Bienvenue à Blogs CodeS-SourceS Identification | Inscription | Aide

CoqBlog

.NET is good :-)
{ Blog de coq }

Actualités

Stockage de mots de passe : hachez lentement

Récemment je suis tombé sur un post plutôt intéressant de Thomas Ptacek : Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes
Comme son titre l'indique, il aborde le sujet de ces fameuses Rainbow Tables ("tables arc-en-ciel" ?... on va le laisser en anglais ce terme là hein...).

Mais une chose a particulièrement attiré mon attention, car j'ai beau comprendre l'intérêt de stocker un hash du mot de passe au lieu du mot de passe en clair, et d'utiliser un salt dans l'opération, je n'avais jamais vu les choses sous cet angle là : pour le stockage de mot de passe, vous voudrez sans doute utiliser l'algo le plus lent possible !

"Speed is exactly what you don’t want in a password hash function."

Et quand on y réfléchi, c'est complètement vrai : ce qui vous prend x fois plus de temps prendra également x fois plus de temps à l'attaquant.
Attention, entendons nous bien : nous ne parlons pas ici de ralentir artificiellement le code réalisant le hachage, ce qui n'aurait aucun sens : un attaquant ne reculera certainement pas devant la ré-implémentation optimisée de la chose, car c'est son but d'aller le plus vite possible.
Nous parlons bien ici d'une lenteur naturelle qui aura donc un impact sur la valeur finale si éliminée (ou dans le cas contraire, si vous améliorez la vitesse sans perte, ce serait une avancée intéressante pour le monde de la cryptographie).

Cela aura certes un impact sur les opérations d'authentification, à prendre en compte à la conception, mais comparé au coût du restant de la solution, est ce réellement un problème vis à vis du bénéfice qu'on peut en tirer ?

Bref, une lecture plutôt intéressante : Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

Ce post vous a plu ? Ajoutez le dans vos favoris pour ne pas perdre de temps à le retrouver le jour où vous en aurez besoin :
Posted: dimanche 16 décembre 2007 16:33 par coq
Classé sous : ,

Commentaires

Pas de commentaires

Les commentaires anonymes sont désactivés

Les 10 derniers blogs postés

- Merci par Blog de Jérémy Jeanson le 10-01-2019, 20:47

- Office 365: Script PowerShell pour auditer l’usage des Office Groups de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 11:02

- Office 365: Script PowerShell pour auditer l’usage de Microsoft Teams de votre tenant par Blog Technique de Romelard Fabrice le 04-26-2019, 10:39

- Office 365: Script PowerShell pour auditer l’usage de OneDrive for Business de votre tenant par Blog Technique de Romelard Fabrice le 04-25-2019, 15:13

- Office 365: Script PowerShell pour auditer l’usage de SharePoint Online de votre tenant par Blog Technique de Romelard Fabrice le 02-27-2019, 13:39

- Office 365: Script PowerShell pour auditer l’usage d’Exchange Online de votre tenant par Blog Technique de Romelard Fabrice le 02-25-2019, 15:07

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Stream Portal par Blog Technique de Romelard Fabrice le 02-21-2019, 17:56

- Office 365: Script PowerShell pour auditer le contenu de son Office 365 Video Portal par Blog Technique de Romelard Fabrice le 02-18-2019, 18:56

- Office 365: Script PowerShell pour extraire les Audit Log basés sur des filtres fournis par Blog Technique de Romelard Fabrice le 01-28-2019, 16:13

- SharePoint Online: Script PowerShell pour désactiver l’Option IRM des sites SPO non autorisés par Blog Technique de Romelard Fabrice le 12-14-2018, 13:01