J'ai un peu progressé dans mes problèmes de syntaxe (résolus) pour
htaccess. Désormais le fichier de mot de passe est bien reconnu, le
dialogue de saisie apparaît bien MAIS je suis forcé de revenir vers vous
parce que je me prends une erreur 401 (password mismatch) quelque soit
l'utilisateur et que le mdp soit bon ou pas.
- quand le fichier htaccess n'est pas présent, l'accès au site se fait
sans problème
- quand il est présent il me demande identifiant et mot de passe, normal
- si je déplace le fichier des mots de passe il me renvoie une erreur
404 de fichier non présent
- quand il est en place il le voit, mais le navigateur ne reçoit pas le
ok de "correspondance" pour accéder au site et il me renvoit une 401.
Une piste : quand je veux mettre des accents dans mon message
d'invitation, ça me ressort du "garbage" sur les caractères accentués.
Il y a donc un problème de non francisation ou quelque chose du genre ?
(je précise que j'ai choisi "Identification" comme invitation, des
prénoms sans accents comme logins, et des mots de passe constitués
uniquement de chiffres.)
J'ajoute que le résultat est le même avec Safari et avec Firefox.
j'aurais tendance à penser que oui pour deux raisons : parce que j'ai déjà été voir avec les infos du finder d'une part, et parce que l'erreur retournée laisse supposer que le fichier mot de passe a pu être *lu* (ce qui est tout ce qu'on lui demande), mais mal (ce qui est le problème). Mais je vais quand même aller voir avec Batchmod...
Et est-ce que l'accès protégé a eu fonctionné un jour ? Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème spécifique de htaccess. Note un point positif : alors que d'habitude ce genre de problème met en cause l'hébergeur, là on a tout sous la main !
J'espère que ton fichier de MdP en contient plusieurs et que tu as essayé sur chacun ?
Oui. J'ai aussi testé avec un mdp vide, de mettre ou pas un return après le dernier etc.
non quand même pas ;-) ! Je voulais juste dire de réécrire les fichiers en les enregistrant aux bons endroit (sans s'amuser à les glisser ensuite d'un dossier à l'autre)
ok, je vais essayer avec TextWrangler et je reviens.
Encore merci de ton intérêt. Tu ne peux pas savoir à quel point c'est important de ne pas se sentir tout seul au monde dans ce genre de circonstances.
-- Gérald
SAM <stephanemoriaux.NoAdmin@wanadoo.fr.invalid> wrote:
les droits des fichiers sont-ils les bons ?
j'aurais tendance à penser que oui pour deux raisons : parce que j'ai
déjà été voir avec les infos du finder d'une part, et parce que l'erreur
retournée laisse supposer que le fichier mot de passe a pu être *lu* (ce
qui est tout ce qu'on lui demande), mais mal (ce qui est le problème).
Mais je vais quand même aller voir avec Batchmod...
Et est-ce que l'accès protégé a eu fonctionné un jour ?
Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème
spécifique de htaccess. Note un point positif : alors que d'habitude ce
genre de problème met en cause l'hébergeur, là on a tout sous la main !
J'espère que ton fichier de MdP en contient plusieurs et que tu as
essayé sur chacun ?
Oui. J'ai aussi testé avec un mdp vide, de mettre ou pas un return après
le dernier etc.
non quand même pas ;-) !
Je voulais juste dire de réécrire les fichiers en les enregistrant aux
bons endroit (sans s'amuser à les glisser ensuite d'un dossier à l'autre)
ok, je vais essayer avec TextWrangler et je reviens.
Encore merci de ton intérêt. Tu ne peux pas savoir à quel point c'est
important de ne pas se sentir tout seul au monde dans ce genre de
circonstances.
j'aurais tendance à penser que oui pour deux raisons : parce que j'ai déjà été voir avec les infos du finder d'une part, et parce que l'erreur retournée laisse supposer que le fichier mot de passe a pu être *lu* (ce qui est tout ce qu'on lui demande), mais mal (ce qui est le problème). Mais je vais quand même aller voir avec Batchmod...
Et est-ce que l'accès protégé a eu fonctionné un jour ? Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème spécifique de htaccess. Note un point positif : alors que d'habitude ce genre de problème met en cause l'hébergeur, là on a tout sous la main !
J'espère que ton fichier de MdP en contient plusieurs et que tu as essayé sur chacun ?
