Inverser le mot de passe django.contrib.auth.models.User, sha1 en chaîne lisible

Question

 
from django.contrib.auth.models import User 
u = User.objects.get(username='test') 
user.password 
u'sha1$c6755$66fc32b05c2be8acc9f75eac3d87d3a88f513802 

L'inversion du mot de passe est-elle possible?

Answer 1

Sha-1 est un hachage unidirectionnel. Il ne peut pas être inversé, sauf pour l'utilisation d'une attaque par force brute qui prendra des millions d'années.

Il existe des bases de données en ligne qui vous permettent d'inverser le hachage des mots/combinaisons courants de mots. Cependant, django ajoute "salt" au mot de passe avant qu'il ne calcule le hachage, donc vous ne pouvez pas inverser les mots de passe django.

C'est pourquoi un hachage est utilisé. Personne ne peut trouver votre mot de passe, même pas admins sys :-)

Answer 2

Non, c'est le point.

Si votre utilisateur a oublié son mot de passe, vous devrez le réinitialiser.

Answer 3

Oui, c'est possible. Tout ce dont vous avez besoin est de quelques millions d'années, et d'un ordinateur de la taille de notre système solaire.

Answer 4

Django utilise SHA1 qui est un hachage à sens unique pour le hachage de mot de passe et « sel » le mot de passe avant de les chiffrer. Il faudra donc beaucoup plus de temps (peut-être notre durée de vie) pour les décrypter. Les mots de passe sont hachés afin que personne ne puisse les décrypter même s'ils ont les valeurs hachées.