Bonjour à tous ,  
voila j'étais tombé sur un site il y à quelques mois  
http://md5.rednoize.com/
et
http://www.md5decrypter.com/
 
qui permettent de décrypter des chaines md5 .. ça m'avais choqué puisque j'avais entendu parler que md5 serait impossible à décrypter ( oui mon oeil rien n'est impossible à par faire des crêpes dont la dernière ne sera pas comme les autres vu qu'on à pas assez de pate )  
Bref, j'aimerais vraiment faire quelque chose de propre et moyennement sécurisé pour le site que je développe actuellement, donc j'ai pensé couplé php à SHA-256 par exemple mais je ne sais pas si l'on peut utiliser ce hashage en php.
J'ai bien vu qu'il existait sha1 en php mais ça n'a pas l'air de correspondre..  
 
Quel est votre avis sur la question du cryptage / hashage d'un mot de passe désormais ??  
 
merci à vous
 

Sites bidons, le md5 ça ne se décrypte pas. Il y a une infinité d'entrées qui peuvent être transformées en le même hash.
 
Et pour les mots de passe, pour se protéger des rainbow tables, on mélange une graine et la donnée, on md5 le tout. Avec une graine 32bits, tu multiplies par autant le nombre de dictionnaires nécessaires.

Pour les experts, il vaut mieux un truc en texte libre+hash, hash(texte libre) + hash ou un hash du tout?
 
Autrement dit, est t-il plus difficile de trouver un hash par dictionnaire si le texte est clair+hash ou hash tout court?
 
Après je pense que le plus sur est en plus de rajouter le grain de sel, de rajouter du sel dynamique Genre on prend un élément caractéristique de l'individu (mail, id dans la base...) et on ajoute au grain de sel pour qu'il soit différent pour chaque utilisateur

pas si bidon, je viens de trouver le mot de passe de 3 de mes forumeurs
edit : la fonction crypt en PHP est pas mal comme alternative car on peut pas utiliser de dictionnaire

C'est pas que decryper un md5 soit impossible, c'est que ca n'a pas de sens, puisque md5 n'est pas un algorithme de chiffrement. C'est un peu comme si apres un modulo, je pouvais reconstituer le nombre de depart. Ca n'a pas de sens, vu qu'il y a une infinite de nombres de depart.
Les sites que tu indiques utilisent une base de donnees de md5 pour lesquels ils connaissent UN antecedent, parce que cet antecedent a la particularite d'etre un mot de passe souvent choisi par les internautes peu soucieux.

 
Ah ok, d'ou le pourquoi j'ai trouvé mes mots de passe, en fait c'est tout simplement une grosse base de donnée de mots de passes cryptés en gros ?  
La vache ça m'a foutu les boules ..  
 
Donc si je génère des mots de passe dynamiquement et que je les crypte en md5, logiquement il n'y à aucune possibilité de le déchiffrer??  
 
merci pour vos réponses, mais admettez que j'ai eu raison d'avoir les boules, comme le dis TheRom_s on trouve quand même quelques mots de passe.  

 
pas très doué le site pour pas trouver celui là

plus le mot de passe original est complexe, plus la probabilité de le retrouver après un hash sera petite. les 3 forumeurs dont il s'agit ont du utiliser des mots de passe courts, simple, et sans fioritures (pas de mélange de casse, pas ou peu de chiffres, caractères spécieux, etc.)
 
Après dans la mesure où c'est un hash (comme pour le steak ) il peut effectivement y avoir plusieurs mots à l'origine qui donnent le même hash md5, mais en complexifiant beaucoup le mot à l'origine, il peut être très difficile à trouver.

ouai bah vont pas me faire chier les clients je vais leur générer un petit mot de passe bien simple genre A5d85hEF542fzerf convertit en md5 au moins ils seront pas piratés

non (parcequ'ils vont te pourir ) mais tu vas mettre , au dessus de la case de saisie du password un avertissement sur les mots de passe trop simples et les risques encourus

 
M'en fou qu'ils me pourrissent lol .. je les attend moi      
Mais l'idée de la petite case n'est pas bete non plus genre faire un petit système comme je sais plus qui,hotmail, ou yahoo qui analyse le mot de passe rentré et te dis en temps réel si c'est un mot de passe sécurisé ou pas ....
Par contre je ne sais pas trop sur quels critères ils ce basent .  

soit des dictionnaires de mdp , mais c'est un peu lourd a faire en temps reel  
 
soit des critères : au moins 8 caractères , au moins 2 chiffres, au moins 2 lettres, au moins 1 lettre en minuscule et une en maj , ....

 
Vi va falloir que je me penche la dessus, ça peut etre une bonne petite appli à developper  
Merci beaucoup  

sha1 est bien un remplacant efficace de md5, (même si ca ne servira pas a grand chose si l'attaque est en brute force avec un dictionnaire) tu peut deja commencer par la.

pour faire quoi ? si tu n'utilises pas de graine, ton dictionnaire de mot de passe prendre juste 25% d'espace disque en plus, ça n'apporte aucune sécurité supplémentaire.

 
Comme celles pour faire pousser les tites fleurs??        
 

Mouais, je pars du principe que l'attaquant peut potentiellement recuperer le sel

c'est bien que tu te poses des questions sur md5, encore faut-il que ce soit les bonnes. Il n'y a pas de problème avec md5/sha1/etc pour les mots de passe SI tu t'en sers correctement. Passé d'un algo à l'autre ne changera pas réellement la difficulté du problème, vu qu'on part de mot de passe, donc des entrées de petites taille. Les attaques par dictionnaire, ça ne marche de toutes façons que si l'attaquant a le hash du mot de passe...

man crypt en somme

Bah c'est pour ça que je me susi tourné vers vous, pour savoir si je me posais la bonne question ... Sinon je serais resté dans mon coin ...  
MAis quand je vous vois parler de graine et de sel, je comprend plus grand chose je dois avouer, c'est une blague entre vous??
 
Je ne connais pas grand chose aux méthode de hash, de hack, de cryptage et décryptage, donc c'est pour ça que je me suis aussi poser la question de savoir s'il était possible de décrypter du md5 .. j'ai maintenant la réponse, non apparemenent ..  
 
Après l'usage que j'en fais est assez basique, l'utilisateur entre son mot de passe dans mon formulaire, et par la suite après récupération des variables POST je l'insere en md5 dans la base.. Pour faire le test de login, je compare la chaine md5 entrée par la personne souhaitant ce loguer, et celui dans la base..
 
Je vous dis je suis loin d'être un pro de la sécurité, donc toutes les solutions sont bonnes à prendre

graine sel... c'est des termes utilisés en crypto et génération de nombre aléatoire.

ah d'accord  
merci pour la précision ^^
et est ce que je peux me permettre de demander ça correspond à quoi??  
 
merci pour l'info

Une graine sert à initialiser un générateur de nombre pseudo-aléatoire.
Un sel, ca se rajoute a ce que l'on veut hasher/chiffrer.

oh d'accord
Vais essayer d'aller chercher un tit site parlant de ça, c'est interessant  
Merci monsieur

commence par wikipedia... ca te donnera un bon apercu

vi j'y suis aller faire un tit tour quand je cherchais les différences entre md5 et sha1 et sha256