Quick links: Content - sections - sub sections
EN FR
Quick Search Advanced search
 
Page

  [Opened] jAuth : Mot de passe avec grain de sel généré aléatoirement ?

Posted by adaba on 11/20/2014 12:27

Bonjour, mes utilisateurs ont chacun un grain de sel généré aléatoirement, j'aurais voulu savoir s'il y avait un moyen d'incorporer des requêtes en base de données directement dans la fonction de hash de jAuth, ou faut-il le faire soi-même et donc faire en sorte que jAuth ne hash pas les mots de passe ?

J'utilise la version 1.6.2 de jelix.

Merci d'avance de votre aide.

  [Opened] jAuth : Mot de passe avec grain de sel généré aléatoirement ?

Reply #1 Posted by laurentj on 11/25/2014 11:49

Bonjour,

tout est indiqué dans la doc.

  [Opened] Re: jAuth : Mot de passe avec grain de sel généré aléatoirement ?

Reply #2 Posted by adaba on 11/26/2014 10:10

Bonjour, c'est après avoir relu maintes fois cette "documentation" que j'ai décidé de créer un compte et faire une demande sur le forum... Pourriez-vous me fournir un exemple ?

Je procède ainsi actuellement :

Un user a un champs salt (aléatoire) et le hash. Avant d'utiliser jAuth::login($user,$pass) je suis obligé de faire la requête à la main (select salt from user where email=...) et ensuite d'hasher le tout concaténé avec une classe utilitaire. Avec cette technique là, je suis obligé de commenter toute ces lignes

; name of the php function to crypt the password in the database
password_crypt_function = ""
; if you want to use a salt with sha1:
;password_crypt_function = "1:sha1WithSalt"
;password_salt = "here_your_salt"

Mon but est d'éviter ceci et "d'automatiser" tout ça, si je comprends bien d'après la doc il faudrait faire quelque chose comme :

[Db]
 dao = "mon_dao"
 password_crypt_function = "2:maFonction"
 ;password_salt = "votre_sel_ici"


function maFonction(array $tableau,$pass) {
    //requete sql pour le salt
    //hasher la réponse 
    //return le pass hashé ?
}

Pourriez-vous m'éclairer ? De plus, comment faire pour lui passer en paramètre l'id ou l'email ?

Merci d'avance.

  [Opened] jAuth : Mot de passe avec grain de sel généré aléatoirement ?

Reply #3 Posted by laurentj on 12/04/2014 13:45

Je vous propose d'abandonner cet ancien système de hash de jAuth au profit d'un plus sécurisé. SHA1, même avec du salt, ça devient bof niveau sécu.

Ce nouveau système repose sur la nouvelle API PHP, et c'est beaucoup plus sécure (avec sel random à chaque génération).

 
Page
  1. jAuth : Mot de passe avec grain de sel généré aléatoirement ?