toujours utilisation de md5?
toujours utilisation de md5? - PHP - Programmation
Marsh Posté le 16-12-2005 à 09:39:29
| kensei a écrit : mon professeur de réseaux nous a dit dans un de ses cours qu'on avait découvert il y a pas si longtemps que ca que MD5 n'était pas sans collisions |
ton prof devrait mieux formuler ses phrases...
ce n'est pas nouveau, le md5 étant codé sur 128 bits, le nombre de hash n'est pas infini donc il y a forcement des collisions, c'est logique et on le sait depuis le début ^^
ce qui est récent c'est la méthode pour trouver les collisions (aout 2004) : http://eprint.iacr.org/2004/199.pdf
sinon tu peux utiliser sha1 : http://fr.php.net/manual/fr/function.sha1.php
il y a bien sûr des collisions avec sha1 mais moins rapide à trouver (codé sur 160 bits)
Marsh Posté le 16-12-2005 à 10:01:23
sinon tu peux mixer un peut.
le MD5 étant un Hash il est impossible de recuperer le mot de passe.
si par exemple ton mot de passe est 2EFT42D
un brute force testera certaines collisions ou mots mais ca restera difficile.
le mieux c'est de mixer d'abord le mot de passe avec une clé à ton gout puis d'en calculer le MD5.
tu peux aussi jouer au sadique et faire :
Mot de Passe > MD5 > mixage avec clé > MD5
va essayer de retrouver le mot de passe la dedans 
Marsh Posté le 16-12-2005 à 10:11:37
| gatsu35 a écrit : sinon tu peux mixer un peut. |
Ca n'a pas grand intérêt...
Ton second MD5 hashe un hash, en gros...tu ne fais donc qu'augmenter les risques de collision.
Message édité par skeye le 16-12-2005 à 10:13:09
---------------
Can't buy what I want because it's free -
Marsh Posté le 16-12-2005 à 11:02:31
Article de janvier 2005: (http://blog.metacites.net/2005/01/md5_collision.html)
| Citation : MD5 collision |
Ce que le malveillant récupèrera en craquant ta BDD par exemple, ce sont les MD5, pas l'origine. Meme constat s'il le trouve dans un cookie par exemple.
Sinon tu fait ce qui est dit en moralité, et que soju t'avait déjà conseillé --> utilise sha-1
---------------
- Xav - ...There are no crimes when there are no laws... -- Xav's World
Marsh Posté le 16-12-2005 à 11:14:00
Il sert à quoi le second paramettre (bool raw_output) dans la fonction sha1?
Marsh Posté le 16-12-2005 à 13:30:23
| Citation : Un sha1 est un nombre hexadécimal de 40 caractères. Si le paramètre optionnel raw_output est passé à TRUE, le sha1 est retourné sous forme binaire brute avec une taille de 20. |
EDIT: par contre (http://fr.wikipedia.org/wiki/SHA-1)
| Citation : De plus, avec 2 puissance 63 opérations, l'attaque est en dessous des 2 puissance 64 nécessaires pour une recherche exhaustive sur un MD5 (qui n'est plus conseillé pour les nouvelles applications). Ayant perdu une longueur d'avance dès l'annonce de l'attaque de Wang et al., SHA-1 a été retiré progressivement des applications cryptographiques au profit de SHA-256 ou des autres fonctions de hachage comme Whirlpool ou Tiger. Les voix s'élèvent déjà pour réclamer un nouveau standard de hachage |
donc SHA-1 pas mieux que MD5 
Message édité par Xav_ le 16-12-2005 à 13:34:21
---------------
- Xav - ...There are no crimes when there are no laws... -- Xav's World
Sujets relatifs:
- Utilisation des ncurses sous Solaris 9/10.
- Utilisation de plusieurs servlets
- [VB6] Utilisation de fichiers batch...
- MD5 et unicité
- Utilisation et licence
- [PHP] Apache se plante lors de l'utilisation d'une classe
- [MS-DOS] Utilisation du pipe
- md5
- Utilisation des masques
- Utilisation fonction md5crypt (ou crypter en md5 unix)
Marsh Posté le 16-12-2005 à 08:26:03
Bonjour a tous,
mon professeur de réseaux nous a dit dans un de ses cours qu'on avait découvert il y a pas si longtemps que ca que MD5 n'était pas sans collisions, c'est-a-dire que pour deux mots de passe différent, on avait découvert deux mots cryptés identiques. En clair, il nous a dit d'éviter de l'utiliser dorénavant car n'étant plus considéré comme sûr.
J'aimerai savoir si vous l'utilisez encore. Si non, y a-t-il d'autres moyens de crypter les mots de passe en php?
merci
---------------
OST Anime