Bonjour à tous,

Voyez vous sur mon site, lorsque qu'on s'inscrit , le password est crypté, mais je voudrait savoir comment le décrypté et du coup svoir le vrai mot de pass. Je vous montre un exemple que j'ai fait tout simple:


et voici ce que je vois:


Maintenant ce que je voudrais c'ets qu'à partir du " d83177daa22aeba3081abf055f98fd39cb8ecf4a " j'arrive a trouvé " passe "

Mais comment ? et est-ce possible ?

Merci d'avance

Kleos Chaos

sha1 est indécryptable ...

y'a des fonctions où tu peux décrypter mais à ma connaissance pas sha1 ... cela dit, si tu dois comparer, par exemple dans le cas d'un script d'identification, il suffit de crypter la requête envoyée par l'utilisateur et après tu compares pour voir si c'est bon ou non ...

sinon je ne sais pas comme on décrypte sha1 ... déso ... mais y'a des fonctions qui peuvent crypter puis être décryptée. je ne saurais pas t'en donner comme ça, je n'utilise que sha1 ...

ben d'ailleurs dans ton cas, tu fais comme ça :

t'enregistres le passe avec sha1
et lors de l'identification tu fais sha1 sur le post et tu compares : si c'est identique, c'est bon, sinon c'est faux, on affiche l'erreur.

voilou sha1 crypte toujours de la même façon donc aucun ennui avec cette fonction et l'identification des membres

a merci quand meme,
et personne connait d'autre fonction?

edit:

Citation : virjule

ben d'ailleurs dans ton cas, tu fais comme ça :

t'enregistres le passe avec sha1
et lors de l'identification tu fais sha1 sur le post et tu compares : si c'est identique, c'est bon, sinon c'est faux, on affiche l'erreur.

voilou sha1 crypte toujours de la même façon donc aucun ennui avec cette fonction et l'identification des membres

mais en fait ça je le savait je voulais juste savoir comment décrypté aau cas où...

en tout cas je te conseille sha1 car avec une autre fonction qui peut être décryptée, un ptit malin peut sans encombre déchiffrer un pass en accédant à ta BDD, donc risque de piratages ...

Ca me paraît logique que ce soit indécryptable sinon, quel est l'intêret de l'utiliser ?

mais en fait j'aimerais juste décrypté au cas où...

sha1() ne crypte pas il hash ( comme md5() ) donc le retour au mot hashé est impossible ( sauf avec un dictionnaire mais c'est moin légal...)

si tu veux pouvoir retrouver ton mot d'origine utilise plutôt cryt()

+1 pour Tristant21

Sinon entre md5 et sha1, c'est quoi le plus efficace ?

Edit :
En allant voir la fonction crypt() sur le manuel, elle est décrite comme indechiffrable

Citation : Genezis

+1 pour Tristant21

Sinon entre md5 et sha1, c'est quoi le plus efficace ?

je dirait shal

Citation : wikipedia

MD5 était considéré comme sûr au départ. Son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai (co-inventeur du célèbre algorithme de chiffrement IDEA) et Hongbo Yu. Leur attaque a permis de découvrir une collision complète sans passer par une méthode de type brute-force [1] [2]. Sur un système parallélisé, les calculs n'ont pris que quelques heures. Le MD5 n'est donc plus considéré comme sûr mais l'algorithme développé par les Chinois concerne des collisions quelconques et ne permet pas de forger une collision sur une signature spécifique.

donc je conseille sha1

lien de wiki: http://fr.wikipedia.org/wiki/Md5

Si deux membres ont le même mot de passe, ils auront le même hash, c'est pour ça que lorsque j'envoie un email avec un lien pour se désincrire (qui doit donc me permettre de reconnaitre le membre concerné), je hash le mot de passe et je met aussi le pseudo !

Edit : merci ZyggiX pour l'info !!

mouai, sinon tu met une clé et ca marche aussi, donc il doit avoir le meme couple pseudo/clé ( c'est ma méthode)

Une clé c'est-à-dire, une sorte de numéro d'identification defini pour chaque membre ?

Dans ce cas comment la definis-tu cette clé ?

alors ma méthode

tu met dans la table, pseudo, pass, ..., key

alors lors de l'inscription, j'utilise un rand() (amélioré avec microtime), et ca me donne une clé de 10 caractères par exemple.

alors quand j'utilise mes codes , par exemple se desincrire, il recoivent ca comme email, http://xxx.com/desinscription.php?pseudo=Genezis&key=q5s9s4kj9d8

alors dans la page desincription, je regarde if Genezis a comme clé q5s9s4kj9d8 dans la table, je le deinscrit, sinon, problème (qqun a tenté de modifié la clé).

Donc je toruve ca sécurisé, car il faut que les deux valeurs soit pour le meme utilisateur. (et personne peut la connaitre, à moins qu'on puisse rentrer dans ta base )

Voilà

Citation : Genezis

Si deux membres ont le même mot de passe, ils auront le même hash

Je posais la question inverse : si deux membres ont 2 mots de passe qui donnent le même hash, est-ce nécessairement le même mot de passe ?

non, mais c'est très rare, j'ai jamais vu ca.

le mot de passe est hashé sur 32 caractèrees, donc ta une chance sur je sais pas combien pour que tu aies le meme hash qu'un autre gars (qqun se connait en probabilité pour dire combien y'a t'il de possibilités? )

>>256 puissance 32 possibilités... (comment ?! vous voulez la valeur exacte ?! )

Improbable, mais non impossible... N'y a-t-il rien de plus sécurisé que cela ?!

bon ca fait :tu as une chance sur 1,1579208923731619542357098500869^77 possibilités que tu aies le meme Hash, il ya mnt : SHA-256, RIPEMD-160 ou Whirlpool.que tu peux utiliser

Merci ZyggiX pour l'explication de ta technique.

Sinon à ce qui ce dit les mots de passes choisient par les utilisateurs sont assez souvent les même... :
Donc, à mon avis, il faut mieux se méfier de ce genre de proba