Comment prestashop encrypte-t-il les mot de passe des clients / administrateurs

[mariodantas]

Bonjour, actuellement je développe une application qui attaque les bases de données prestashop et j'aimerais connaitre l'algorhitme qui encrypte/décrypte les mot de passe de façon à pouvoir les lire dans mon script.

Merci d'avance...



Mario DANTAS

[Guest]

Bonjour,

Les mots de passe sont crypter en MD5.

Cordialement

Frédéric.L

[Yann - Prestaplugins]

J'ajouterai qu'en conséquence ils ne peuvent être décryptés

[Vincent Decaux]

@Patanock
Ceci est faux si c'était seulement encrypté en MD5, de nombreux sites permettent de les décrpyter facilement. (pour des clés simples)
Seulement, Prestashop ne fait pas que cela.
Il faut bien noter qu'ils concatènent une Key unique (_COOKIE_KEY_), modifiable dans le fichier config.php, et que ensuite, ils hachent le tout.

On voit cela dans /classes/Tools.php :

return md5(pSQL(_COOKIE_KEY_.$passwd));

[Yann - Prestaplugins]

Tout à fait vincent, je ne voulais pas rentrer dans le détail de la concaténation et tout ça.

Pour le décodage du md5 je n'était pas au courant, mais je pense que ca ne doit pas être anodin en terme de perf non ?

[Vincent Decaux]

En fait je me suis mal exprimé. Car en effet il n'est pas possible de décrypter, cependant, certains sites ont des bases de hachs MD5, du coup, ils arrivent à trouver le mot crypté en comparant les Hash.
Donc c'est super léger.

Exemple avec ce site : http://www.authsecu.com/decrypter-dechiffrer-cracker-hash-md5/decrypter-dechiffrer-cracker-hash-md5.php

[webbax]

C'est exact, il y a des sites qui regorgent de "rainbow table md5" qui sont les résultats des mots de passe encodés.
En ce qui concerne le md5 ou sha1 il n'y a pas de fonction de décryptage, on peut uniquement comparer des valeurs encodées afin de s'assurer qu'elles soient identiques.

En utilisant cette méthode il faut donc s'assurer que le mot de passe soit suffisamment complexe. Ici on le complexifie avec le "COOKIE_KEY" comme mentionné plus haut.