décrypter une chaine haché avec md5

[roufa]

Bonjour,

j'utilise md5 pour hacher les mots de passe de mes membres. j'ai changé d'avis et je voudrais bien décrypter les mots de passe déja haché. est il possible ?

@+

[Perceval]

Bonjour

Ben non, sinon, quel intérêt

Le cryptage md5 a été conçu pour ne pas être cracké, justement...
Et il est même tellement bien ce code, que même avec la force brute, vous n'êtes même pas sûr du résultat !

Quant à vos excuses pour retrouver vos mots de passe, elles sont un peu moyennes... mais surtout très connues... et peu crédibles...

Crypter les mots de passe de ses membres avec du MD5... Voilà quelque chose de bien insolite, mais de surtout pas réfléchi pour un sou...

Imaginons qu'un de vos membres perde son mot de passe. Vous lui dites quoi quand ils vous le redemande ?
Vous lui envoyez son mot de passe haché ?

Pas clair, tout ça...

Bonne fin de journée

Yvon

[roufa]

Bonjour,

si j'ai changé d'avis c'est à cause des membres qui oublient leurs mots de passe et qui ne veulent pas avoir un nouveau.

@+

[Evocatii]

Heu je sais que dernièrement il a été trouvé un crack permettant de décrypter du MD5, donc théoriquement ça doit être possible.

Il est conseillé de ne plus utiliser le MD5 pour crypter ses mots de passe : préférlez-lui par exemple du SHA-256.

[Perceval]

Heu je sais que dernièrement il a été trouvé un crack permettant de décrypter du MD5, donc théoriquement ça doit être possible.

Ha ha !

Ca c'est bien la plus grosse bêtise que j'ai lue de la journée, émanant certainement d'une personne qui ne connait pas vraiment comment est construit l'algorythme du MD5...

En gros, la seule manière de cracker du MD5, c'est par la force brute...
Et MÊME avec ce sytème, on est pas sûr du résultat car plusieurs chaînes cryptées peuvent définir le même mot de passe d'origine...

Bref... on a plus de chance de croiser un hippopotame en tutu au coin de sa rue que de décrypter avec certitude un mot de passe crypté en md5...

Voici un petit article qui parle de ça : http://fr.wikipedia.org/wiki/MD5

Ce qui est sympa avec ce code, c'est qu'il n'est plus considéré comme SÛR d'un point de vue cryptographique car une même chaine hachée (je le répète), peut correspondre à deux clefs d'origine différentes...

Donc, du point de vue de l'utilisateur, mieux vaut en changer, puisqu'il n'est plus vraiment sûr...

Mais du point de vue des crackers, alors ce code est le pire qu'ils rencontreront jamais car s'ils peuvent prouver qu'il n'est pas sûr pour RETROUVER avec certitude une clef d'origine, ils prouvent en même temps qu'ils ont créé un algorythme tellement inviolable qu'il y a une grande chance pour que MÊME avec la bonne clef, on ne trouve pas l'origine... Et le propre d'un cracker, c'est de retrouver le pass d'origine, justement... Et là... même avec la bonne clef, on n'en est pas sûr 

Bref...

Mieux vaut protéger son accès serveur que de hacher ses mots de passe avec du MD5... A moins que l'on veuille ne plus jamais les retrouver... 

Yvon


PS : Mais peut-être que je ne suis plus dans le coup, qui sait...
Tiens, si quelqu'un peut retrouver le pass d'origine ayant cette clef et me prouver que je me plante :

38d4395906c2239fc4fe16d4fbe40a99   

 

[Ptibuc]

on a plus de chance de croiser un hippopotame en tutu au coin de sa rue que de décrypter avec certitude un mot de passe crypté en md5...

 

J'adore la comparaison !!!

Mais en même temps, je lis l'article sur le lien donné, et voici quelques morceaux choisis :

MD5 était considéré comme sûr au départ. Son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois

[...]

La sécurité du MD5 n'étant plus garantie selon sa définition cryptographique, les spécialistes recommandent d'utiliser des fonctions de hachage plus récentes comme le SHA-256.

On sait maintenant générer des collisions MD5 en moins de une minute lorsque les deux blocs en collisions sont "libres".

Enfin ça m'a tout de même l'air bien compliqué, en tout cas je ne comprends rien à l'algorithme

Nico

[TheDead Master]

Crypter les mots de passe de ses membres avec du MD5... Voilà quelque chose de bien insolite, mais de surtout pas réfléchi pour un sou...

Heu il faut TOUJOURS hasher les mots de passes qu'on enregistre dans la BDD, C'est une des base de la sécurité d'un site web...
Imagine toi qu'un type pirate ton site et ai accès à la BDD, il a plus qu'a récupérer les mots de passe de tes membres, et comme les gens utilisent en principe le même mot de passe partout, bonjour le désastre

Imaginons qu'un de vos membres perde son mot de passe. Vous lui dites quoi quand ils vous le redemande ?
Vous lui envoyez son mot de passe haché ?

Ou on fait tout simplement comme les 3/4 des sites web actuel, on regénère un mot de passe, et on l'envoi a la personne par mail
avec un lien pour activer le mot de passe.

Et pour vérifier qu'un mot de passe est bon (lors d'une connexion ou authentification par cookie (attention, jamais d'authentification par cookie sur un site de vente, déjà sur un site normale c'est limite alors bon)) il suffit de  hasher le mot de passe envoyé et de le comparer avec le mot de passe hasher de la BDD.

[bubbagic]

+1 TheDead Master

[roufa]

Bonjour,

j'ai trouvé la solution à mon petit problème. je vai pas générer des nouveaux mot de passe, c'est plutot le membre qui va en choisir un nouveau qu'il doit confirmer ensuite par email.

@+