Salage de mot de passe

De MoodleDocs
Aller à :navigation, rechercher

Qu'est-ce que le salage de mot de passe ?

Le salage de mot de passe est un moyen de rendre le hachage des mots de passe plus sûr en ajoutant une chaîne aléatoire de caractères aux mots de passe avant que leur hachage ne soit calculé, ce qui les rend plus difficiles à annuler.

Comment Moodle utilise-t-il le salage de mots de passe ?

Avant Moodle 2.5, il n'y avait qu'un seul sel à l'échelle du site qui était utilisé pour hacher le mot de passe de chaque utilisateur. A partir de Moodle 2.5, Moodle génère et ajoute automatiquement un sel différent pour chaque utilisateur. Ceci est plus sûr et signifie qu'une variable de configuration à l'échelle du site pour le sel n'est plus nécessaire pour les installations "nouvelles" de 2,5 ou plus.

Rétrocompatibilité pour les mises à jour du site

Important ! Si vous mettez à jour un site à partir de la version 2.4 ou d'une version inférieure et que vous utilisez déjà un sel à l'échelle du site dans votre fichier de configuration, vous devez continuer à l'utiliser pour vous assurer que vos utilisateurs existants peuvent toujours se connecter.

Chaque fois qu'un utilisateur se connecte, son mot de passe est converti dans le nouveau schéma, mais cela peut prendre beaucoup de temps avant que tous vos utilisateurs ne se soient connectés. Alternativement, si vous souhaitez forcer tous vos utilisateurs à utiliser le nouveau schéma, vous pouvez forcer la réinitialisation de tous les mots de passe à l'aide de Actions en lots sur les utilisateurs.

Pour plus de détails sur l'ancienne configuration du sel à l'échelle du site, voir la section Moodle 2.4 Documentation sur le salage de mot de passe.

Sites exécutant la version PHP inférieure à 5.3.7

Le nouveau mécanisme de hachage de mots de passe repose sur le support de bcrypt de PHP qui n'est normalement disponible qu'en version PHP 5.3.7 ou supérieure (voir note ci-dessous). Si vous utilisez une version de PHP qui ne supporte pas correctement bcrypt, Moodle reviendra à l'ancien schéma de hachage des mots de passe, nous vous recommandons donc de continuer à utiliser un salage pour l'ensemble du site jusqu'à ce que vous puissiez mettre à jour PHP.

Remarque : Bien qu'un correctif important à l'algorithme de hachage de PHP ait été ajouté dans la version 5.3.7, certaines distributions de Linux ont rétroporté le correctif à bcrypt sur des versions antérieures de PHP. Cela signifie que certaines versions antérieures de PHP peuvent encore fonctionner. Pour confirmer si votre PHP supporte le nouveau schéma de hachage, vous pouvez utiliser ce test.