Dans les applications, les mots de passe sont souvent stockés sous forme de
hash
à partir desquels il est très difficile de retrouver le contenu du mot
de passe. Certains dictionnaires utilisés pour les attaques comportent
le résultat des signatures des mots de passe les plus communs. Une
personne malveillante ayant accès aux résultats du hachage des mots de
passe pourrait donc deviner le mot de passe originel. Dans ce cas on
peut utiliser le "salage" du mot de passe. C'est-à-dire l'ajout d'une
séquence de bit servant à modifier la séquence finale. Prenons par
exemple le mot de passe ‘Connectikpeople’, qui utilisé avec l’algorithme
SHA-1
produit : ‘664add438097fbd4307f814de8e62a10f8905588’. Nous allons
maintenant utiliser un salage du mot de passe en y ajoutant ‘salé’. En
hachant « Connectikpeoplesalé » nous obtenons le hashage :
‘1368819407812ca9ceb61fb07bf293193416159f’ rendant tout dictionnaire
inutile.
Une bonne pratique est de ne pas utiliser une clé de salage unique mais de la générer aléatoirement pour chaque enregistrement.
Même si la clé de salage est lisible il faudra pour chaque mot de passe
régénérer un dictionnaire salé complet. On peut aussi intégrer une
partie dynamique et une partie intégrée au code source de l’application
pour une sécurité maximum. Les systèmes d’exploitation de type UNIX
utilisent un système de mots de passe hachés salés.
Warning: Nous vous préconisons plus de vigilance sur internet et mobile.En cas de doute Contacter Nous(traitement immédiat) .
Comments