Bonjour,
Dans le changelog officiel j'ai découvert l'entrée suivante :
Et bien, ce n'est pas le cas, désolé. Je viens juste de modifier mon mot de passe et il est toujours stocké avec DES. Il y a deux manières de le prouver. La première est d'utiliser manuellement la requête HTTP utilisée pour demander le sel du mot de passe :
Remplacez simplement "account_name" par votre nom de compte et retirez l'espace automatiquement rajouté par ce mauvais moteur de forum (exemple). La réponse doit être le nombre "1" suivit de ":" puis du sel. Un sel de deux caractères est utilisé pour DES contre 16 caractères pour SHA-512.
La seconde preuve est la limite maximale de 8 caractères pour DES. Si vous avez un mot de passe plus long, vous pouvez vous authentifier sur l'app web avec seulement les 8 premiers caractères car les autres sont ignorés.
Le stockage en SHA-512 a été écrit il y a plusieurs années et fonctionnait bien avec Ryzom core. Apparemment, quelqu'un l'a cassé et personne ne l'a vraiment testé avant d'écrire le changelog pour la v3. Soit dit en passant, ça a été écrit comme une alternative rapide et moche à l'utilisation de DES, pas comme une fonctionnalité à long terme. Vous devriez regarder du côté de PBKDF2, bcrypt, scrypt ou, mieux, Argon2.
Dans le changelog officiel j'ai découvert l'entrée suivante :
Hachage des mots de passe en SHA-512 au lieu de DES
Et bien, ce n'est pas le cas, désolé. Je viens juste de modifier mon mot de passe et il est toujours stocké avec DES. Il y a deux manières de le prouver. La première est d'utiliser manuellement la requête HTTP utilisée pour demander le sel du mot de passe :
http://shard.ryzom.com:40916/login/r2_login.php?cmd=ask&login =account_name&lg=en
Remplacez simplement "account_name" par votre nom de compte et retirez l'espace automatiquement rajouté par ce mauvais moteur de forum (exemple). La réponse doit être le nombre "1" suivit de ":" puis du sel. Un sel de deux caractères est utilisé pour DES contre 16 caractères pour SHA-512.
La seconde preuve est la limite maximale de 8 caractères pour DES. Si vous avez un mot de passe plus long, vous pouvez vous authentifier sur l'app web avec seulement les 8 premiers caractères car les autres sont ignorés.
Le stockage en SHA-512 a été écrit il y a plusieurs années et fonctionnait bien avec Ryzom core. Apparemment, quelqu'un l'a cassé et personne ne l'a vraiment testé avant d'écrire le changelog pour la v3. Soit dit en passant, ça a été écrit comme une alternative rapide et moche à l'utilisation de DES, pas comme une fonctionnalité à long terme. Vous devriez regarder du côté de PBKDF2, bcrypt, scrypt ou, mieux, Argon2.
---
Markanjio di SegafredoAlkiane
Noble Gardien des Matis - Noble Matis Guardian
Fléau de l'Empire - Scourge of the Empire