Hasher un mot de passe en ligne (MD5, SHA-256, SHA-512)

Hash vs Chiffrement

Le hachage et le chiffrement sont deux opérations fondamentalement différentes :

• Hachage (hash) — opération à sens unique : impossible de retrouver l'original à partir du hash. Utilisé pour les mots de passe.
• Chiffrement — opération réversible avec une clé : on peut déchiffrer. Utilisé pour les données confidentielles à transmettre.

Les algorithmes de hachage

• MD5 (128 bits) — obsolète, vulnérable aux collisions. Ne jamais utiliser pour les mots de passe.
• SHA-1 (160 bits) — déprécié depuis 2017. Vulnérable aux attaques.
• SHA-256 (256 bits) — standard actuel, recommandé pour les applications générales.
• SHA-512 (512 bits) — plus lent = plus résistant au bruteforce. Idéal pour les mots de passe.
• bcrypt / Argon2 — spécialement conçus pour les mots de passe, intègrent le sel et le coût. Recommandés en production.

L'importance du sel

Le sel est une chaîne aléatoire unique ajoutée au mot de passe avant hachage. Il empêche les attaques par tables arc-en-ciel (rainbow tables).

// Sans sel — vulnérable
hash("password123") => "482c811da5d5b4bc6d497ffa98491e38"

// Avec sel unique — sécurisé
hash("Xk9#mP2$" + "password123") => "a3f8c2d1..."
hash("Wq7!nR5@" + "password123") => "b9e4f7a2..."
// Même mot de passe, hashs différents

Bonnes pratiques

• ✅ Utilisez bcrypt ou Argon2 pour les mots de passe en production
• ✅ Ajoutez toujours un sel unique par utilisateur
• ✅ Utilisez SHA-256+ pour les tokens et signatures
• ❌ N'utilisez jamais MD5 ou SHA-1 pour les mots de passe
• ❌ Ne jamais stocker un mot de passe en clair
• ❌ Ne pas réutiliser le même sel pour tous les utilisateurs

// PHP — bonne pratique
$hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
$ok   = password_verify($password, $hash); // true/false

// Node.js avec bcrypt
const bcrypt = require('bcrypt');
const hash = await bcrypt.hash(password, 12);
const ok   = await bcrypt.compare(password, hash);