Skip to main content

Encryption

L'encryption des mots de passe d'Open ENT utilise bcrypt, un algorithme de hachage spécifiquement conçu pour sécuriser les mots de passe.

Qu'est-ce que bcrypt ?

bcrypt est une fonction de hachage cryptographique basée sur l'algorithme Blowfish. Elle a été spécialement conçue pour être lente et coûteuse en termes de calcul, ce qui la rend résistante aux attaques par force brute et aux attaques par dictionnaire.

Contrairement à des algorithmes comme SHA-256 ou MD5, bcrypt intègre plusieurs mécanismes pour renforcer la sécurité :

  1. Un sel (salt) : Un sel est une valeur aléatoire ajoutée au mot de passe avant le hachage. Cela empêche les attaques par table arc-en-ciel (rainbow tables).
  2. Un facteur de coût (work factor) : Le coût contrôle la complexité du calcul. Plus le coût est élevé, plus il est difficile de craquer le hachage.
  3. Hachage lent : bcrypt est intentionnellement lent pour ralentir les attaques par force brute.

Pourquoi utiliser bcrypt ?

  1. Résistance aux attaques : Les méthodes traditionnelles comme MD5 ou SHA-1 sont trop rapides et peuvent être facilement cassées avec des outils modernes.
  2. Intégration du sel : bcrypt ajoute automatiquement un sel unique à chaque mot de passe, ce qui garantit que même deux utilisateurs ayant le même mot de passe auront des hachages différents.
  3. Flexibilité : Vous pouvez ajuster le "facteur de coût" pour rendre le hachage plus ou moins coûteux en fonction de la puissance de calcul disponible.

Structure d'un hachage bcrypt

Un hachage bcrypt typique ressemble à ceci :

$2b$10$N9qo8uLOickgx2ZMRZoMyeIjZAgcfl7p92ldGxad68LJZdL17lhWy

Voici comment décoder cette chaîne :

  1. $2b$ : Indique la version de bcrypt utilisée (2b est la version courante).
  2. 10 : Représente le facteur de coût (ici, 10). Le coût est une puissance de 2, donc un coût de 10 signifie que bcrypt effectuera ( 2^10 = 1024 ) itérations.
  3. N9qo8uLOickgx2ZMRZoMye : Le sel (22 caractères encodés en Base64).
  4. IjZAgcfl7p92ldGxad68LJZdL17lhWy : Le hachage final (31 caractères encodés en Base64).

Comment fonctionne bcrypt ?

Voici les étapes principales du processus :

  1. Ajout du sel :

    • Un sel unique est généré pour chaque mot de passe.
    • Ce sel est combiné avec le mot de passe avant le hachage.

  2. Définition du coût :

    • Le développeur choisit un facteur de coût (par exemple, 10, 12, etc.). Un coût plus élevé augmente la sécurité mais consomme plus de ressources.

  3. Hachage répété :

    • Le mot de passe concaténé avec le sel est haché de manière répétée selon le coût défini.

  4. Stockage du résultat :

    • Le hachage final, le sel, et le coût sont stockés ensemble dans une chaîne unique (comme montré ci-dessus).