Le MD5 une valeur sur ?

[Ekroz]

Sur un mot de passe faible, l'utilisation du salt permet de diminuer les risques de bruteforce.
Cependant sur un mot de passe plus compliqué, en faite ça ne diminuera pas le risque puisque celui-ci est égal au maillon le plus faible de la chaîne, donc le risque de collisions.
Personnellement pour sécuriser les mots de passe sur mon site, j'utilise plusieurs techniques :

1) Je détecte l'algorithme disponible sur le serveur qui produit le plus long hash et donc qui a le plus haut potentiel de sécurité (bon il doit y avoir une différence entre SHA-512 et Whirlpool mais trop minime à échelle humaine). Comme ça le script peut être utilisé n'importe où et pendant une durée illimitée, il évoluera de lui même.
2) Je génère deux grains de sel aléatoires (début et fin du mot de passe).
4) Je hashe le mot de passe, et enregistre tout ça dans la DB (hash, algo, salt1, salt2).

Code PHP :

<?php
/**
 * Fonction qui retourne le hash le plus long (et donc celui qui a le moins de
 * possibilité de collisions).
 */
function getBestAlgo()
{
    $bestAlgo = array(
        'algo' => '',
        'len' => 0
    );
    
    $algos = hash_algos();
    
    foreach ($algos as $algo) {
        $hash = hash($algo, '');
        $len = strlen($hash);
        
        if ($len > $bestAlgo['len']) {
            $bestAlgo['algo'] = $algo;
            $bestAlgo['len'] = $len;
        }
    }
    
    return $bestAlgo['algo'];
}

$pwd = 'myLittlePony';

/**
 * On génère deux graines aléatoires.
 */
$rand1 = mt_rand();
$rand2 = mt_rand();

/**
 * Données à enregistrer dans la DB.
 */
$algo = getBestAlgo();
$salt1 = uniqid($rand1);
$salt2 = uniqid($rand2);

/**
 * Génération du hash à enregistrer dans la DB.
 */
$pwd = $salt1 . $pwd . $salt2;
$hash = hash($algo, $pwd);

/**
 * Affichage du hash.
 */
echo $hash;
?>

Et bien évidemment sur le formulaire de connexion, on utilise un captcha et on autorise que 3 tentatives par adresse IP de se connecter avant de bannir pendant 5 minutes le malotru qui a osé s'attaquer à un administrateur soucieux de sa sécurité sans oublier d'envoyer un mail automatique avec un maximum d'informations sur l'incident : compte concerné, mot de passe essayé (pour voir si c'est une erreur, une injection ou du spam), les en-têtes HTTP (pour voir si c'est un humain, un script ou un bot), la géolocalisation (si c'est la vengeance de quelqu'un qu'on connait, du moins ça marche si on connait quelqu'un qui habite dans un petit bled) etc...