Oui. J'ai aussi testé avec un mdp vide, de mettre ou pas un return après le dernier etc.
non quand même pas ;-) ! Je voulais juste dire de réécrire les fichiers en les enregistrant aux bons endroit (sans s'amuser à les glisser ensuite d'un dossier à l'autre)
ok, je vais essayer avec TextWrangler et je reviens.
Encore merci de ton intérêt. Tu ne peux pas savoir à quel point c'est important de ne pas se sentir tout seul au monde dans ce genre de circonstances.
-- Gérald
Gerald
Olivier Miakinen <om+ wrote:
Enfin, il serait bon de préciser ce que tu appelais « garbage » dans ton premier article, en donnant un exemple des caractères que tu souhaites et du résultat obtenu
Ok. Je vais essayer de recréer les fichiers avec TextWrangler comme le suggère SAM, je teste, je copie et je reviens éventuellement avec les copies d'écran. Merci pour ton aide.
-- Gérald
Olivier Miakinen <om+news@miakinen.net> wrote:
Enfin, il serait bon de préciser ce que tu appelais « garbage » dans ton
premier article, en donnant un exemple des caractères que tu souhaites
et du résultat obtenu
Ok. Je vais essayer de recréer les fichiers avec TextWrangler comme le
suggère SAM, je teste, je copie et je reviens éventuellement avec les
copies d'écran. Merci pour ton aide.
Enfin, il serait bon de préciser ce que tu appelais « garbage » dans ton premier article, en donnant un exemple des caractères que tu souhaites et du résultat obtenu
Ok. Je vais essayer de recréer les fichiers avec TextWrangler comme le suggère SAM, je teste, je copie et je reviens éventuellement avec les copies d'écran. Merci pour ton aide.
-- Gérald
Jean Francois Ortolo
Le 25/10/2011 06:14, Gerald a écrit :
SAM wrote:
Et est-ce que l'accès protégé a eu fonctionné un jour ? Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème spécifique de htaccess. Note un point positif : alors que d'habitude ce genre de problème met en cause l'hébergeur, là on a tout sous la main !
Bonjour Monsieur
Histoire de rire... ( Excusez-moi si je fais une erreur. )
Est-ce que le contenu du fichier .htpasswd ( qui peut être faux ), a bien été crypté, de manière à ce que l'application de la fonction crypt() du Langage C, ou bien PHP, au mot de passe entré au moment de l'essai d'authentification, soit bien égale à au contenu du fichier .htpasswd ?
Vous savez bien, que les mots de passe, dans le fichier .htpasswd , sont cryptés ?
Et est-ce que l'accès protégé a eu fonctionné un jour ?
Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème
spécifique de htaccess. Note un point positif : alors que d'habitude ce
genre de problème met en cause l'hébergeur, là on a tout sous la main !
Bonjour Monsieur
Histoire de rire... ( Excusez-moi si je fais une erreur. )
Est-ce que le contenu du fichier .htpasswd ( qui peut être faux ), a
bien été crypté, de manière à ce que l'application de la fonction
crypt() du Langage C, ou bien PHP, au mot de passe entré au moment de
l'essai d'authentification, soit bien égale à au contenu du fichier
.htpasswd ?
Vous savez bien, que les mots de passe, dans le fichier .htpasswd ,
sont cryptés ?
Et est-ce que l'accès protégé a eu fonctionné un jour ? Ou bien est-ce tes premiers essais.
Ce sont mes premiers essais de protection. C'est vraiment un problème spécifique de htaccess. Note un point positif : alors que d'habitude ce genre de problème met en cause l'hébergeur, là on a tout sous la main !
Bonjour Monsieur
Histoire de rire... ( Excusez-moi si je fais une erreur. )
Est-ce que le contenu du fichier .htpasswd ( qui peut être faux ), a bien été crypté, de manière à ce que l'application de la fonction crypt() du Langage C, ou bien PHP, au mot de passe entré au moment de l'essai d'authentification, soit bien égale à au contenu du fichier .htpasswd ?
Vous savez bien, que les mots de passe, dans le fichier .htpasswd , sont cryptés ?
Bien amicalement.
