serialisation et mot de passe - C#/.NET managed - Programmation
Marsh Posté le 27-07-2004 à 11:47:40
NE JAMAIS STOCKER UN MOT DE PASSE EN CLAIR
ou que ce soit, fichier ou mémoire. dès que tu l'as (après une saisie sécurisée) tu le passes à la moulinette (hmac, md5, sha1)
Marsh Posté le 27-07-2004 à 11:49:33
Taz a écrit : NE JAMAIS STOCKER UN MOT DE PASSE EN CLAIR |
la question d'apres etant donc : comment bien camoufler le MD5 (par ex) du mot de passe. (parce que si je retrouve ou le MD5 est planqué, je peux le remplacer par un MD5 a moi, et hop)
Marsh Posté le 27-07-2004 à 11:55:10
avec hmac tu peux résoudre une partie du problème (là faut planquer la clef également, mais ça rend beaucoup plus difficile la manoeuvre)
mais personne ne devrait avoir accès à la base de mot de passe, déjà en écriture, encore moins en lecture
Marsh Posté le 27-07-2004 à 11:59:35
Citation : (parce que si je retrouve ou le MD5 est planqué, je peux le remplacer par un MD5 a moi, et hop |
et Hop quoi? si tu n'as pas les bons droits d'acces?
en revanche, meme avec la chaine crypté, il doit etre possible de retrouver le mot de passe originel (c'est plus ou moins long c'est sur)
je vais chercher de ce coté la en tout cas, merci
Marsh Posté le 27-07-2004 à 12:02:19
c'est pour ça qu'on te dit de pas la crypté.
- aucun droit d'accès aux fichiers (ni lecture, ni écriture)
- stockage sous forme hachée (ou combinée avec hmac)
Marsh Posté le 27-07-2004 à 12:06:54
Taz a écrit : c'est pour ça qu'on te dit de pas la crypté. |
pour etre plus clair :
bdousse >> le md5, c'est pas du cryptage, mais du hashage (a partir du md5 tu ne peux pas revenir a la chaine initiale)
Marsh Posté le 27-07-2004 à 12:10:45
System.Security.Cryptography.HMACSHA1
tiens c'est dommage qu'on puisse pas choisir l'algorithme de hachage...
Marsh Posté le 27-07-2004 à 12:11:54
ok cela me suffira largement (je n'avais pas compris la différence de terminologie entre cryptage et hashage
malgré tout, le hashage ne garantie pas tout. Si tu recupère la chaine hashé, tu peux faire un algo qui test toutes les possibilités pour optenir cette chaine. c'est long mais c'est faisable il me semble.
en tout cas merci
Marsh Posté le 27-07-2004 à 12:18:20
bdousse a écrit : ok cela me suffira largement (je n'avais pas compris la différence de terminologie entre cryptage et hashage |
treeeeeeees long
Marsh Posté le 27-07-2004 à 12:21:17
avec dico, ça peut aller vite tu sais, y a des gens pas très futés, ou plutot des systèmes qui accepte des mots de passe trop simples
Marsh Posté le 27-07-2004 à 12:21:52
ah oué, certes, enfin la je causais d'un brute force dans la plus pure des traditions
Marsh Posté le 27-07-2004 à 12:25:04
certes. mais avec quelques PC, si tu te concentres sur un seul mot de passe, tu as de bonnes chances d'y arriver en pas trop de temps (en combinant des dictionnaires et force pure)
Marsh Posté le 27-07-2004 à 11:45:23
bonjour
j'ai une question un peu bizard :
je sérialise une classe dans un fichier. cette classe contient, entre autre, un mot de passe.
Le problème est que lorsqu'on ouvre le fichier qui contient l'objet sérializé avec un éditeur de texte, le mot de passe apparait en clair
Y'a-t-il un moyen de remédier à cela?
merci d'avance