Jump to content

Mot de passe MD5 / CNIL


hotep59
 Share

Recommended Posts

Bonjour à tous,

 

Je dois répondre à un courrier de la CNIL sur la sécurisation des données de notre site Prestashop.. Notamment la façon dont sont crypté les mots de passe, je vois que Prestashop utilise le MD5 avec COOKIE_KEY cependant sur le site de la CNIL dans les choses à ne pas faire il indique justement le hachage MD5 (https://www.cnil.fr/fr/securite-chiffrer-garantir-lintegrite-ou-signer) ... Est-ce que le fait d'utiliser en concatenation le COOKIE_KEY est suffisant  et que cela va satisfaire la CNIL ?

 

Merci :)

 

Share this post


Link to post
Share on other sites

si la CNIL arrive à casser la cookie_key, alors oui ce n'est pas sécurisé^^

Citation

il est souvent possible de tester automatique- ment toutes les possibilités et ainsi de reconnaître l’empreinte.

Bien sur, en brute force sauf que la cookie_key + le mot de passe ca fait un champ d'au minimum 61 caractères, donc je ne vois pas trop qui irait s'embêter à lancer un programme qui lui prendrait des jours pour casser un mot de passe client pour obtenir au final juste son nom et son adresse ?

 

image.thumb.png.e01072c2fa593a50e2da964ab964ad22.png

Share this post


Link to post
Share on other sites

Par ailleurs la clé de 56 caractères utilise 61 symboles différents donc en base 61, le nombre de combinaisons est de 4x10¹⁰⁶, même avec 50% de collisions attendues dans le pire cas via MD5, ça donne de la marge même via DeepBlue

Share this post


Link to post
Share on other sites

il y a 10 minutes, hotep59 a dit :

Merci pour vos réponses :)  Je ne sais pas pourquoi nous avons reçu un courrier de la CNIL, controle aléatoire, respect du RGPD ?

 

La CNIL ne fait pas de contrôle aléatoire, par contre elle diligente des enquêtes quand elle reçoit des plaintes.

Share this post


Link to post
Share on other sites

Par ailleurs en regardant le contexte de la page de la CNIL, ça concerne le chiffrage de contenu - ça n'est pas exactement le même domaine que la hash d'un mot de passe.

En cas de chiffrage d'un message manipulable par "l'attaquant" le brute force est plus simple et le chiffrage ce doit d'être plus robuste. Le chiffrage est de plus "réversible", pas un hash. Si tu dois répondre concernant le chiffrage le contexte est ici ton flux HTTPS.

Share this post


Link to post
Share on other sites

Nombre de combinaisons au loto : 1 906 884

Nombre de combinaisons  l'euromillion : 139 838 160

Nombre de combinaisons MD5 : 16^32 soit environ 340 000 000 000 000 000 000 000 000 000 000 000 000 

 

quand je lis ça 

Citation

Ces fonctions étant rapides à utiliser, il est souvent possible de tester automatique- ment toutes les possibilités et ainsi de reconnaître l’empreinte.

je me dit qu'à la CNIL ils ont des supers ordinateurs, même avec 1 milliard d'ordinateurs, tous capables de tester 1 milliard de combinaisons toutes les milliardièmes de secondes, il faudrait 340 000 000 000 secondes soit plus de 10.000 années pour faire le tour de ces combinaisons, et la je ne parle même pas des collisions. 

 

Mais bon, si des experts en sécurité disent que MD5 c'est pas assez pour sauvegarder des mots de passe comme password, azerty ou 123456...

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

Cookies ensure the smooth running of our services. Using these, you accept the use of cookies. Learn More