[Sequanux-ml] Contrôler Internet en France : notre gouvernement y travaille

Mar 1 Mar 16:55:45 CET 2011

Sauf que SHA1 (ou MD5), souvent utilisé pour hacher, et non chiffrer, les
mots de passe en base de données n'est pas réversible... comme je l'ai dit,
avec SHA1, on hache, et on ne chiffre pas. Si tu hache une tranche de
bifteak, tu ne pourra jamais la reconstituer, c'est le même principe avec
SHA1.

Donc pour vérifier un mot de passe haché, on prend le mot de passe que donne
l'utilisateur, on le hache et on le compare avec celui en base de données.
Si les 2 hash correspondent alors il y a de grande chance que le mot de
passe fourni soit celui qui à généré le hache stocké en base (je dit de
grande chance car il est possible que deux chaines différentes donne le même
hash, bien que ceux qui conçoivent ces algo tente d'empêcher ce phénomène).

Clément

2011/3/1 Julien Escario <escario at azylog.net>

> Le 01/03/2011 16:07, "Grégory Oestreicher" a écrit :
> >> Rien de précise qu'il doit être conservé en clair ...
> >
> > Si 'il' fait référence au mot de passe alors nous n'avons pas la même
> lecture du 3°
> > g). Je cite : "Le mot de passe ainsi que les données permettant de le
> vérifier ou de
> > le modifier, dans leur dernière version mise à jour". Donc il faut être
> capable de
> > fournir le mot de passe actuel, donc le stocker avec un chiffrement
> réversible ou en
> > clair. Actuellement nous sommes hors-la-loi si une telle requête devait
> nous être
> > adressée. Comme je ne compte pas mettre en danger les mots de passe
> hébergés sur le
> > serveur, on est bien partis.
>
> Je ne tire pas cette conclusion.
> Un mot de passe enregistré en SHA1, il peut bien être vérifié non (c'est le
> principe d'une authentification d'ailleurs) ? Et qu'est ce qui empêche de
> le
> modifier ?
>
> Pour moi, un mot de passe stocké crypté remplis les conditions.
>
> >> Il faut juste qu'il soit 'vérifiable et modifiable'.
> >
> > Non, il faut fournir les données permettant de le vérifier et les moyens
> de le modifier.
>
> Oui, pour moi ca couvre l'algo de cryptage et le mot de passe. Vérifiable
> et
> modifiable.
>
> Mais je crois qu'on va finir par tourner en rond. Il nous faut une
> véritable
> analyse de quelqu'un de plus costaud que nous avec la loi (en tout cas que
> moi).
>
> Attention : les problèmes engendrés par le fait qu'il faille conserver un
> an de
> logs + mot de passe ne sont pas anodins non plus !
>
> >> Voilà une loi qui fait frémir quand on est hébergeur en France.
> >
> > Oui, car cela vise aussi ceux qui le font à titre gratuit… Je vais vomir.
>
> Bénévole n'a jamais signifié irresponsable (c.f. les présidents d'assoces
> qui
> sont en tôle suite à un fait divers alors qu'ils ne touchaient pas un
> centime).
>
> >> N'hésitez pas à participer aux actions de la Quadrature du net si ce
> type de sujet
> > vous interpelle.
> >
> > Wai, c'est Bien©®. Mais sur ce coup là c'est un peu tard, et il faut agir
> autrement.
>
> Pas forcément. Leur interprétation de tout ça pourrait bien nous aider à
> créer
> des jurisprudences qui rendront cette loi inapplicable.
> Ils l'ont déjà fait avec HADOPI. Du coup, les 'gens d'en haut' cherchent
> encore
> la parade.
>
> Julien
> --
> Attention, le reply-to se fait à l'expéditeur, pas à la liste
> Sequanux-ml at sequanux.org
> http://sequanux.org/cgi-bin/mailman/listinfo/sequanux-ml
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://sequanux.org/pipermail/sequanux-ml/attachments/20110301/332e4d26/attachment.htm>