Jean François Ortolo
Paul Gaborit
À (at) Tue, 25 Oct 2011 02:16:19 +0200, SAM écrivait (wrote):
les droits des fichiers sont-ils les bons ?
il faudrait faire un chmod à bon escient(*) sur les fichiers .htaccess et .passwords
(*) je ne sais si un chmod 7777 conviendrait pour ces fichiers
Les fichiers .htaccess et .htpasswd n'ont besoin que d'un seul droit : la lecture par le serveur Apache. Donc les droits 644 suffisent largement.
Je soupçonne effectivement une merde à ce niveau-là. J'ai créé (et re-créé) ces fichiers avec TextEdit, demandé le passage en "texte" et sauvegardé en UTF-8...
Oui ... bon ... même s'il est censé y arriver, ça se mérite trop pour être certain de ne pas avoir fait une erreur qque part.
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la command 'htpasswd', son format est évidemment correct.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 02:16:19 +0200,
SAM <stephanemoriaux.NoAdmin@wanadoo.fr.invalid> écrivait (wrote):
les droits des fichiers sont-ils les bons ?
il faudrait faire un chmod à bon escient(*) sur les fichiers .htaccess
et .passwords
(*) je ne sais si un chmod 7777 conviendrait pour ces fichiers
Les fichiers .htaccess et .htpasswd n'ont besoin que d'un seul droit :
la lecture par le serveur Apache. Donc les droits 644 suffisent
largement.
Je soupçonne effectivement une merde à ce niveau-là. J'ai créé (et
re-créé) ces fichiers avec TextEdit, demandé le passage en "texte" et
sauvegardé en UTF-8...
Oui ... bon ... même s'il est censé y arriver, ça se mérite trop pour
être certain de ne pas avoir fait une erreur qque part.
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess
est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la
command 'htpasswd', son format est évidemment correct.
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 02:16:19 +0200, SAM écrivait (wrote):
les droits des fichiers sont-ils les bons ?
il faudrait faire un chmod à bon escient(*) sur les fichiers .htaccess et .passwords
(*) je ne sais si un chmod 7777 conviendrait pour ces fichiers
Les fichiers .htaccess et .htpasswd n'ont besoin que d'un seul droit : la lecture par le serveur Apache. Donc les droits 644 suffisent largement.
Je soupçonne effectivement une merde à ce niveau-là. J'ai créé (et re-créé) ces fichiers avec TextEdit, demandé le passage en "texte" et sauvegardé en UTF-8...
Oui ... bon ... même s'il est censé y arriver, ça se mérite trop pour être certain de ne pas avoir fait une erreur qque part.
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la command 'htpasswd', son format est évidemment correct.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Gerald
Paul Gaborit wrote:
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la command 'htpasswd', son format est évidemment correct.
Tu as parfaitement suivi. Je n'ai pas encore eu le temps de recréer les fichiers avec un autre outil, des fois que TextEdit soit en cause. Je reviens dans un moment vous tenir au courant...
-- Gérald
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess
est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la
command 'htpasswd', son format est évidemment correct.
Tu as parfaitement suivi. Je n'ai pas encore eu le temps de recréer les
fichiers avec un autre outil, des fois que TextEdit soit en cause. Je
reviens dans un moment vous tenir au courant...
Puisque le contrôle d'accès se déclenche, c'est que le fichier .htaccess est reconnu. Quant au fichier .htpasswd, vu qu'il est généré par la command 'htpasswd', son format est évidemment correct.
Tu as parfaitement suivi. Je n'ai pas encore eu le temps de recréer les fichiers avec un autre outil, des fois que TextEdit soit en cause. Je reviens dans un moment vous tenir au courant...
-- Gérald
Gerald
Jean Francois Ortolo wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd , sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une *option*. Tu as une source fiable de ça ?
-- Gérald
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid> wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd ,
sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une
*option*. Tu as une source fiable de ça ?
htpasswd -n[mdps] username htpasswd -nb[mdps] username password -c Create a new file. -n Don't update file; display results on stdout. -m Force MD5 encryption of the password (default). -d Force CRYPT encryption of the password. -p Do not encrypt the password (plaintext). -s Force SHA encryption of the password. -b Use the password from the command line rather than prompting for it. -D Delete the specified user. On other systems than Windows, NetWare and TPF the '-p' flag will probably not work. The SHA algorithm does not use a salt and is less secure than the MD5 algorithm. ~
Comme vous voyez, il y a plusieurs options pour le cryptage.
Un serveur http Apache, utilise le mode crypt() de cryptage, je crois.
