Browse Source

Mise à jour de 'README.md'

master
g0uZ 10 months ago
parent
commit
d0a0acf62e
  1. 4
      README.md

4
README.md

@ -14,7 +14,7 @@
### Pourquoi ? ###
SPIP ne stocke pas les mots de passe des utilisateurs tels quels dans la base de données. Ils les protègent a l'aide d'une fonction de hachage https://fr.wikipedia.org/wiki/Fonction_de_hachage. Le mot de passe protégé : le hash, est salé https://fr.wikipedia.org/wiki/Salage_(cryptographie) afin d'éviter certaines attaques permettant de casser cette protection.
SPIP ne stocke pas les mots de passe des utilisateurs tels quels dans la base de données. Il les protègent a l'aide d'une fonction de hachage https://fr.wikipedia.org/wiki/Fonction_de_hachage. Le mot de passe protégé : le hash, est salé https://fr.wikipedia.org/wiki/Salage_(cryptographie) afin d'éviter certaines attaques permettant de casser cette protection.
Historiquement, le web fonctionnait avec HTTP,c'est à dire sans mécanisme de chiffrement protégeant les données transportées. Afin de protéger le mot de passe de l'utilisateur lors de son transit entre le navigateur web et le serveur HTTP ; SPIP hache de le mot de passe de l'utilisateur dès sa saisie dans le navigateur (a l'aide de Javascript).
@ -22,7 +22,7 @@ Ce mécanisme est vulnérable à une attaque de type Pass The Hash https://en.wi
Ce plugin implémente un mécanisme de sécurité supplémentaire au hash et au sel : le poivre https://en.wikipedia.org/wiki/Pepper_(cryptography). Le poivre est stocké a un endroit différent des hash et sels, dans notre cas : config/cles.php.
Il n'est ainsi plus possible de réaliser une attaque de type Pass The Hash suite à la récupération des hash et sels des mots de passes des auteurs contenus dans la base de données. De la même manière il est désormais impossible d'espérer casser un hash de mot de passe sans disposer des trois éléments hash/sel/poivre et quand bien même : la sécurité des nouvelles fonctions de hachage utilisée (bcrypt ou Argon2) est trop grande.
Il n'est ainsi plus possible de réaliser une attaque de type Pass The Hash suite à la récupération des hash et sels des mots de passes des auteurs contenus dans la base de données. De la même manière il est désormais impossible d'espérer casser un hash de mot de passe sans disposer des trois éléments hash/sel/poivre et quand bien même : la sécurité des nouvelles fonctions de hachage utilisées (bcrypt ou Argon2) est trop grande.
### ATTENTION ###

Loading…
Cancel
Save