Salage des mots de passe
Pour le moment, les mots de passe sont stoqués dans la BD sous forme de hash SHA1 uniquement. Les utilisateurs naïfs qui utilisent des mots de passe simples se trouvent à risque de voir leur mot de passe révélé à quiconque a accès à la BD.
Il faut :
- augmenter le hash à SHA256
- ajouter un sel (~12 caractères générés aléatoirement) pour chaque utilisateur (https://fr.wikipedia.org/wiki/Salage_(cryptographie))
- Faire le calcul du hash avec le sel dans les DAO concernés
Edited by Alexandre Dupre