A01 — Exercices | Authentification sécurisée

Q1

Quel algorithme est adapté pour stocker un mot de passe en base de données ?

SHA-256 MD5 bcrypt AES-256-GCM

Q2

Quel est le rôle principal du sel (salt) dans le hachage d'un mot de passe ?

Chiffrer le mot de passe avant le hachage Rendre le hash unique même si deux utilisateurs ont le même mot de passe Accélérer le calcul du hash Stocker le mot de passe de façon réversible

Q3

Dans bcrypt, augmenter le cost factor de 10 à 12 multiplie le temps de calcul par :

2× 4× 10× 100×

Q4

Pourquoi MD5 est-il inadapté pour hacher des mots de passe en 2024 ?

Il produit des hashes trop courts (16 bytes) Il nécessite une clé secrète Il est trop rapide — des milliards de hashes/seconde sur GPU Il n'est pas déterministe

Q5

Quelle est la différence fondamentale entre hachage et chiffrement ?

Le hachage est plus rapide que le chiffrement Le hachage est irréversible, le chiffrement est réversible avec une clé Le chiffrement n'utilise pas de clé Le hachage produit des données de même longueur que l'entrée

Q6

Que fait bcrypt.compare(inputPassword, storedHash) exactement ?

Il déchiffre storedHash et compare en clair Il hache inputPassword sans sel et compare les deux hashes Il extrait le sel de storedHash, hache inputPassword avec ce même sel, puis compare Il envoie les deux valeurs à un serveur HIBP

Q7

Selon NIST SP 800-63B, quelle est la longueur minimale requise pour un mot de passe utilisateur ?

6 caractères 8 caractères 12 caractères 16 caractères

Q8

L'API HIBP utilise la k-anonymity pour vérifier un mot de passe. Qu'est-ce que cela signifie ?

Le mot de passe est envoyé chiffré au serveur HIBP Seuls les 5 premiers caractères du hash SHA-1 sont envoyés au serveur Le mot de passe est hashé localement puis comparé sans envoi réseau Le serveur HIBP stocke les mots de passe hashés des utilisateurs

Q9

Quel est l'avantage principal d'Argon2id par rapport à bcrypt ?

Argon2id est plus simple à implémenter Argon2id utilise beaucoup de mémoire RAM — difficile à paralléliser sur GPU/ASIC Argon2id est réversible, ce qui facilite les migrations Argon2id ne nécessite pas de sel

Q10

Qu'est-ce que la stratégie "pepper" dans le stockage des mots de passe ?

Un deuxième sel stocké dans la base de données Un secret serveur (variable d'environnement) concaténé au mot de passe avant hachage Un algorithme de hachage supplémentaire appliqué après bcrypt La politique de rotation automatique des mots de passe

Exercices — A01 Mots de passe & Hashing