« Bcrypt » : différence entre les versions
Aller à la navigation
Aller à la recherche
Ligne 12 : | Ligne 12 : | ||
== Processus d'authentification sur un site web == |
== Processus d'authentification sur un site web == |
||
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le cryptage respecte le secret parfait). |
|||
Le procédé est le suivant : |
|||
# L'utilisateur saisit son identifiant et son mot de passe (le clair). |
|||
# Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage. |
|||
# Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site. |
|||
# Si les 2 hachés correspondent alors, l’utilisateur est authentifié. |
|||
= Attaques possibles = |
= Attaques possibles = |
Version du 2 novembre 2018 à 18:12
Auteurs : Antoine Petetin et Florian Sebire
Introduction
Le nombre de pirates ne cesse d'augmenter ces dernières années, et les sites doivent renforcer leurs sécurités.
Quelques définitions
- Fonction de hachage
- Une fonction de hachage ...
Processus d'authentification sur un site web
L'identification d'un utilisateur sur un site est assez classique. La plupart du temps, les mots de passe ne sont pas stockés en clair dans la base de donnée du site. On stocke le haché d'un mot de passe clair. Ainsi, un hacker qui arriverait à accéder à la base de données ne verrait que les empreintes du clair, et ne pourrait pas en déduire le clair à partir de ce dernier (si le cryptage respecte le secret parfait).
Le procédé est le suivant :
- L'utilisateur saisit son identifiant et son mot de passe (le clair).
- Ce mot de passe est envoyé au serveur qui va hacher le mot de passe grâce à une fonction de hachage.
- Le serveur va ensuite ensuite comparer le haché du mot de passe donné et le haché stocké dans la base de données du site.
- Si les 2 hachés correspondent alors, l’utilisateur est authentifié.
Attaques possibles
Bcrypt
Qu'est-ce que Bcrypt ?
Sources
https://en.wikipedia.org/wiki/Bcrypt
https://medium.com/@danboterhoven/why-you-should-use-bcrypt-to-hash-passwords-af330100b861