SQUASH TM / Upgrade en 1.19.3 : nouvel encryptage des mots de passe

MatDeGraye
Messages : 11
Inscription : lun. août 29, 2016 8:53 am

SQUASH TM / Upgrade en 1.19.3 : nouvel encryptage des mots de passe

Message par MatDeGraye » lun. mai 13, 2019 10:29 am

Bonjour
Suite à l'upgrade de Squash TM en 1.19.3 (depuis 1.18.0), nous avons constaté que l'encodage des mots de passe avait basculé en bcrypt.
Cela n'était pas décrit dans la release note, & par effet de bord, cela nous bloque dans un usage plus intégré de Squash.

Pourriez-vous svp nous indiquer comment est positionné l'encryptage bcrypt est configuré pour exploiter la table AUTH, & vérifier la bonne authentification d'un utilisateur depuis un portail exploitant les infos Squash TM?
i.e.
  • salt par user mais stocké où/comment ?
    configuration du coût/boucle pour l'encodage bcrypt ?
Cordialement
Mathieu Boscher

MatDeGraye
Messages : 11
Inscription : lun. août 29, 2016 8:53 am

Re: SQUASH TM / Upgrade en 1.19.3 : nouvel encryptage des mots de passe

Message par MatDeGraye » lun. mai 13, 2019 2:20 pm

In fine, sujet clos pour nous.
Pour partage:
La structure du mot de passe dans la table auth_user de la base SQL Squash se décompose selon:
  • "2a" identifie la version de l'algorithme bcrypt qui est utilisé.
  • "10" correspond à la l'indicateur de coût/boucle propre à l'algo bcrypt;
  • Le reste de la chaine contient le salt & le texte encrypté, concaténé & encodé en équivalent Base-64. Les 22 premiers caractères correspondent au salt. Le reste des caractères correspond au texte encrypté qui pourra être comparé lors de l'authentification.
Nous avons changé notre code en conséquence pour appeler la librairie php correspondante.

Répondre