Nouvelle API de hashing de mot de passe en PHP

Salut,

Si vous avez suivi la nouvelle version 5.5 de PHP, une nouvelle API simplifiée de hashage des mots de passe est disponible dans cette version de PHP. L'algorithme par défaut (et le seul actuellement) est BCRYPT.

Une version de cette API est disponible pour les anciennes versions de PHP (5.3.7+) ici :

https://github.com/ircmaxell/password_compat

Voilà y'a plus besoin d'attendre la version 5.5 de PHP pour switcher en douceur.

J'avais suivi, mais j'avais loupé cette information-là... Ca pourrait simplifier l'existence ^^

On sait ce que vaut bcrypt ou pas ? (j'avoue avoir bidouillé pour l'instant un crypteur perso en mélangeant des fonctions)

Lothindil a écrit :

On sait ce que vaut bcrypt ou pas ?

Regarde : http://blog.ircmaxell.com/2012/10/password-hashing-in-php-talk.html

Lothindil a écrit :

(j'avoue avoir bidouillé pour l'instant un crypteur perso en mélangeant des fonctions)

Mauvaise idée
Modifié par jb_gfx (21 Mar 2013 - 16:16)

Bien que le NIST recommande PBKDF2, Bcrypt jouit d'une excellent réputation pour la génération de hash de mots de passe.
A la différence des algos plus courants (md5 sha-x), ces algos sont conçus pour être lents et limiter les attaques par rainbow table et brute force.
Donc allez-y.

Pour moi c'est fait, j'ai switché pour BCrypt suite à la discussion qu'on avait eu sur le forum où tu avais parlé de cet algo.

J'ai juste utilisé PBKDF2 sur un projet ou le serveur est en PHP 5.1 et je peux pas le mettre à jour. C'était trop galère d'utiliser BCrypt sur cette version.

Les deamons de php reviennent \o/ A quand une extension de création de css ?
nan, mais sérieusement, c'est quoi cette connerie ? quel est l'utilité ?
J'attend vos réponses ?
un bf ? en réseau ? vous savez le temps d'ouverture de connexion http ?
et puis suffit de faire un anti-bf qui bloque les ip qui en demande trop...
Si vous savez pas gerer vos mdp, apprenez à le faire, une petite fonction et ça roule. des API c'est bien, mais faut pas déconner!

Je vous propose donc mon api d'affichage

<?php
class affichage()
{
private $data;
public function __construct($data)
{
$this->data=$data;
}
public function affiche()
{
echo $this->data;
}
public function debug()
{
var_dump($this->data);
}
}

en fait, ça me rappelle register_globals... une inutilité ainsi qu'un danger.
sha256 + sel dynamique et puis c'est bon.

Si vous savez pas programmer, deux choix :
-Apprennez.
-Arretez.
Modifié par ilar (23 Mar 2013 - 18:31)

Le brute forcing des hashs ne se fait évidemment pas sur le réseau. Le salage des mot de passe sert à éviter les attaques par rainbow tables et pas le bruteforcing. Si tu utilises md5/sha il n'y a quasiment aucune parade contre le bruteforcing, contrairement a un algo comme Bcrypt qui lui est conçu pour ça.

jb_gfx a écrit :

Mauvaise idée

En quoi une fonction perso (et donc hors de tout rainbow) qui cumule un sel + 2 techniques de cryptages cumulés est moins bon que les crypts connus et employé par plusieurs séries de personnes ? (sha + blowfish )

Quant à la vitesse pour limiter le brut de force ouais... mais pas que ça devienne lourd pour l'utilisateur. (problématique éternelle de la performance vs la sécurité)

a écrit :
sha256 + sel dynamique et puis c'est bon.
Si vous savez pas programmer, deux choix :
-Apprennez.
-Arretez.

Wow.

@Lothindill
Pour tout ce qui touche à la cryptographie, il est *toujours* préférable de se reposer sur des solutions éprouvées plutôt que sa propre tambouille.
Modifié par paolo (24 Mar 2013 - 16:03)

paolo a écrit :

@Lothindill
Pour tout ce qui touche à la cryptographie, il est *toujours* préférable de se reposer sur des solutions éprouvées plutôt que sa propre tambouille.

C'est exactement ce que je sous entendais.

Lothindil a écrit :

Quant à la vitesse pour limiter le brut de force ouais... mais pas que ça devienne lourd pour l'utilisateur. (problématique éternelle de la performance vs la sécurité)

Euh... calculer un hash Bcrypt sur un processeur i7 c'est de l'ordre de 1 centième de seconde.
Modifié par jb_gfx (24 Mar 2013 - 21:34)