Cryptage mot de passe Joomla

**Minie** · 15/07/2017, 21h57

Re : Cryptage mot de passe Joomla

J'ai réussi après des heures d'acharnement j'ai trouvé la fonction hashPassword() créée dans library/joomla/user/helper.php, et utilisée comme suit :

JUserHelper::hashPassword($password_recupere)

Mais je ne comprends pas trop comment Joomla peut s'en resservir par la suite à partir d'une création aléatoire.

Peut t'on décrypté un mot de pass fait d'une chaine aléatoire ?

**daneel** · 15/07/2017, 23h39

Re : Cryptage mot de passe Joomla

Bonjour,

Il s'agit bien de Joomla 3.7 ? Car depuis Joomla 3.3 (en 2014... donc oui c'est vieux

), on est désormais sur un encryptage du mot de passe utilisant bcrypt et non plus md5.

Joomla! | Créer votre site web professionnel

https://www.joomla.fr/actualites/infos-techniques/item/1381-une-securite-accrue-pour-joomla-3-3

Joomla! est un CMS pour la création de votre site web. Joomla! est open source et gratuit.

Et pour simplifier avec la fonction crypt en php, cela donne... :

Code:

crypt($motdepasse, '$2y$10$'.randombytes(22));

Hachage à sens unique (indéchiffrable)

http://micmap.org/php-by-example/manual/fr/function.crypt.html

A titre perso, c'est ce que j'utilise pour remplacer un mot de passe quand je n'arrive pas à acceder à l'administration du site (avec juste avec l'écriture d'un fichier php temporaire à la racine du site), pour inserer une liste d'utilisateurs (notamment pour un dump de 150 utilisateurs provenant d'une liste excel) ou dans le cadre d'un deploiement de package sur un serveur dédié (personnalisation à l'install sans passer par l'installateur de joomla ou akeeba)...

Exemple : 12346 peut donner parmi de nombreuses variantes...

Code:

$2y$10$.prE1BkZ87aPNnsKMTOSxe9pv8TQIhfBb2HZpSnBPfh.LeHgnaLD2

On reconnait un code bcrypt avec le début '$2y' dans '$2y$10$', le $10 est le coût algorithmique autrement dit 2¹⁰ = 1 024 itérations. Les 22 caractères suivants sont le salt donc le grain de sel aléatoire. Les caractères restants sont le mot de passe encodé et l'authentification (hash-value)... lire https://www.bcrypt.fr/questions, cela donne plus d'infos.

On peux s'amuser également à créer et vérifier sur : https://bcrypt-generator.com/

@minie : oui pour l'utilisation dans joomla de JUserHelper::hashPassword pour Joomla

Hashing password with Joomla 3

https://gist.github.com/AdamMadrzejewski/5ce3ac3afa1114a71b92

Hashing password with Joomla 3. GitHub Gist: instantly share code, notes, and snippets.

404 Not Found

https://api.joomla.org/cms-3/classes/JUserHelper.html

En résumé, le nombre d'itérations implique un calcul plus long et plus fastidieux pour les scripts de hacks et même si la base de données était piraté, cela me semble un peu plus difficile de retrouver le mot de passe... comme ce fut le cas l'année dernière pour dailymotion (ce service de video utilisent bcrypt également) : https://www.information-security.fr/...didentifiants/

Ce n'est qu'un avis mais bcrypt a donné un peu plus de sécurité à Joomla, cela n’empêche pas d'imposer un minimum de caractères, mélange min/maj, caractères spéciaux aux mots de passe pour fonctionner un peu plus efficacement. Il faut éviter par exemple que les utilisateurs utilisent uniquement leur date d'anniversaire pour le mot de passe ... (chercher "paradoxe des anniversaires" dans un moteur de recherche si vous aimez les probabilités )...

De plus, il y a aujourd'hui un marché de solutions complémentaires à connaître : double authentification (google authenticator et dérivé), sans mot de passe comme launchkey.com, par sms avec accountkit de facebook...

Et pour répondre à la question... On ne peut pas décoder un mot de passe car le hachage est à sens unique (indéchiffrable), donc si l'utilisateur a oublié son code, il faudra absolument le remplacer.