C'est à vous à faire la même commande : 'htpasswd --help' , puis à voir quelles sont les options dont vous disposez.
Comme le mot de passe ( crypté très certainement ) semble faux dans votre cas, je penche pour une option de cryptage erronée, que votre serveur web interprète mal.
Bien à vous.
Amicalement.
Jean François Ortolo
Le 25/10/2011 15:53, Gerald a écrit :
Jean Francois Ortolo<ortolo.jeanfrancois_nospam@free.fr.invalid> wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd ,
sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une
*option*. Tu as une source fiable de ça ?
Bonjour Monsieur
Ben voilà l'errreur . ;)
Demandez aux autres intervenants ce qu'ils en pensent.
Vous semblez être votre propre hébergeur.
Vous êtes sous Mac.
Le système Mac, est similaire à celui d'Unix, ou de Linux. ( C'est la
même chose ).
Il devrait y avoir un outil sous Mac, qui permette de crypter une
chaîne de caractère, comme si c'était en vue de l'utiliser dans un
fichier .htpasswd
Monsieur Gaborit a mentionné l'outil : htpasswd.
Vous avez dit que c'était cet outil que vous avez utilisé.
Voici le résultat sur mon système Linux Fedora 15 64 bits, de la
commande : 'htpasswd --help' :
htpasswd -n[mdps] username
htpasswd -nb[mdps] username password
-c Create a new file.
-n Don't update file; display results on stdout.
-m Force MD5 encryption of the password (default).
-d Force CRYPT encryption of the password.
-p Do not encrypt the password (plaintext).
-s Force SHA encryption of the password.
-b Use the password from the command line rather than prompting for it.
-D Delete the specified user.
On other systems than Windows, NetWare and TPF the '-p' flag will
probably not work.
The SHA algorithm does not use a salt and is less secure than the MD5
algorithm.
~
Comme vous voyez, il y a plusieurs options pour le cryptage.
Un serveur http Apache, utilise le mode crypt() de cryptage, je crois.
C'est à vous à faire la même commande : 'htpasswd --help' , puis à
voir quelles sont les options dont vous disposez.
Comme le mot de passe ( crypté très certainement ) semble faux dans
votre cas, je penche pour une option de cryptage erronée, que votre
serveur web interprète mal.
htpasswd -n[mdps] username htpasswd -nb[mdps] username password -c Create a new file. -n Don't update file; display results on stdout. -m Force MD5 encryption of the password (default). -d Force CRYPT encryption of the password. -p Do not encrypt the password (plaintext). -s Force SHA encryption of the password. -b Use the password from the command line rather than prompting for it. -D Delete the specified user. On other systems than Windows, NetWare and TPF the '-p' flag will probably not work. The SHA algorithm does not use a salt and is less secure than the MD5 algorithm. ~
Comme vous voyez, il y a plusieurs options pour le cryptage.
Un serveur http Apache, utilise le mode crypt() de cryptage, je crois.
C'est à vous à faire la même commande : 'htpasswd --help' , puis à voir quelles sont les options dont vous disposez.
Comme le mot de passe ( crypté très certainement ) semble faux dans votre cas, je penche pour une option de cryptage erronée, que votre serveur web interprète mal.
Bien à vous.
Amicalement.
Jean François Ortolo
Paul Gaborit
À (at) Tue, 25 Oct 2011 15:53:10 +0200, (Gerald) écrivait (wrote):
Jean Francois Ortolo wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd , sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une *option*. Tu as une source fiable de ça ?
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd' (ou alors on le génère soi-même mais cela signifie qu'on sait comment hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne stocke que leur empreinte.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 15:53:10 +0200,
Gerald@alussinan.org (Gerald) écrivait (wrote):
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid> wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd ,
sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une
*option*. Tu as une source fiable de ça ?
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd'
(ou alors on le génère soi-même mais cela signifie qu'on sait comment
hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on
puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne
stocke que leur empreinte.
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 15:53:10 +0200, (Gerald) écrivait (wrote):
Jean Francois Ortolo wrote:
Vous savez bien, que les mots de passe, dans le fichier .htpasswd , sont cryptés ?
Non, il me semblait que le cryptage des mots de passe était une *option*. Tu as une source fiable de ça ?
