cryptage champ password SQL2000

02/08/2007, 14h16

Voilà j'ai une base de données contenant des logins et des mots de passe. Je
ne voudrais pas que toute personne ayant accès à la base de données puisse
voire les mots de passe de tous le monde. Comment puis-je faire pour crypter
les mots de passe au sein de la base de données.
Autrement dit, je veux que le champs pwd (password) soit crypter dans la
base mais qu'il soit décrypter automatiquement lorsqu'il y a interaction
avec le PC client

MOD

02/08/2007, 15h39

Le Thu, 02 Aug 2007 15:16:22 +0200, MOD <modiop@hotmail.com> a écrit:

> Voilà j'ai une base de données contenant des logins et des mots de
> passe. Je
> ne voudrais pas que toute personne ayant accès à la base de données
> puisse
> voire les mots de passe de tous le monde. Comment puis-je faire pour
> crypter
> les mots de passe au sein de la base de données.
> Autrement dit, je veux que le champs pwd (password) soit crypter dans la
> base mais qu'il soit décrypter automatiquement lorsqu'il y a interaction
> avec le PC client
>
> MOD
>
>

Ce n'est pas une très bonne solution pour 2 raisons :
- Si vous cryptez des mots via un algo fait en T-SQL, cela ne sera pas
très performant (en terme de rapidité)
- Si vous décrypez le mot de passe au niveau d'un SELECT, INSERT, il
suffit que quelqu'un lise les trames TCP/IP du réseau pour récupérer les
mots de passe en clair...

Le mieux est que votre logiciel client crypte/décrypte les mots de passe.
Les mots de passe doivent être des chaines cryptés qui seront stockés dans
la base de données et qui circule toujours de façon crypté lors d'un
SELECT/INSERT/UPDATE...

Vous pouvez aussi utiliser cette solution pour certains algo qui crypte
uniquement d'un seul sens (par ex MD5) :
- Lors de la création du mot de passe, on le crypte et on l'insère dans la
base de données
- Pour vérifier un mot de passe, on le crypte et on fait un SELECT...WHERE
MotPasse = 'MotPasseCrypté'
Les cryptages se toujours faisant du coté client...

Dans tous les cas, ces 2 méthodes sont sécurisées du fait que les mots de
passe ne sont visibles ni sur le réseau, ni dans les tables...

Cordialement

--
Gilles TOURREAU
gilles.tourreau@pos.fr

S.A.R.L. P.O.S
Le spécialiste en motoculture depuis + de 30 ans !
http://www.pos.fr

02/08/2007, 14h16	#1
MOD Messages: n/a Hébergeur:	cryptage champ password SQL2000 Voilà j'ai une base de données contenant des logins et des mots de passe. Je ne voudrais pas que toute personne ayant accès à la base de données puisse voire les mots de passe de tous le monde. Comment puis-je faire pour crypter les mots de passe au sein de la base de données. Autrement dit, je veux que le champs pwd (password) soit crypter dans la base mais qu'il soit décrypter automatiquement lorsqu'il y a interaction avec le PC client MOD

02/08/2007, 15h39	#2
Gilles TOURREAU Messages: n/a Hébergeur:	Re: cryptage champ password SQL2000 Le Thu, 02 Aug 2007 15:16:22 +0200, MOD <modiop@hotmail.com> a écrit: > Voilà j'ai une base de données contenant des logins et des mots de > passe. Je > ne voudrais pas que toute personne ayant accès à la base de données > puisse > voire les mots de passe de tous le monde. Comment puis-je faire pour > crypter > les mots de passe au sein de la base de données. > Autrement dit, je veux que le champs pwd (password) soit crypter dans la > base mais qu'il soit décrypter automatiquement lorsqu'il y a interaction > avec le PC client > > MOD > > Ce n'est pas une très bonne solution pour 2 raisons : - Si vous cryptez des mots via un algo fait en T-SQL, cela ne sera pas très performant (en terme de rapidité) - Si vous décrypez le mot de passe au niveau d'un SELECT, INSERT, il suffit que quelqu'un lise les trames TCP/IP du réseau pour récupérer les mots de passe en clair... Le mieux est que votre logiciel client crypte/décrypte les mots de passe. Les mots de passe doivent être des chaines cryptés qui seront stockés dans la base de données et qui circule toujours de façon crypté lors d'un SELECT/INSERT/UPDATE... Vous pouvez aussi utiliser cette solution pour certains algo qui crypte uniquement d'un seul sens (par ex MD5) : - Lors de la création du mot de passe, on le crypte et on l'insère dans la base de données - Pour vérifier un mot de passe, on le crypte et on fait un SELECT...WHERE MotPasse = 'MotPasseCrypté' Les cryptages se toujours faisant du coté client... Dans tous les cas, ces 2 méthodes sont sécurisées du fait que les mots de passe ne sont visibles ni sur le réseau, ni dans les tables... Cordialement -- Gilles TOURREAU gilles.tourreau@pos.fr S.A.R.L. P.O.S Le spécialiste en motoculture depuis + de 30 ans ! http://www.pos.fr

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email