- 1
[Opened] Nouvelle fonction de hash par défaut pour jAuth
Posted by FlorianLB on 12/19/2011 16:20
Salut tout le monde !
Petit moment crypto de la semaine !
jAuth permet de définir ses propres méthodes de hash des passwords. Par défaut Jelix utilise sha1 mais sha1 + salt est encouragé (en commentaires dans la conf de jAuth).
Actuellement, la communauté tend vers un consensus pour dire que sha1 (même avec salt) commence à dater sérieusement et à être vulnérable au brute force. On préfère maintenant utiliser des algos qui prennent volontairement plus de temps pour calculer le hash pour éviter les brutes forces.
Je me demandais si ça serait pas mieux de mettre un algo de ce style (sha512 ou Bcrypt en l'occurence) par défaut dans jelix (ou au moins commenté dans le fihier de conf). J’ai effectué quelques benchmarks/tests et c’est nikel, pas besoin de changé grand chose.
Dites moi si ça vous intéresse.
[Opened] Nouvelle fonction de hash par défaut pour jAuth
Posted by foxmask on 12/19/2011 16:39
Bonjour, oui :)
@GitHub - Forum HaveFnuBB! powered by Jelix - Le Booster Jelix !
[Opened] Nouvelle fonction de hash par défaut pour jAuth
Posted by laurentj on 12/20/2011 13:29
Bonjour,
Pourquoi pas oui. Mais soit en commenté, soit il faut faire un gros avertissement dans la doc de migration. Car si la crypto change, les mots de passes d'une appli existantes ne seront plus lisibles...
- 1