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd' (ou alors on le génère soi-même mais cela signifie qu'on sait comment hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne stocke que leur empreinte.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
Jean Francois Ortolo
Le 25/10/2011 16:48, Paul Gaborit a écrit :
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd' (ou alors on le génère soi-même mais cela signifie qu'on sait comment hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne stocke que leur empreinte.
Bonjour Monsieur
Vous avez peut-être vu mon message à côté du votre.
Les modes de cryptage du mot de passe, sont indiqués :
MD5, crypt(), SHA
ou bien, effectivement, avec l'option -p , en clair.
Je reconnais que l'on ne stocke que les empreintes des mots de passe.
Quant au fait de si les modes de cryptage sont des hashages ou des cryptages réels, il me semble que ces trois modes ci-dessus, sont bien du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous restreignez peut-être, l'emploi du mot cryptage.
Bien amicalement.
Jean François Ortolo
Le 25/10/2011 16:48, Paul Gaborit a écrit :
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd'
(ou alors on le génère soi-même mais cela signifie qu'on sait comment
hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on
puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne
stocke que leur empreinte.
Bonjour Monsieur
Vous avez peut-être vu mon message à côté du votre.
Les modes de cryptage du mot de passe, sont indiqués :
MD5,
crypt(),
SHA
ou bien, effectivement, avec l'option -p , en clair.
Je reconnais que l'on ne stocke que les empreintes des mots de passe.
Quant au fait de si les modes de cryptage sont des hashages ou des
cryptages réels, il me semble que ces trois modes ci-dessus, sont bien
du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous
restreignez peut-être, l'emploi du mot cryptage.
Le fichier des mots de passe *doit* être créer avec l'outil 'htpasswd' (ou alors on le génère soi-même mais cela signifie qu'on sait comment hacher les mots de passe).
PS: les mots de passe ne sont pas chiffrés (sinon cela supposerait qu'on puisse les déchiffrer ou, pire, les décrypter). Ils sont haché et on ne stocke que leur empreinte.
Bonjour Monsieur
Vous avez peut-être vu mon message à côté du votre.
Les modes de cryptage du mot de passe, sont indiqués :
MD5, crypt(), SHA
ou bien, effectivement, avec l'option -p , en clair.
Je reconnais que l'on ne stocke que les empreintes des mots de passe.
Quant au fait de si les modes de cryptage sont des hashages ou des cryptages réels, il me semble que ces trois modes ci-dessus, sont bien du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous restreignez peut-être, l'emploi du mot cryptage.
Bien amicalement.
Jean François Ortolo
Paul Gaborit
À (at) Tue, 25 Oct 2011 18:25:12 +0200, Jean Francois Ortolo écrivait (wrote):
Les modes de cryptage du mot de passe, sont indiqués :
MD5, crypt(), SHA
[...]
Quant au fait de si les modes de cryptage sont des hashages ou des cryptages réels, il me semble que ces trois modes ci-dessus, sont bien du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous restreignez peut-être, l'emploi du mot cryptage.
Le cryptage n'existe pas. On parle de chiffrement et de déchiffrement. Et l'un comme l'autre nécessitent effectivement l'usage d'une clé. Une information chiffrée peut être déchiffrée si on connait la clé à utiliser. Si on arrive à déchiffrer cette information sans connaître la clé alors on fait de décryptage.
Les trois fonctions évoquées ci-dessus (MD5, SHA et crypt() qui est en fait une utilisation détournée de DES) sont des fonctions de hachages (et non pas des fonctions de chiffrement). Elles permettent de calculer l'empreinte d'une information. Cette empreinte identifie l'information dont elle est issue (aucune autre information n'a la même empreinte) mais le seule connaissance de cette empreinte ne permet pas de retrouver le moindre bit de l'information d'origine.
C'est pour cela qu'on utilise ces empreintes pour vérifier les mots de passe. Lorsqu'on veut vérifier un mot de passe, on calcule son empreinte et on la compare à celle qu'on a stockée. Si elles sont identiques, c'est que les deux informations initiales sont identiques (c'est donc le bon de passe). En revanche, l'administrateur ou, pire, le pirate qui a accès au fichier des empreintes ne peut absolument pas retrouver le moindre mot de passe...
