Mot de passe ! [ sécurité ]

[thierry8]

Bonjour,

j'ai pensé à une méthode pour protéger une connexion, ou plutôt le mot de passe lors de la connexion.
Solution peut être déjà étudiée mais j'expose tout de même !

Méthode classique:

*l'utilisateur renseigne sont mot de passe et son login
*avant l'envoi on peut hasher le mot de passe et l'envoyer
*coté serveur, verification sur le hash

-> dans le cas présent en cas de snif sur l'utilisateur le mot de passe sera récupéré !
Certe en hash ce qui théorique permet de ne pas trouver le mot de passe réel, mais il sera tout de même utilisable !


Méthode soutenue:

*l'utilisateur renseigne sont mot de passe et son login
*le mot de passe hashé dans un premier temps est ensuite concaténée avec une autre chaine se trouvant dans un champ caché (chaine issue du hazard) puis le total est hasher
*coté serveur on connait la valeur du champ caché on le concatène avec le mot de passe hashé de la base de données et on vérifier

Quand pensez-vous ?
Le fait que la valeur caché soit aléatoire et concaténée, cela ne permet pas par comparaison de retomber sur le bon mdp hashé ou non ?
Peut être ai-je oublié un point essentiel...faite m'en part !
Mais d'une manière générale il me semble que ce soit plus sécurisé et cela permet de ne pas pouvoir utiliser le hash !

 

[zarlboro]

snifé? en https ?

 

[thierry8]

Non ! Attention je parle pour des sites qui ne sont pas en HTTPS mais qui souhaitent tout de même une bonne sécurité...

 

[netsys]

C'est ce qu'utilise spip pour l'accès à l'espace privé...

 

[thierry8]

ok, exactement le même procédé ?
une page ou ils expliquent cela ?

Sinon point de vue comparaison, cela ne représent-il pas un risque ?

 

[netsys]

Tu trouveras des explications ici : http://www.spip-contrib.net/spikini/Aut ... onDansSpip

 

[thierry8]

Attention il ne s'agit pas du même mécanisme !
Spip renvoit le hash(variableA+mdp) et hash(variableB+mdp) au serveur. Si le mot de passe + variableA correspond au mot de passe de la table, identification ok, et on remplace par mot de passe + variableB, ce qui je pense oblige dans un premier temps l'utilisateur à indiquer sont nom d'utilisateur pour qu'en fonction de celui-ci, Spip lui attribue les variables...

Dans mon cas il s'agit d'une seul variable aléatoire à chaque connexion concaténée et ensuite hashée avec le mot de passe. Pas de remplacement dans la base de données ni besoin de connaitre le login pour envoyer une variable. La variable pourrait pas exemple être l'heure présice à la seconde...

Comprenez vous ?