Duplicata possible :
A propos du système de hachage de mot de passe côté client
Je dois sécuriser les mots de passe des utilisateurs de mon site web. Ce que j'ai fait, c'est utiliser MD5 chiffrement côté serveur. Mais le problème est que les mots de passe restent en texte clair jusqu'à ce qu'ils arrivent au serveur, ce qui signifie que le mot de passe peut être capturé à l'aide de la surveillance du trafic. Ce que je veux donc, c'est utiliser un mécanisme de cryptage/hachage de mot de passe côté client et envoyer le mot de passe crypté/haché. Quelqu'un peut-il me dire comment procéder ?
40 votes
MD5 n'est pas un cryptage. Quelque chose de crypté peut être décrypté, par définition
0 votes
C'est vrai Gareth. MD5 est un algorithme de hachage cryptographique à sens unique, ce n'est pas un cryptage car, comme vous l'avez dit à juste titre, il ne peut pas être décrypté à l'aide d'une formule. Il ne peut être attaqué que par force brute ou vérifié par rapport à une table de hachages connus.
0 votes
Oui, et lorsque vous stockez le hachage MD5 (ou tout autre type de hachage) d'un mot de passe, n'oubliez jamais d'utiliser un sel ! ( owasp.org/index.php/Hashing_Java#Why_add_salt_.3F )
4 votes
Gardez à l'esprit que le MD5 est également cassé. Voir ici win.tue.nl/hashclash/rogue-ca Il est possible de créer le même MD5 avec des données différentes.
0 votes
Il n'y a pas de doublon, l'autre question porte sur le hachage et celle-ci sur le cryptage, c'est très différent même si certaines personnes qui ne connaissent pas la technologie ont suggéré le hachage comme solution ;
0 votes
@Pushpendra La question porte sur le MD5, qui est un hachage et non un cryptage. Il n'est pas judicieux de se plaindre de "certaines personnes qui ne connaissent pas la technologie" dans ces circonstances.