Est-ce le bon sens de crypter & mots de passe salés qui sont stockés dans une base de données avec un cryptage fort (AES 192 ou plus) ou visons-nous simplement les étoiles?Chiffrer les mots de passe hachés?
Bien sûr, la clé de chiffrement ne sera pas dans la base de données elle-même, mais sera conservée dans un endroit sûr.
Merci beaucoup!
Je ne suis pas un expert en sécurité et je ne sais pas quel type d'application vous utilisez ou quel type d'installation vous avez. Mais si je faisais une vieille application web régulière, je voudrais juste aller avec du hachis salé. Vous allez stocker la clé (ou la clé publique si vous utilisez le cryptage à clé asymétrique comme vous pouvez crypter le hachage du mot de passe fourni par l'utilisateur et la comparer à la valeur de la base de données) sur le serveur d'applications.
Si vous craignez que quelqu'un ne s'introduise dans votre serveur de base de données, est-il plus difficile de pénétrer dans le serveur d'applications?
Si quelqu'un tente une attaque de dictionnaire via le serveur de l'application, le même nombre de tentatives est nécessaire. Vous aurez juste besoin de détecter et de bloquer cela. La seule situation dans laquelle le cryptage des hachages salés est utile est de savoir si les attaquants peuvent mettre la main sur les valeurs cryptées, mais pas sur la clé. Je suppose que c'est à vous de décider si c'est ce que vous voulez pour votre système.
Il n'est pas nécessaire de crypter un mot de passe salé et haché.
Lorsque le mot de passe est salé et haché avec un bon algorithme de cryptage, cela n'améliorera pas la sécurité.
Lorsque vous le cryptez, vous devez gérer la clé d'une manière ou d'une autre, cela compliquera simplement les choses.
Utilisez un sel cryptographique généré pour chaque mot de passe et utilisez un bon algorithme de hachage.
Pour plus d'informations, voir cette question: Best way to store password in database
Les mots de passe doivent toujours être hachés et non cryptés, sauf si vous avez vraiment besoin d'une récupération de mot de passe. La récupération du mot de passe n'est généralement pas considérée comme une bonne pratique.