PHWinfo - Afficher un message

03/09/2007, 11h17

Mickaël Wolff a exposé le 03/09/2007 :
> Patrick Mevzek a écrit :
>
>> http://actuel.fr.selfhtml.org/articl.../md5/index.htm
>
> À noter que, hacher le mot de passe avec md5 depuis le client est
> furieusement inutile. Au contraire, ça enlève une difficulté pour
> pirater un compte.

Comment ça ?

Si on hache juste le mot de passe je veux bien croire que ça ne serve
pas à grand chose, mais si on fais un MD5(passe+clé), avec 'clé' qui
est une donnée aléatoire changeant à chaque affichage du formulaire, là
ça devient plus dur à cracker, puisque chaque appel au formulaire
devient unique et non reproductible ... non ?

--
Olivier Ligny
www.virgal.net (Monde persistant)

03/09/2007, 11h17	#8
O.L. Messages: n/a Hébergeur:	Re: MD5 Mickaël Wolff a exposé le 03/09/2007 : > Patrick Mevzek a écrit : > >> http://actuel.fr.selfhtml.org/articl.../md5/index.htm > > À noter que, hacher le mot de passe avec md5 depuis le client est > furieusement inutile. Au contraire, ça enlève une difficulté pour > pirater un compte. Comment ça ? Si on hache juste le mot de passe je veux bien croire que ça ne serve pas à grand chose, mais si on fais un MD5(passe+clé), avec 'clé' qui est une donnée aléatoire changeant à chaque affichage du formulaire, là ça devient plus dur à cracker, puisque chaque appel au formulaire devient unique et non reproductible ... non ? -- Olivier Ligny www.virgal.net (Monde persistant)