SÉCURITÉ WEB, MD5

Commentaire de Warny le 28/02/2005 14:26:33

Précision : Le MD5 sert non à crypter mais à hasher un document. Le hashage est une technique qui consiste à perdre de l'information pour représenter un document.
Le but du système est d'avoir un calcul assez complexe pour qu'il soit extrement difficile de recréer un document en connaissant la clef de hashage.

Si D1 est un document et H ma clef de hashage, j'ai une chance sur 2^128 d'avoir un document D2 pour lequel H est aussi ma clef de hashage. Il est infiniment improbable de retrouver un document cohérent ayant la même clef de hashage.

Pour les mots de passe, si le cryptage est en md5 et qu'il est suffisant de le valider en comparaison sur une page web, la sécurité n'est tout de même pas au rendez-vous.
Pour valider un mot de passe dans une application normallement constituée, on utilise des algorithmes de vérification sans échange de connaissance (zero-knowledge verification). C'est ce que fait votre navigateur lorsque vous utilisez l'autentification Windows.

Commentaire de Warny le 28/02/2005 15:04:46

Bob veut vérifier que Alice connait son mot de passe. Céline écoute la ligne.
Si tu transmet un code de vérification avec un cryptage symétrique ou un hashage, Céline n'aura qu'à le répeter pour faire croire qu'elle connait le mot de passe.

Si Alice, à partir de son hashage, produit un calcule non réversible avec deux paramètres aléatoires demandée par Bob, Céline aura beau écouter toutes les réponses possibles elle ne pourra jamais répondre à une nouvelle demande de Bob. Ainsi tu peux vérifier que Alice connait son code sans jamais le transmettre (ni le code crypté, ni le hashage direct) sur le réseau.

Commentaire de tmcuh le 01/03/2005 09:37:33

bon je reconnais que c'est pas un forum... mais vu la sécurité que tu emploie, tu te contredit car tu dis plus haut que le md5 est impossible à "cracker" donc j'ai beau transmettre la donnée hasher alors que "céline" écoute, elle ne pourra tout de meme rien en faire non? Pour ma part j'utilise en asp.net le hashage md5 pour comparer les mots de passe et du fait que celà se passe sur le serveur, il y a encore moins de problème.

Amicalement tmcuh

Commentaire de lord mathius le 01/03/2005 14:36:01

de toute maniere puisque les donnée sont envoyer en claire au serveur qui va juste hasher puis comparé le resultat avec ce qu'il a dans sa base. cela revient au meme que si la base n'etait pas crypté.
j'explique.
comme tu dit warny il est facile d'ecouter la ligne entre le client et le serveur. mais il ne faut pas oublier que le client envoie au serveur sont mot de passe en claire et que le serveur va le crypter puis le comparer au resultat qu'il a deja dans sa base.
donc la seul utilité en securité de tel methode de cryptage et que l'admin et un slamers ne puisse lire les mots de passe de la base.
le seul moyen de rendre cette mettode de cryptage "fialble" et qu'il faille faire appel a un formulaire en HTTPS car a ce moment la le mot de passe sera crypter pour etre envoyer au server.

sinon la seul methode a utiliser pour rendre ceci fiable et que faire un cryptage coter client avec une fonction javascript de cryptage ( je dit pas lequel car on peut choisir )
de plus il ne faut pas oublier que MD5 n'est pas inviolable, il est juste irreversible car qui fait que en moins de 3 semaine avec les dernier ordi avec hyper threading on peut  faire un force brut sur 90 % des mot passe qui existe en general.
mais sinon au moins ce code a l'avantage de donnée une methode de cryptage MD5 similaire a PHP et qui est absente de ASP

Commentaire de _Thy_ le 07/04/2005 09:47:06

Le but de ce source n'est pas de faire de la haute sécurité et protéger des données sensibles comme des transactions bancaires.
Il donne juste à ASP la fonction md5 et rien que pour ça je dis bravo, même si l'auteur reconnait ne pas l'être (l'auteur) :) Il a le mérite de le mattre à dispositions de tous.

Je maintiens donc mon bravo :)

Commentaire de Warny le 07/11/2005 08:46:16

Comme je l'ai précisé, le md5 est un système de hashage : il perd de l'information.
N'importe quel document de n'importe quelle longueur est traduit en une chaîne de 128 bits.
Tout son interêt est de ne pas être reversible !!! Seule une recherche exhaustive permet de récupérer le mot de passe.
C'est pour cette raison qu'en cas de perte de mot de passe, la plupart des sites web te propose d'en regénérer un.

PS: j'ai entendu parler d'une fonction inverse MD5 qui permettrait de générer un document compatible avec une clef (un document incohérent). Je n'ai jamais mis la main dessus. Je n'ai pas le niveau en math nécessaire pour le retrouver tout seul.