Qu'est-ce qui empêche saian de me hacker ?
Dans ce titre très prostituée-à-pressage-de-bouton se cache une vraie question.
Qu'est-ce qui empêche un créateur de site de récupérer les mdp des utilisateurs ?
Le fait que tout le monde se fout de toi, ta vie et tes 25,53€ de découvert sur ton compte en banque
Je suis depuis longtemps dans le g/chomage. Ca fait des années que je m'enrichi sur le dos des honnêtes citoyens !
Merde, serais-je devenu un politicien.
normalement les mdp dans la base de données sont encryptés en sha256 (c'est le + courant à l'heure actuel). Ce cryptage se se décrypte pas. Pour check si le mdp est bon, il encrypte le mdp que tu as tapé et compare le résultat à celui dans la bdd.
Ouais, mais c'est le webmaster qui choisi si il chiffre ou non le champ mdp dans la bdd
Un mec qui fait pas au minimum du minimum du md5 avec sel, c'est pas un webmaster, c'est un escroc. Sinon l'avenir c'est Bcrypt.
Donc, si je comprend bien ta phrase ( enfin ce qu'elle sous-entend) on ne sait jamais si un site chiffre/encrypte notre mdp ou pas ?
On peut jamais vraiment savoir mais tous les sites sérieux le font. Si il y a un leak et que ça se sait que c'est pas fait, c'est ni plus ni moins qu'un suicide commercial. Parcontre si tu fait "mot de passe oublié" et que l'on te l'envoie en clair par mail c'est la preuve que le mot de passe n'est pas chiffré dans la base.
J'ai connu un exemple de site qui ne le faisait pas : 9gag.fr. C'était clairement un site de phishing dont l'unique but était de récupérer des mdp, pas un """"plagiat""" de choualbox comme certains le croyaient.
Ça se repère assez vite car en général les créateurs de site de phishing s'en foutent un peu de concevoir un site parfait, c'est pas l'objectif. Eux, ils veulent juste ton mdp et ton e-mail ; ils créent un faux site en dix minutes et basta.
Et donc c'est tellement fait à l'arrache que sur 9gagFr par exemple, lorsque que je créais un compte bidon, le site ne vérifiait même pas si j'avais tapé deux mpd identiques. Et pleins d'autres erreurs comme ça, que même un débutant en développement ne fait jamais.
faux, mon pro de sêcurité informatique gueulais dès qu'on disait "cryptage" au lieu de "chiffrage".
Bha c'est ce que je viens de dire, on dit chiffrage au lieu de cryptage, cryptage c'est un anglicisme
mots de passe chiffrés ou pas, rien n'empêche techniquement les développeurs de se connecter à un compte utilisateur. Après effectivement c'est la loi qui l'interdit c'est tout.
de n'importe quel site je veux dire. Dès l'instant où t'as accès aux données ou au code tu peux accéder aux comptes
ba à partir du moment où tu as accès à la base de données tu peux faire un peu ce que tu veux. Mais si le mdp est chiffré, il aura beau le voir dans la base de donnée, il ne pourra pas l'utiliser pour aller voir tes mail par exemple (si tu utilise le même mdp).
ah oui mais je ne parle pas d'utiliser le mot de passe ailleurs que sur le site en question en effet. Mais pour accéder à un compte utilisateur d'un site, le créateur dudit site peut tout à fait, sans mot de passe
Ça doit dépendre des sites alors, parce-que je me souviens avoir eu l'air bien con quand j'ai téléphoné à Speed Burger et que le mec me la donné ... (c'était un truc de merde)
Par contre, c'était bien le "resto" de ma ville et pas une hotline, c'est étrange.
La réponse a été donné par Aliiaza. Mot de passe stocké "hashé" dans la base de donné, de plus choualbox utilise symfony (il me semble ?) qui a le comportement pas défaut de hashé + salé le mot de passe (par contre me souviens plus si c'est un "salt" par utilisateur ou c'est commun pour tous)
Si ça t'intéresses:
le mot de passe "monsupermotdepasse" donnera "ac751c6b7a5c1df76abcb5e59e385fe1c512f3c1680c825b5dec2a6464ca55a4" sans salt en sha256
Tu as maintenant plusieurs pratique pour hash + salt le mot de passe, celle qui consiste à rajouté le salt à la fin (ou au début ?) du mot de passe, ce qui donnerais "monsupermotdepasse" > "monsupermotdepasseavecunsupersalt" (tout ça est fait automatiquement dans le mécanisme du site) ressemblerais à "a03f489401705b5043e667e6addc6d1b4ecb6eae157257119caf07b1238e1e08" en base de donné. Cette méthode est un peu moche, mais je sais que certain l'utilise.
L'autre technique de salt sans trop rentrer dans les détails (je pense que tu as saisie l'idée) est utilisé pour "complexifié" la clé utilisé pour "hash" le mot de passe.
Tout ce que je viens de te dire plus haut, sont des techniques de hash "à sens unique", par conséquent, passer de "motdepasse hashé" à "motdepass en clair" est impossible. A ne pas confondre avec le cryptage qui lui est à double sens.
Bref question courte, réponse longue, j'espère ne pas t'avoir endormi..
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.