Saler ses mots de passe

[Cebastien]

Bonjour,

Suite au vol de quelques (millions) mots de passe chez Linkdln, un petit article sur le compromis temps/mémoire : ici

On y lit que le haschage ne suffit pas et qu'il est préférable de saler ses mots de passe.

Je pensais que le salage de mot de passe était une sur-protection, mais apparemment pas. Quels sont les avis des spécialistes du Hub?

Seb...

[Portekoi]

utiliser des phrases est bien plus sécurisé que n'importe quel mot de passe du genre :

"Je suis webmaster!"

"Ma femme est belle..."

Et j'en passe.

Faut arrêter de se torturer le cerveau...

Portekoi

[Cebastien]

Oui ça d'accord, mais la complexité du mot de passe sert juste à le rendre plus difficile à trouver pour ceux qui cherchent à le deviner. Là on parle du stockage du mot de passe dans un BDD et de sa sécurité.

[Dadou]

Au niveau sécurité, j'ai une règle simple : on n'est jamais assez protégé, la surprotection n'existe pas, surtout quand on sait que les utilisateurs sont de base fainéant pour se trouver de vrai mot de passes.

[SStephane]

Le salt sert uniquement à rendre inutiles les rainbow tables md5 et sha... (de ce genre là http://md5.rednoize.com/ ).

Si tu utilises le login-salt, tes utilisateurs ne seront pas lésés si tu te fais piquer ta base, mais tu n'as peut être pas autant d'utilisateurs que linkedin. Dans leur cas, c'est totalement irresponsable et suis particulièrement ravi qu'ils disposent de l'un de mes mots de passe ...

Quels sont les avis des spécialistes du Hub?

Je ne sais pas si je peux me prévaloir d'être un spécialiste en cryptographie (surement pas) mais les outils que j’emploie (frameworks et CMS) disposent d'un salt en natif pour la gestion des comptes, et personnellement, ça me paraît être la moindre des choses pour des outils open-sources.