http://fr.php.net/manual/fr/function.md5.php J'aimerai avoir votre avis là-dessus...
Paul Delannoy
xk155 a écrit:
Perso, j'utilise MD5...
http://fr.php.net/manual/fr/function.md5.php J'aimerai avoir votre avis là-dessus... Il y a eu des discussions à ce sujet ici. Vs les archives.
Pour faire court : il y a crypt, natif Unix au départ, et md5. Personnellement je crains que crypt ne soit plus assez robuste (les ordis modernes sont capables d'essayer très vite toutes les combinaisons de 2 caractéres possibles en entrée de uncrypt pour retrouver un pas...) et je préféres md5. Mais je sais que d'autres recommandent crypt, au contraire... cela sur le serveur, bien entendu. Un autre aspect des choses est ce qui transite sur le réseau ; si ces transactions sont cryptées SSL,etc... la sécurité sera effective. Sinon... gare. J'eqça
xk155 a écrit:
Perso, j'utilise MD5...
http://fr.php.net/manual/fr/function.md5.php
J'aimerai avoir votre avis là-dessus...
Il y a eu des discussions à ce sujet ici. Vs les archives.
Pour faire court :
il y a crypt, natif Unix au départ, et md5. Personnellement je crains
que crypt ne soit plus assez robuste (les ordis modernes sont capables
d'essayer très vite toutes les combinaisons de 2 caractéres possibles en
entrée de uncrypt pour retrouver un pas...) et je préféres md5. Mais je
sais que d'autres recommandent crypt, au contraire... cela sur le
serveur, bien entendu.
Un autre aspect des choses est ce qui transite sur le réseau ; si ces
transactions sont cryptées SSL,etc... la sécurité sera effective.
Sinon... gare.
J'eqça
http://fr.php.net/manual/fr/function.md5.php J'aimerai avoir votre avis là-dessus... Il y a eu des discussions à ce sujet ici. Vs les archives.
Pour faire court : il y a crypt, natif Unix au départ, et md5. Personnellement je crains que crypt ne soit plus assez robuste (les ordis modernes sont capables d'essayer très vite toutes les combinaisons de 2 caractéres possibles en entrée de uncrypt pour retrouver un pas...) et je préféres md5. Mais je sais que d'autres recommandent crypt, au contraire... cela sur le serveur, bien entendu. Un autre aspect des choses est ce qui transite sur le réseau ; si ces transactions sont cryptées SSL,etc... la sécurité sera effective. Sinon... gare. J'eqça
dmetzler
Pour moi, tu peux utiliser ce que tu veux du moment que tu le spécifie. Je trouve que la notation LDAP est bien fait pour ça : Lorsque tu stocke un mot de passe tu le stocke de cette manière : {MD5}FQsflakjamzfiqsmdnvq Tu sais que c'est un hash MD5. Si un jour tu veux changer la méthode de cryptage ce n'est pas un problème. Les mots de passe vont changer au fur et à mesure que les gens changent leurs mots de passe : par exemple {SHA1}qmslkdjmaoijaovnqsdv D'autre part, si un jour tu es amené à migrer vers un LDAP, cela ne posera pas de problème.
Ce qu'il faut éviter à tout prix, c'est l'encodage PASSWORD de MySQL. Il n'est fait que pour MySQL (stockage des mots de passe de base) et on ne le retrouve nulle part. Du coup, si y'a besoin de migrer un jour vers autre chose c'est la galère.
Pour moi, tu peux utiliser ce que tu veux du moment que tu le
spécifie.
Je trouve que la notation LDAP est bien fait pour ça : Lorsque tu
stocke un mot de passe tu le stocke de cette manière :
{MD5}FQsflakjamzfiqsmdnvq
Tu sais que c'est un hash MD5. Si un jour tu veux changer la méthode
de cryptage ce n'est pas un problème. Les mots de passe vont changer
au fur et à mesure que les gens changent leurs mots de passe : par
exemple
{SHA1}qmslkdjmaoijaovnqsdv
D'autre part, si un jour tu es amené à migrer vers un LDAP, cela ne
posera pas de problème.
Ce qu'il faut éviter à tout prix, c'est l'encodage PASSWORD de MySQL.
Il n'est fait que pour MySQL (stockage des mots de passe de base) et on
ne le retrouve nulle part. Du coup, si y'a besoin de migrer un jour
vers autre chose c'est la galère.
Pour moi, tu peux utiliser ce que tu veux du moment que tu le spécifie. Je trouve que la notation LDAP est bien fait pour ça : Lorsque tu stocke un mot de passe tu le stocke de cette manière : {MD5}FQsflakjamzfiqsmdnvq Tu sais que c'est un hash MD5. Si un jour tu veux changer la méthode de cryptage ce n'est pas un problème. Les mots de passe vont changer au fur et à mesure que les gens changent leurs mots de passe : par exemple {SHA1}qmslkdjmaoijaovnqsdv D'autre part, si un jour tu es amené à migrer vers un LDAP, cela ne posera pas de problème.
Ce qu'il faut éviter à tout prix, c'est l'encodage PASSWORD de MySQL. Il n'est fait que pour MySQL (stockage des mots de passe de base) et on ne le retrouve nulle part. Du coup, si y'a besoin de migrer un jour vers autre chose c'est la galère.
