Qu’est-ce que l’encodage?
Représente l’information sous un format standard pour faciliter l’échange.
- Aucune sécurité
- Réversible (avec l’algo)
- Ex: Mp3, jpg, base64, json, ascii
Qu’est-ce que le chiffrement?
Représente l’information d’une façon à ce que seulement certaines personnes puissent la lire.
- Sécurisé
- Réversible (avec l’algo ET la clé)
- Ex: AES, Blowfish, RSA
Qu’est-ce que le hachage (hashing)?
Représente l’information de source variée sous une longueur fixe.
Fonction mathématique qui prend n’importe quel type de données et le transforme en une “empreinte digitale” de taille fixe.
- Le moindre changement dans le mot va changer complètement le hash final
- Irréversible
- Même longueur de sortie peu importe la longueur d’entrée
Une légère modification à une entrée devrait donner des changements majeurs dans la sortie.
- Ex: Argon2, bcrypt, sha256, MD5
Comment le Salt protège les mots de passe?
- On appose un préfixe salt au mot de passe avant de le hacher (unique pour chaque mot de passe)
- Le salt (aléatoire) est enregistré à côté du mot de passe dans la BD
Quelles techniques sont conseillées pour le hachage de mots de passe?
Argon2, bcrypt, scrypt, PBKDF2 (CONSEILLÉS)
SHA2 (OK)
Quelles techniques sont déconseillées pour le hachage de mot de passe?
SHA1, md5
Qu’est-ce qu’une collision dans une fonction de hachage?
Lorsque deux entrées différentes produisent la même sortie de hachage.
Quelle caractéristique est unique à une fonctione de hachage cryptographique?
Elle est irréversible.
La sortie d’un hash est présentée de quelle manière?
Habituellement en hexadécimal
Est-il conseillé d’utiliser seulement la méthode de hachage pour stocker les mots de passe?
Non, car si on a deux mots de passe identiques, on aura alors deux hash identiques dans la bd.
Qu’est-ce que la Rainbow Table?
C’est une table de hashages précalculées.
Comment se défendre d’une rainbow table?
Utiliser les méthodes de Salt et Pepper.
À quoi consiste le hachage avec un Pepper?
- Avant de hacher le mot de passe, on y appose un suffixe pepper (sera le même pour tous les mdp de la BD)
- On garde le pepper secret, dans une variable d’environnement
- Si on obtient le pepper d’une BD, on peut alors faire une rainbow table pour toute la BD.
Pourquoi la méthode Pepper est désuète?
Si on obtient le pepper de la BD, alors on peut faire une rainbow table pour récupérer tous les mots de passe.
Pourquoi la méthode Salt est plus sécuritaire que Pepper?
- Le salt est unique à chaque mot de passe
- L’attaquant devrait faire une rainbow table pour chaque salt trouvé
Qu’est-ce que Argon2?
- Fonction de hachage adaptative spécialisée pour les mdp
- Intentionnellement lente (paramètres ajustables: mémoire, itérations)
- Rend la force brute impraticable même avec puissance de calcul moderne
Pourquoi favoriser la méthode Argon2 à MD5/SHA?
- Utilise un salt (protection contre rainbow tables)
- Paramètres ajustables: mémoire, itérations, parallélisme
- Rend les attaques très coûteuses en temps et ressources
