Je suis nouveau au développement Web. Suis-je autorisé à stocker les mots de passe originaux des utilisateurs? Je sais que la bonne pratique consiste à stocker le mot de passe haché à l'aide d'un sel, mais pourquoi ne stockons-nous pas le mot de passe original?
est-ce parce que la base de données est facilement piratée, de sorte que le hachage protège les mots de passe? Y a-t-il d'autres raisons? Sinon, je voudrais stocker le mot de passe d'origine s'il est légal de le faire.
5 Réponses :
La légalité dépend du pays dans lequel vous vivez. Mais il y a aussi de meilleures pratiques. Et une meilleure pratique consiste à chiffrer les mots de passe de l'utilisateur. De cette manière, si quelqu'un enfreint dans votre base de données, ils ne pourront pas obtenir la longue liste de mots de passe et essayer chacun d'eux sur eBay, Yahoo Mail et Gmail. Les utilisateurs utilisent généralement la même paire de noms d'utilisateur et de mots de passe pour de nombreux sites.
Comme Jon pointe dans le commentaire, il y a bien sûr une différence entre le hachage et le cryptage. Le hachage est un processus à sens unique et destructeur, qui prend une chaîne de longueur arbitraire en entrée et génère une chaîne de longueur fixe. Cette chaîne est définie de telle manière que la modification d'un seul bit dans l'entrée d'origine, entraînera la différence sur le hachage. Si vous avez un hachage, il n'est donc pas possible de reconstruire le texte d'origine (c'est-à-dire qu'il n'est pas possible de récupérer le mot de passe).
D'autre part, le cryptage approprié est une technique où vous pouvez récupérer le mot de passe d'origine, connaître les touches secrètes, les mots de passe, etc.
Habituellement, vous voulez que les mots de passe de hachage, ne pas les chiffrer: ce n'est pas nécessaire, et il est plus complexe de configurer. Vous n'êtes pas censé récupérer le mot de passe non plus: vous les régénérerez simplement.
Voter celui-ci et supprimer la mine. À tous ceux qui déclarent que c'est légal, je serais très intéressé de savoir sur quelle base vous affirmez cela. Vous devez être très de bons avocats à connaître chaque loi planète à l'échelle de la loi.
Je pense que cela mériterait d'orthographier la différence entre cryptage et hachage, et quand utiliser chacun. Si vous devez pouvoir récupérer le mot de passe d'un utilisateur, vous utiliseriez un cryptage. Sinon, alors le hachage serait un meilleur choix.
Oui, c'est parfaitement légal, mais absolument pas recommandé de stocker des mots de passe en clair. Et ce n'est pas que votre base de données en direct réelle puisse être compromise: même une copie de sauvegarde peut être volée (sans que vous sachiez jamais).
Lorsque les mots de passe sont volés, c'est très mauvais pour vos utilisateurs réels, car très peu d'entre eux utilisent des mots de passe différents pour différents sites.
Sous quelle juridiction prétendez-vous exactement que ceci est légal? Êtes-vous un avocat international (ou un avocat de n'importe quel type )?
C'est légal selon la loi. Certaines entreprises stockent le mot de passe en texte brut, de sorte qu'il soit recouvrable.
Cependant, pour des raisons de sécurité, c'est une mauvaise idée. Une fois de temps en temps, une entreprise est piratée et leur base de données est accessible. Dans certains cas, cela expose les mots de passe de milliers d'utilisateurs. Cela endommagera gravement l'image de votre entreprise et est encore plus un risque de sécurité lorsque le mot de passe n'est pas haché.
Si vous souhaitez que le mot de passe soit récupérable, au moins crypté, de sorte qu'il ne soit pas facilement visible en accédant à la base de données.
Sous quelle juridiction prétendez-vous exactement que ceci est légal? Êtes-vous un avocat international (ou un avocat de n'importe quel type )?
"Certaines entreprises font cela" n'implique pas "et donc il doit être légal". Cela pourrait également signifier «certaines entreprises enfreignent la loi».
