7 changed files with 15 additions and 0 deletions
@ -0,0 +1,15 @@
|
||||
Le plugin chiffrer : |
||||
|
||||
- génère un poivre (une clé secréte stockée sur le disque dans config/) |
||||
- supprime le hash réalisé coté client et son traitement coté serveur |
||||
- utilise les fonctions PHP adéquates pour le caclul et la vérification du hash du mot de passe avec password_hash() (en temps constant) |
||||
- met à jour le hash du mdp de l'utilisateur lors du login |
||||
- autorise le login avec ce type hash tout en restant compatible avec les anciens algorithmes md5 & sha |
||||
- sauvegarde le poivre de façon sécurisée dans la DB lors du login des webmestre |
||||
- restore le poivre depuis la DB lors du login d'un webmestre si fichier de config absent |
||||
- expose une API basique pour chiffrer()/dechiffrer() des données |
||||
|
||||
|
||||
Il n'est ainsi plus possible de réaliser une attaque de type Pass The Hash suite à la récupération des hash de la DB. De la même manière il est désormais impossible d'espérer casser un hash de mot de passe avant qu'on est fini de tuer notre planète. Son installation étant un "aller-simple" (on ne peut pas revenir en arrière), est ce qu'on peut l'intégrer via -dist/ dans une 4.1 par exemple ? |
||||
|
||||
TODO : La fonctionnalité de perte de mot de passe n'a pas encore subit un traitement similaire, de manière générale tous les aléas secrets générés devraient y passer |
||||
|
Before Width: | Height: | Size: 7.6 KiB After Width: | Height: | Size: 659 B |
Loading…
Reference in new issue