Existe-t-il une méthode officiellement recommandée pour stocker les mots de passe ?

Question

Existe-t-il une méthode officiellement recommandée pour stocker les mots de passe ?

UPD Ce n'est pas une question de serveur, c'est une question de bureau. J'ai besoin de stocker le mot de passe pour accéder à un service web distant. Pas de hachage ;)

Answer 1

Oui, la méthode recommandée est de ne jamais stocker les mots de passe réels mais seulement leur hashs . Pour une sécurité accrue, vous pourriez les hacher avec un sel et conservez aussi le sel. Voici un article que vous pourriez trouver utile.

Answer 2

Vous devez stocker les hachages des mots de passe en utilisant la fonction bcrypt .

Answer 3

Les hachages sont la réponse habituelle, sauf si vous vivez en France apparemment.
Selon la loi française, les sites web doivent conserver une copie des données de leurs utilisateurs (y compris leurs mots de passe) et les remettre aux autorités si elles en font la demande. Cette disposition, qui obligerait les sites web à stocker les mots de passe complets sous une forme récupérable (et pas seulement leurs hachages), est contestée en justice par Google, eBay et d'autres.

Answer 4

Windows DPAPI est la voie à suivre.

Ceci est encapsulé dans .net par l'élément Données protégées (System.Security.Cryptography.ProtectedData) (ce lien contient un exemple de base)

Answer 5

Comme le fait Microsoft dans le service d'adhésion, en servant les installations de gestion des utilisateurs.

Hacher les mots de passe avec SHA1 (AFAIR) et les sauvegarder.

http://msdn.microsoft.com/en-us/library/aa479048.aspx#bucupro_topic11

http://msdn.microsoft.com/en-us/library/aa478949.aspx