Sécurité web, md5

Soyez le premier à donner votre avis sur cette source.

Vue 23 751 fois - Téléchargée 1 531 fois

Description

Voila, j'ai vu très peu de source portant sur la sécurité Web sur ASPFr et je trouve cela très etonnant. J'aporte donc cette très bonne source (qui n'est pas de moi) qui permet de hasher des textes en MD5. A quoi cela sert t'il? Le MD5 est un système de 'cryptage' (bien que ce therme ne soit pas correct) irréversible. Il permet par exemple de verifier le password de qqn en le hashant en MD5 puis en le comparant à la chaine MD5 deja présente dans la BDD. Ce systeme est utilisé dans de nombreux cas: cryptage des clés des documents MS Office, cryptage des passwords MSN, cryptage des password PhpBB, etc.

Cette très bonne source provient de http://rossm.net/Electronics/Computers/Software/ASP/ .

Conclusion :


Cette source est très simple d'utilisation, elle permet d'avoir une fonction equivalente a celle existante en php:
hashMD5 = md5(monpassword)

Voila, si vous avez des questions n'hésitez pas.

Warning

Codes Sources

A voir également

Ajouter un commentaire

Commentaires

cs_Warny
Messages postés
478
Date d'inscription
mercredi 7 août 2002
Statut
Membre
Dernière intervention
10 juin 2015
-
Précision : Le MD5 sert non à crypter mais à hasher un document. Le hashage est une technique qui consiste à perdre de l'information pour représenter un document.
Le but du système est d'avoir un calcul assez complexe pour qu'il soit extrement difficile de recréer un document en connaissant la clef de hashage.

Si D1 est un document et H ma clef de hashage, j'ai une chance sur 2^128 d'avoir un document D2 pour lequel H est aussi ma clef de hashage. Il est infiniment improbable de retrouver un document cohérent ayant la même clef de hashage.

Pour les mots de passe, si le cryptage est en md5 et qu'il est suffisant de le valider en comparaison sur une page web, la sécurité n'est tout de même pas au rendez-vous.
Pour valider un mot de passe dans une application normallement constituée, on utilise des algorithmes de vérification sans échange de connaissance (zero-knowledge verification). C'est ce que fait votre navigateur lorsque vous utilisez l'autentification Windows.
cs_Warning
Messages postés
517
Date d'inscription
samedi 3 février 2001
Statut
Modérateur
Dernière intervention
24 octobre 2006
-
Salut, merci de reagir (c drole Warny qui réagit a Warning ;)). Ta réaction m'interesse, peux tu préciser pourquoi la sécurité n'est pas au rendez-vous ? Et peux tu donner des exemples plus concrets ou des sources a propos du zero-knowledge verification. Le md5 n'en fait donc pas partie ? Il me semblait etant donner qu'on verifie avec un hash qu'il n'est pas possible de verifier. Si tu parles d'application je crois comprendre ce que tu veux dire.
cs_Warny
Messages postés
478
Date d'inscription
mercredi 7 août 2002
Statut
Membre
Dernière intervention
10 juin 2015
-
Bob veut vérifier que Alice connait son mot de passe. Céline écoute la ligne.
Si tu transmet un code de vérification avec un cryptage symétrique ou un hashage, Céline n'aura qu'à le répeter pour faire croire qu'elle connait le mot de passe.

Si Alice, à partir de son hashage, produit un calcule non réversible avec deux paramètres aléatoires demandée par Bob, Céline aura beau écouter toutes les réponses possibles elle ne pourra jamais répondre à une nouvelle demande de Bob. Ainsi tu peux vérifier que Alice connait son code sans jamais le transmettre (ni le code crypté, ni le hashage direct) sur le réseau.
cs_Warning
Messages postés
517
Date d'inscription
samedi 3 février 2001
Statut
Modérateur
Dernière intervention
24 octobre 2006
-
Oki ça m'eclaire un peu plus ;)
Merci
tmcuh
Messages postés
463
Date d'inscription
dimanche 22 décembre 2002
Statut
Membre
Dernière intervention
18 avril 2009
-
bon je reconnais que c'est pas un forum... mais vu la sécurité que tu emploie, tu te contredit car tu dis plus haut que le md5 est impossible à "cracker" donc j'ai beau transmettre la donnée hasher alors que "céline" écoute, elle ne pourra tout de meme rien en faire non? Pour ma part j'utilise en asp.net le hashage md5 pour comparer les mots de passe et du fait que celà se passe sur le serveur, il y a encore moins de problème.

Amicalement tmcuh

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.