Le 10 mai 2013 à 16:13, Julien Escario escario@azylog.net a écrit :
Le 10/05/2013 15:53, Emmanuel Thierry a écrit :
OpenLDAP c'est du SSHA en général, donc du hash salté. Le salt est encodé dans le contenu du pass stocké. En gros un mot de passe est stocké sous cette forme: salt . sha(salt . pass) Donc d'une part à aucun moment tu ne stockes le mot de passe en clair, tu ne peux pas non plus le reverser du fait de la construction, enfin c'est très chaud à brute-forcer puisque le salt est unique pour chaque mot de passe (pas d'attaque par dictionnaire possible). Le mot de passe ne passe en clair qu'entre le client et le serveur (une connexion TLS et c'est fini ! :) )
OK, merci pour l'explication. Je suis un peu light sur ldap. Par contre, d'après ce que tu dis, je peux authentifier avec LDAP mais pas stocker du password de manière sécurisée.
Ah non, au contraire, c'est le plus sécurisé. c'est du hachage donc un alto non réversible. Lorsque tu vérifies le mot de passe, tu prends le mot de passe plaintext que l'utilisateur te donne, tu le hashes, et tu vérifies que le résultat est bien celui que t'as stocké. En gros tu n'as aucune méthode pour retrouver le mot de passe original à partir d'un SSHA, ça ne peut se faire que par brute-force (avec les clusters qui vont bien).
Sinon autre solution: authentification par clé SSH ou certificat (ce qui revient à peu près au même). Tu trouveras peu de choses aussi robuste !
On mets déjà de la clé et/ou certificat chaque fois qu'on peut mais sur de l'appli web, c'est quand même vite limité.
Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double authentification (clé sur support USB + password), base stockée cryptée sur notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà plutôt solide. Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs lui même crypté et mettre ça au coffre. Après, ca va finir par être de la parano non ?
Bah le truc c'est que quelqu'un chope la clé et il a accès aux mots de passe. Le bon stockage de mot de passe ne doit idéalement pas être réversible. :)
Cordialement Emmanuel Thierry