{"id":4707,"date":"2021-01-15T13:04:29","date_gmt":"2021-01-15T11:04:29","guid":{"rendered":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=4707"},"modified":"2021-01-15T15:02:31","modified_gmt":"2021-01-15T13:02:31","slug":"playing-with-bcrypt-and-joomla","status":"publish","type":"post","link":"https:\/\/www.laurentmarot.fr\/wordpress\/?p=4707","title":{"rendered":"Playing with bcrypt and Joomla"},"content":{"rendered":"

Juste pour poser l\u00e0 quelques d\u00e9tails sur le stockage s\u00e9curis\u00e9 des mots de passe dans Joomla (cms php tr\u00e8s courant).<\/p>\n

Bref un truc avec lequel on joue un peu en TP, mais qui est aussi parfois bien utile quand on a perdu le mot de passe de l’unique compte d’administration du site (n’est-ce pas la Mairie de N….?, vieille mission Alliacom en 2010).<\/p>\n

Si je jette un \u0153il sur le contenu de ma table des utilisateurs Joomla, j’aper\u00e7ois ce genre de cha\u00eenes de caract\u00e8res dans les champs password :<\/p>\n

$2y$10$OL0ibA8TKT.287zm4HPkYuKI\/5CH0X1bMe9PyxPRjOxjeCSC\/FOwm<\/p>\n

On notera par ailleurs qu 2 utilisateurs avec le m\u00eame mot de passe pr\u00e9senteront un hash diff\u00e9rent, bref on est loin du pauvre MD5 sans sel utilis\u00e9 il y a quelques ann\u00e9es par Joomla.<\/p>\n

On reconna\u00eet un hash bcrypt<\/a> par la pr\u00e9sence en d\u00e9but de cha\u00eene de\u00a0 $2y dans ‘$2y$10$’, le $10 est le co\u00fbt algorithmique, autrement dit 210<\/sup> = 1 024 it\u00e9rations.<\/p>\n

Les 22 caract\u00e8res suivants constituent le sel al\u00e9atoire. Les caract\u00e8res qui compl\u00e8tent la cha\u00eene composent le mot de passe hasch\u00e9. Comme un petit sch\u00e9ma vaut mieux qu’un long discours :<\/p>\n

\"brcypt\"<\/a>

brcypt selon wikipedia<\/a><\/p><\/div>\n

Pour plus de d\u00e9tails (tout public) sur bcrypt\u00a0 : https:\/\/www.bcrypt.fr\/questions<\/a><\/b><\/p>\n

Et pour aller plus loin dans la compr\u00e9hension : https:\/\/auth0.com\/blog\/hashing-in-action-understanding-bcrypt\/<\/a><\/p>\n

Et enfin pour faire quelques tests en ligne : https:\/\/bcrypt-generator.com\/<\/a><\/b><\/p>\n

La fonction crypt en php, fonctionne donc comme cela :<\/p>\n

\n
crypt($motdepasse, '$2y$10$'.randombytes(22));<\/pre>\n
\"playing<\/a>
playing with bcrypt and Joomla<\/p><\/div>\n<\/div>\n
http:\/\/micmap.org\/php-by-example\/man…ion.crypt.html<\/a><\/p>\n
Exemple : password<\/em> (tr\u00e8s mauvaise id\u00e9e de mot de passe)<\/p>\n
\n
$2y$10$.prE1BkZ87aPNnsKMTOSxe9pv8TQIhfBb2HZpSnBPfh.LeHgnaLD2<\/pre>\n<\/div>\n
 <\/p>\n
Cette fonction est par exemple utilis\u00e9e dans Joomla la classe\/m\u00e9thdoe JUserHelper::hashPassword<\/b> pour Joomla. Apr\u00e8s \u00e9tude, il est ainsi relativement simple de cr\u00e9er un fichier joomla-password-hash.php et de le placer \u00e0 la racine de son site.<\/p>\n\n\n\n
<?php<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
define<\/span>(‘_JEXEC’<\/span>, 1<\/span>);<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
define<\/span>(‘JPATH_BASE’<\/span>, dirname<\/span>(__FILE__));<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
require_once<\/span>(JPATH_BASE<\/span> . ‘\/includes\/defines.php’<\/span>);<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
require_once<\/span>(JPATH_BASE<\/span> . ‘\/includes\/framework.php’<\/span>);<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n\n\n\n
echo<\/span> \u00ab\u00a0<strong>Password: <\/strong>\u00a0\u00bb<\/span> . JUserHelper<\/span>::hashPassword<\/span>(‘password’<\/span>);<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
?><\/span><\/a>
\nhttps:\/\/api.joomla.org\/cms-3\/classes\/JUserHelper.html<\/a><\/p>\n
En r\u00e9sum\u00e9, le nombre d’it\u00e9rations implique un calcul plus long et plus fastidieux pour les scripts de hacks et m\u00eame si la base de donn\u00e9es \u00e9tait pirat\u00e9e, cela me semble un peu plus difficile de retrouver le mot de passe… comme ce fut le cas l’ann\u00e9e derni\u00e8re pour dailymotion (ce service de video utilisent bcrypt \u00e9galement) : https:\/\/www.information-security.fr\/…didentifiants\/<\/a><\/p>\n
L’impl\u00e9mentation d bcrypt a donn\u00e9 un peu plus de s\u00e9curit\u00e9 \u00e0 Joomla, cela n\u2019emp\u00eache pas d’imposer un minimum de caract\u00e8res, m\u00e9lange min\/maj, caract\u00e8res sp\u00e9ciaux aux mots de passe pour fonctionner un peu plus efficacement. Il faut \u00e9viter par exemple que les utilisateurs utilisent uniquement leur date d’anniversaire pour le mot de passe … (chercher \u00ab\u00a0paradoxe des anniversaires\u00a0\u00bb dans un moteur de recherche si vous aimez les probabilit\u00e9s )…<\/p>\n
De plus, il y a aujourd’hui un march\u00e9 de solutions compl\u00e9mentaires \u00e0 conna\u00eetre : MFA, double authentification (google authenticator et d\u00e9riv\u00e9), sans mot de passe comme launchkey.com, par sms avec accountkit de facebook…<\/p>\n\n","protected":false},"excerpt":{"rendered":"
Juste pour poser l\u00e0 quelques d\u00e9tails sur le stockage s\u00e9curis\u00e9 des mots de passe dans Joomla (cms php tr\u00e8s courant). Bref un truc avec lequel on joue un peu en TP, mais qui est aussi parfois bien utile quand on a perdu le mot de passe de l’unique compte d’administration du site (n’est-ce pas la […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,39],"tags":[],"_links":{"self":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/4707"}],"collection":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4707"}],"version-history":[{"count":11,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/4707\/revisions"}],"predecessor-version":[{"id":4720,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/4707\/revisions\/4720"}],"wp:attachment":[{"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4707"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4707"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.laurentmarot.fr\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4707"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}