Imaginez si Facebook a été piraté, il n'a pas chiffré des mots de passe de l'utilisateur. Facebook lui-même a environ 200 millions (?) Utilisateurs
Et si tous les 200 millions de mots de passe ont été divulgués à une organisation diabolique? De nombreux utilisateurs utilisent le même mot de passe que leurs mails ou tout autre service en ligne sensible, tel que la comptabilité bancaire.
Facebook ne serait pas du tout en sécurité une fois. Souhaitez-vous enregistrer un compte là-bas?
(1) Les personnes qui utilisent les mêmes mots de passe sur plusieurs sites sont des idiots. (2) Je n'ignais aucun compte sur Facebook de toute façon. Pas parce que c'est peu sûr, juste parce que je considère que mes amis sont ceux que j'aime bien passer du temps avec, pas du clown à l'autre bout d'un câble CAT5 :-)
@paxdiablo: (1) Vous avez raison, mais malheureusement, ils existent et doivent être pris en compte si vous souhaitez les stocker. (2) Je suis d'accord ici deux, mais je peux aussi comprendre les personnes qui veulent utiliser Facebook. Mais ce n'est toujours pas une raison pour que deux sauvegardent un mot de passe non cédé.
Non, je suis d'accord avec vous @wai et, puisque vous n'êtes pas une foule qui a déclaré que c'était légal (sans autorité de soutien), un uppote pour vous aussi.
@paxdiablo, (2) est subjectif, vous ne pouvez pas dire aux gens ce qu'ils devraient faire ou non, à moins que vous soyez un patron d'une entreprise et que vous dites à vos employés de faire des choses pour votre: D (1) comme mentionné Jens, ils existent malheureusement. Ils ne peuvent pas être guéris pour leur négligence, à moins qu'ils ne soient piratés ou quelque chose du genre. et merci pour upvote :)
En utilisant le même mot de passe pour plusieurs sites (en particulier les sites que vous ne vous souciez pas de beaucoup) n'est pas due à une "stupidité" individuelle. Cela se produit parce que nous avons affaire à des êtres humains, qui ont une mémoire très limitée et des moyens très limités pour générer et se souvenir de «chaînes aléatoires». Je ne dis pas "c'est bon". Je dis que nous, en tant que développeurs, devons prendre ces facteurs humains en jeu et faire face à la réalité. Bien sûr, les personnes utilisant le même laissez-passer pour leurs sites «vitaux» poignés (ceux qui traitent avec votre argent par exemple) sont des idiots ;-)
Je ne sais pas si c'est légal, mais je vous conseillerais néanmoins contre elle pour au moins trois raisons:
Je n'enregistrerai jamais de compte sur votre site web ^^ Merci d'avoir mentionné
Oui, je suppose que c'est ça pour cette question :)
Pour quel site mènerez-vous cette pratique? Nous pouvons rester loin :-) vous voyez !!!
Ce n'est pas difficile ni beaucoup de temps, alors pourquoi ne voudriez-vous pas le hash? Si ce n'est que parce que c'est quelque chose que vous n'avez jamais fait auparavant, ce n'est pas une bonne raison de ne pas avoir le mot de passe. Cela ne faudra pas longtemps pour apprendre et ça sonne comme si vous comprenez déjà à quel point le hasard fonctionne.
@Bas: Je me sentirais bien vous inscrire sur son site, car je n'utilise pas le même mot de passe à deux endroits différents. :)
@Roger Néanmoins, les mots de passe sont privés pour la personne qui le remplit lors de l'enregistrement. Ne les crypter pas n'est pas très éthique, mais je suppose que c'est un autre sujet à discuter ^^
@Bas: aussi, passif. Ianal, mais "ce n'était pas moi, cela aurait pu être l'une des N Les personnes avec accès à la base de données" est beaucoup plus plausible lorsque toutes ces personnes peuvent voir votre mot de passe.