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant le mot de passe avant de calculer son empreinte. Cela permet de s'assurer que deux mots de passe identiques n'auront pas la même empreinte (puisque le sel sera différent). Il faut évidemment stocké le sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache n'utilise pas de sel.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 18:25:12 +0200,
Jean Francois Ortolo <ortolo.jeanfrancois_nospam@free.fr.invalid> écrivait (wrote):
Les modes de cryptage du mot de passe, sont indiqués :
MD5,
crypt(),
SHA
[...]
Quant au fait de si les modes de cryptage sont des hashages ou des
cryptages réels, il me semble que ces trois modes ci-dessus, sont bien
du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous
restreignez peut-être, l'emploi du mot cryptage.
Le cryptage n'existe pas. On parle de chiffrement et de déchiffrement.
Et l'un comme l'autre nécessitent effectivement l'usage d'une clé. Une
information chiffrée peut être déchiffrée si on connait la clé à
utiliser. Si on arrive à déchiffrer cette information sans connaître la
clé alors on fait de décryptage.
Les trois fonctions évoquées ci-dessus (MD5, SHA et crypt() qui est en
fait une utilisation détournée de DES) sont des fonctions de hachages
(et non pas des fonctions de chiffrement). Elles permettent de calculer
l'empreinte d'une information. Cette empreinte identifie l'information
dont elle est issue (aucune autre information n'a la même empreinte)
mais le seule connaissance de cette empreinte ne permet pas de retrouver
le moindre bit de l'information d'origine.
C'est pour cela qu'on utilise ces empreintes pour vérifier les mots de
passe. Lorsqu'on veut vérifier un mot de passe, on calcule son empreinte
et on la compare à celle qu'on a stockée. Si elles sont identiques,
c'est que les deux informations initiales sont identiques (c'est donc le
bon de passe). En revanche, l'administrateur ou, pire, le pirate qui a
accès au fichier des empreintes ne peut absolument pas retrouver le
moindre mot de passe...
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant
le mot de passe avant de calculer son empreinte. Cela permet de
s'assurer que deux mots de passe identiques n'auront pas la même
empreinte (puisque le sel sera différent). Il faut évidemment stocké le
sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la
vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache
n'utilise pas de sel.
--
Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
À (at) Tue, 25 Oct 2011 18:25:12 +0200, Jean Francois Ortolo écrivait (wrote):
Les modes de cryptage du mot de passe, sont indiqués :
MD5, crypt(), SHA
[...]
Quant au fait de si les modes de cryptage sont des hashages ou des cryptages réels, il me semble que ces trois modes ci-dessus, sont bien du cryptage, évidemment sans clé publique et/ou privée, ce à quoi vous restreignez peut-être, l'emploi du mot cryptage.
Le cryptage n'existe pas. On parle de chiffrement et de déchiffrement. Et l'un comme l'autre nécessitent effectivement l'usage d'une clé. Une information chiffrée peut être déchiffrée si on connait la clé à utiliser. Si on arrive à déchiffrer cette information sans connaître la clé alors on fait de décryptage.
Les trois fonctions évoquées ci-dessus (MD5, SHA et crypt() qui est en fait une utilisation détournée de DES) sont des fonctions de hachages (et non pas des fonctions de chiffrement). Elles permettent de calculer l'empreinte d'une information. Cette empreinte identifie l'information dont elle est issue (aucune autre information n'a la même empreinte) mais le seule connaissance de cette empreinte ne permet pas de retrouver le moindre bit de l'information d'origine.
C'est pour cela qu'on utilise ces empreintes pour vérifier les mots de passe. Lorsqu'on veut vérifier un mot de passe, on calcule son empreinte et on la compare à celle qu'on a stockée. Si elles sont identiques, c'est que les deux informations initiales sont identiques (c'est donc le bon de passe). En revanche, l'administrateur ou, pire, le pirate qui a accès au fichier des empreintes ne peut absolument pas retrouver le moindre mot de passe...
Parfois on ajoute du sel (quelques caractères choisis au hasard) devant le mot de passe avant de calculer son empreinte. Cela permet de s'assurer que deux mots de passe identiques n'auront pas la même empreinte (puisque le sel sera différent). Il faut évidemment stocké le sel choisi en plus de l'empreinte pour pouvoir la recalculer lors de la vérification d'un mot de passe.
Si mes souvenirs sont bons, la commande htpasswd fournie avec Apache n'utilise pas de sel.
-- Paul Gaborit - <http://perso.mines-albi.fr/~gaborit/>
