• Serveurs

  • [Résolu] htpasswd comment est hashé la chaîne

Bonjour,
D'après le man de htpasswd il semblerait qu'il n'y a pas de salt quand on hash en sha(1 ?)
Donc ca doit être possible de déterminer le hash de l'user et mot de passe sans cet outil.
Connaissez vous l'algorithme ?

J'ai essayé de faire le sha1 de user:mdp et usermdp sans succès, ce n'est pas le même résultat.
Bonjour,

j'imagine avec un exemple (cf les paramètres), il serait possible de le savoir.
Par défaut, depuis la version 2.2.18, c'est le md5. Enfin, si je me fis à la documentation.
htpasswd -bcm test.a user mdp -> user:$apr1$znhPGpTn$vovNdb377KJrBr798OmmO0

htpasswd -bcs test.a user mdp -> user:{SHA}ANcMVhiSqUmAvv0SpADiautLhZk=

Mais à priori comme je le disais d’après le man, la signature md5 utilise un salt, donc c'est mort.
Ça serait possible avec la signature sha, mais j'ai testé usermdp, user:mdp et user mdp, sans succès.
Oui, c'est également ce que j'ai compris en la consultant.
Et sans le user ? A priori, il serait omis. À chaque fois, il est question des mots de passe (seulement).
Sinon utilise bcrypt, il est réputé être beaucoup plus solide que les algorithmes de hash standards (md5, sha) qui n'ont pas été prévu à la base pour chiffrer des mots de passe mais pour la vérification de checksum. Bcrypt utilise un salt pour se protéger contre les attaques par rainbow table et utilise une fonction permettant d'augmenter significativement le nombre d'itérations pour rendre le déchiffrement beaucoup plus long.

Selon la doc d'apache :
htpasswd -nbB user password
user:$2y$......
J'ai testé aussi avec simplement le mot de passe.

Par contre que l'on se comprenne bien, mon but ce n'est pas plus de sécurité, en fait je voudrais connaitre comment est hashé le mot de passe, pour que je puisse à l'avenir demander le hash plutôt que les mots de passe de mes utilisateurs.
Je trouve cela plus correct. Oui bien entendu ils peuvent aussi me le donner s'ils ont htpasswd mais bon ...
salut,

effectivement, -B à l'air d'être recommandé -> je change le tuto.
En fait, il semblerait que l'implémentation du SHA(1 ainsi que les autres) soit clarifié ici. Ceci devrait bien aiguiller, c'est dès plus parlant (cf les exemples etc).
Et oui, c'est bien ce que j'avais compris.
Merci.

Ah oui pas pensé au changement de base

Je viens de tester, avec l'option s c'est donc bien la signature sha1 du mot de passe uniquement, en base 64.
De rien et merci pour le retour, ainsi c'est bien ça.
Probléme résolu donc ? Peut tu modifier le titre de ton sujet en résolu stp.

Merci.
Répondre…