**Minie** · 16/07/2017, 09h53

Re : Cryptage mot de passe Joomla

Bonjour,

merci pour ta réponse très complète

En effet mon problème venait du changement récent de cryptage et donc tous les sujets sur le net sont obsolètes. Il y en a maintenant un !

**cavo789** · 16/07/2017, 14h35

Re : Cryptage mot de passe Joomla

Envoyé par daneel Voir le message

Bonjour,

Il s'agit bien de Joomla 3.7 ? Car depuis Joomla 3.3 (en 2014... donc oui c'est vieux

), on est désormais sur un encryptage du mot de passe utilisant bcrypt et non plus md5.

Joomla! | Créer votre site web professionnel

https://www.joomla.fr/actualites/infos-techniques/item/1381-une-securite-accrue-pour-joomla-3-3

Joomla! est un CMS pour la création de votre site web. Joomla! est open source et gratuit.

Et pour simplifier avec la fonction crypt en php, cela donne... :

Code:

crypt($motdepasse, '$2y$10$'.randombytes(22));

Hachage à sens unique (indéchiffrable)

http://micmap.org/php-by-example/manual/fr/function.crypt.html

A titre perso, c'est ce que j'utilise pour remplacer un mot de passe quand je n'arrive pas à acceder à l'administration du site (avec juste avec l'écriture d'un fichier php temporaire à la racine du site), pour inserer une liste d'utilisateurs (notamment pour un dump de 150 utilisateurs provenant d'une liste excel) ou dans le cadre d'un deploiement de package sur un serveur dédié (personnalisation à l'install sans passer par l'installateur de joomla ou akeeba)...

Exemple : 12346 peut donner parmi de nombreuses variantes...

Code:

$2y$10$.prE1BkZ87aPNnsKMTOSxe9pv8TQIhfBb2HZpSnBPfh.LeHgnaLD2

On reconnait un code bcrypt avec le début '$2y' dans '$2y$10$', le $10 est le coût algorithmique autrement dit 2¹⁰ = 1 024 itérations. Les 22 caractères suivants sont le salt donc le grain de sel aléatoire. Les caractères restants sont le mot de passe encodé et l'authentification (hash-value)... lire https://www.bcrypt.fr/questions, cela donne plus d'infos.

On peux s'amuser également à créer et vérifier sur : https://bcrypt-generator.com/

@minie : oui pour l'utilisation dans joomla de JUserHelper::hashPassword pour Joomla

Hashing password with Joomla 3

https://gist.github.com/AdamMadrzejewski/5ce3ac3afa1114a71b92

Hashing password with Joomla 3. GitHub Gist: instantly share code, notes, and snippets.

404 Not Found

https://api.joomla.org/cms-3/classes/JUserHelper.html

En résumé, le nombre d'itérations implique un calcul plus long et plus fastidieux pour les scripts de hacks et même si la base de données était piraté, cela me semble un peu plus difficile de retrouver le mot de passe... comme ce fut le cas l'année dernière pour dailymotion (ce service de video utilisent bcrypt également) : https://www.information-security.fr/...didentifiants/

Ce n'est qu'un avis mais bcrypt a donné un peu plus de sécurité à Joomla, cela n’empêche pas d'imposer un minimum de caractères, mélange min/maj, caractères spéciaux aux mots de passe pour fonctionner un peu plus efficacement. Il faut éviter par exemple que les utilisateurs utilisent uniquement leur date d'anniversaire pour le mot de passe ... (chercher "paradoxe des anniversaires" dans un moteur de recherche si vous aimez les probabilités )...

De plus, il y a aujourd'hui un marché de solutions complémentaires à connaître : double authentification (google authenticator et dérivé), sans mot de passe comme launchkey.com, par sms avec accountkit de facebook...

Et pour répondre à la question... On ne peut pas décoder un mot de passe car le hachage est à sens unique (indéchiffrable), donc si l'utilisateur a oublié son code, il faudra absolument le remplacer.

Superbe réponse qui, une fois encore, est précise, complète, pédagogique et utile. Merci Yann!

Cryptage mot de passe Joomla

[RÉGLÉ] Cryptage mot de passe Joomla

Commentaire

Commentaire

Commentaire

Commentaire

Annonce

Partenaire de l'association