Codage de mots de passe par paquets pour les fichiers .htpasswd
(pour une authentification de type Basic ou Digest par .htaccess)
5 sept 2009Encore une page pour générer des mots de passe cryptés ? Oui mais celle-ci a sa petite originalité qui la rend unique : pour assurer une confidentialité totale, rien n'est communiqué à un serveur pour être crypté, tout reste à l'intérieur de votre navigateur, et nous vous conseillons même de l'utiliser hors-ligne.
Cette page est en fait une adaptation en JavaScript du programme htpasswd fourni avec le serveur Apache.
Sur l'authentification par .htaccess et les considérations de sécurité, il y a une très bonne page ici en français.
Note sur les algorithmes de codage : Le fonctionnement de l'authentification sur un serveur dépend de son système d'exploitation (essentiellement Windows et UNIX) et du logiciel serveur web utilisé (Apache fonctionne sur toutes les plate-formes, et Microsoft IIS sous Windows uniquement).
- aucun (en clair) : stocker les mots de passe tels quels, sans codage. Les serveurs Apache ne les acceptent que sous Windows et sous TPF.
- Crypt : algorithme le plus utilisé, basé sur le DES. Passe partout sous UNIX, mais Apache pour Windows ou TPF ne l'acceptera pas. Pour les mots de passe ainsi codés, seuls les 8 premiers caractères comptent. Par exemple si vous codez le mot de passe ConfiotDePom et que l'utilisateur entre ConfiotDAbrico ou même seulement ConfiotD, il sera validé. Ce codage de mots de passe doit donc être considéré comme faible.
- MD5 :algorithme à base de MD5 reconnu uniquement par les serveurs Apache, quelle que soit la plate-forme utilisée.
- SHA : Utilisé pour faciliter la migration de ou vers les serveurs Netscape utilisant LDIF (LDAP Directory Interchange Format).
|
Remerciements : à Paul Johnston pour l'adaptation en JavaScript des algorithmes MD5 et SHA-1. à for his adaptation en JavaScript de l'algorithme UNIX crypt(3). |
|