cube45
Messages postés14Date d'inscriptionvendredi 18 février 2005StatutMembreDernière intervention 3 novembre 2006
-
26 juin 2006 à 18:43
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015
-
26 févr. 2007 à 17:09
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 26 févr. 2007 à 17:09
pourquoi vouloir réinventer la roue... le md5 et le sha1 font très bien l'affaire pour ce genre de chose... .. .
@ tchaOo°
stfou
Messages postés450Date d'inscriptionsamedi 16 avril 2005StatutMembreDernière intervention18 avril 20073 25 févr. 2007 à 16:20
je viens d'avoir une idée, on a qu'a faire un deuxième hash mais pas avec le meme algorithme, et on l'ajoute au premier, comme ça sa réduit encore les chances.
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 7 juil. 2006 à 16:26
Le problème ce n'est pas que l'on ne peut pas décoder le hasch, c'est le principe du hasch... haschage et cryptage n'ont pas la même finalité... le problème comme dit kenicky_marouf vient du fait que plusieurs chaines différentes auront le même hasch... donc autant utiliser md5 ou sha1 qui présentent beaucoups moins de risque de rejeu... .. .
@ tchaOo°
stfou
Messages postés450Date d'inscriptionsamedi 16 avril 2005StatutMembreDernière intervention18 avril 20073 7 juil. 2006 à 16:21
oui, c'est l'inconvénient, on ne peut pas décoder inversement, mais il y a d'autres mot de passe qui marchent. mais en augmentant la concaténation, on diminue les risques de tomber 2 fois sur un meme nombre pour deux mot de passe différent.
kenicky_marouf
Messages postés1Date d'inscriptionvendredi 30 juin 2006StatutMembreDernière intervention30 juin 2006 30 juin 2006 à 14:41
en effet, le probleme avec ton code c'est qu'il n'empeche pas le rejeu
si tu scans le reseau et que tu vois passer un couple login/password avec un password hashé de cette facon, il est possible de fabriquer une requete en envoyant le login et le hash du password ... et l'acces passe
tu ne connais pas le mot de passe en clair mais tu n'en as pas besoin en fait
c'est pour ca qu'il faut toujours envoyer un aleatoire avec et hashé par exemple, et apres tu hashs la concatenantion de l'aleatoire et du mot de passe ... l'aleatoire changeant ce n'est plus possible de "rejouer la trame" ...
rrk275
Messages postés540Date d'inscriptionvendredi 25 juin 2004StatutMembreDernière intervention 1 octobre 20072 30 juin 2006 à 13:41
l'avantage de ce codage, c'est que si jamais on fait le calcul inverse, il y aura plusieurs possibilitées. exemple :
16=1*1+15 ou 1*2+14 ou 2*3+10 etc...
C'est plutot un probleme car meme si on peut pas avoir l'original , si tu regarde le hash tu auras un pass qui passera alors que c'est pas le bon, je vois donc pas ce que ca apporte niveau securite..
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 28 juin 2006 à 01:53
les termes indéchiffrable et indecryptable n'éxistent pas en informatique... surtout avec un code aussi simple qui, cependant, dans l'idée est pas trop mal foutu... mais bon c'est un peu trop simple... si c'est pour faire du hash autant utiliser md5... .. . ;o)
@ tchaOo°
stfou
Messages postés450Date d'inscriptionsamedi 16 avril 2005StatutMembreDernière intervention18 avril 20073 26 juin 2006 à 20:28
oupla bin oui ^^ :$ je vais changer ça tout de suite, merci
cube45
Messages postés14Date d'inscriptionvendredi 18 février 2005StatutMembreDernière intervention 3 novembre 2006 26 juin 2006 à 18:43
J'aime bien le codage INDESCRIPTIBLE(= qu'on ne peut pas décrire != INDECHIFRABLE ou INDECRYPTABLE), une petite erreur sans doute ;)
26 févr. 2007 à 17:09
@ tchaOo°
25 févr. 2007 à 16:20
7 juil. 2006 à 16:26
@ tchaOo°
7 juil. 2006 à 16:21
30 juin 2006 à 14:41
si tu scans le reseau et que tu vois passer un couple login/password avec un password hashé de cette facon, il est possible de fabriquer une requete en envoyant le login et le hash du password ... et l'acces passe
tu ne connais pas le mot de passe en clair mais tu n'en as pas besoin en fait
c'est pour ca qu'il faut toujours envoyer un aleatoire avec et hashé par exemple, et apres tu hashs la concatenantion de l'aleatoire et du mot de passe ... l'aleatoire changeant ce n'est plus possible de "rejouer la trame" ...
30 juin 2006 à 13:41
16=1*1+15 ou 1*2+14 ou 2*3+10 etc...
C'est plutot un probleme car meme si on peut pas avoir l'original , si tu regarde le hash tu auras un pass qui passera alors que c'est pas le bon, je vois donc pas ce que ca apporte niveau securite..
28 juin 2006 à 01:53
@ tchaOo°
26 juin 2006 à 20:28
26 juin 2006 à 18:43