.com/blog/2012/04/speed-hashing.html


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (55)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ►  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ►  février 2011 (3)
      • ►  janvier 2011 (12)
    • ►  2010 (398)
      • ►  décembre 2010 (29)
      • ►  novembre 2010 (28)
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ►  janvier 2010 (37)
    • ►  2009 (429)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ►  juin 2009 (38)
      • ►  mai 2009 (37)
      • ►  avril 2009 (35)
      • ►  mars 2009 (36)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ▼  2008 (84)
      • ►  décembre 2008 (34)
      • ▼  novembre 2008 (39)
        • Ajout d'un virtual host sur un serveur local
        • Citation no. 6 sur les intellectuels
        • Variations sur le thème de Google
        • Mauvaise blague à faire sur un poste de travail
        • Startup Camp Montreal 3
        • Songbird, un lecteur multimédia à surveiller
        • Gestion des droits avec Zend_Acl
        • Évolution des éditeurs web
        • Prendre avantage de __autoload() en PHP 5
        • Citation no. 5 sur Internet
        • Redirections avec .htaccess
        • Introduction à prototype.js
        • La meilleure page de l'univers
        • EasyPHP et activation de mod_rewrite
        • User Agent Switcher
        • Mise en page web avec des tableaux
        • Script batch pour rédémarrer IIS
        • À propos de Hotmail
        • Citation no. 4 sur la décadence
        • Lecture de .htaccess sur Cyberpresse
        • Connaître la taille d'un objet PostgreSQL
        • Encryption de mot de passe
        • Création d'une base de données PostgreSQL à partir...
        • World of Warcraft - Wrath of the Lich King
        • Banque d'images
        • Diaporamas multimédia avec Cooliris (PicLens)
        • Acronymes HTML
        • Alternatives pour remplacer l'attribut target blank
        • Citation no. 3 sur le doigt
        • Installer le langage PL/pgSQL pour PostgreSQL
        • Vous êtes perdu ?
        • PHP in Action
        • VirtualBox et les effets graphiques de KDE
        • Protéger l'accès d'une ressource à l'aide d'un mot...
        • Résultats des élections américaines
        • Création de types composites sous PostgreSQL
        • Citation no. 2 sur le progrès
        • Configurer VirtualBox en mode plein écran et fusio...
        • Virtualisation Linux sous Windows avec VirtualBox
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft