Itqualityassurance
- Le mot de passe est-il haché en frontend ou backend?
- Comment les pirates trouvent-ils des mots de passe hachés?
- Pouvez-vous décoder un mot de passe hachis?
- Si les mots de passe sont hachés du côté client?
Le mot de passe est-il haché en frontend ou backend?
Le backend.
Si vous ne les hachez que dans le frontend, vous êtes vulnérable à un passage l'attaque de hachage. La raison pour laquelle vous hachez les mots de passe dans votre base de données est d'empêcher un attaquant qui a déjà compromis votre base de données d'utiliser ces mots de passe.
Comment les pirates trouvent-ils des mots de passe hachés?
Le problème est que les hachages doivent encore être stockés, et tout ce qui est stocké peut être volé. Les pirates pourraient obtenir les hachages de mot de passe du serveur sur lequel ils sont stockés de plusieurs façons. Ceux-ci incluent des employés mécontents, des injections SQL et une gamme d'autres attaques.
Pouvez-vous décoder un mot de passe hachis?
Les fonctions de hachage sont conçues pour aller uniquement dans un sens. Si vous avez un mot de passe, vous pouvez facilement le transformer en hachage, mais si vous avez le hachage, la seule façon de récupérer le mot de passe d'origine est par force brute, essayant tous les mots de passe possibles pour en trouver un qui générerait le hachage que vous avoir.
Si les mots de passe sont hachés du côté client?
Les mots de passe de hachage permettent de les utiliser pour l'authentification, tout en rendant difficile la reconstruction du mot de passe d'origine. Le hachage des mots de passe sur le client peut être bénéfique: même s'il ne protège pas contre les attaquants, il protège contre les erreurs accidentelles.
