Transformer mots de passe et secrets applicatifs en clés

Transformer mots de passe et secrets applicatifs en clés

Distinguer mot de passe, clé, token et secret d’application, puis présenter les fonctions de dérivation adaptées aux usages humains et machine.

Chapitre 16 Débutant · Intermédiaire · Expert 22 pages

Objectif du chapitre

Distinguer mot de passe, clé, token et secret d’application, puis présenter les fonctions de dérivation adaptées aux usages humains et machine.

Notions à couvrir

• Mot de passe humain, clé aléatoire, token, secret applicatif, sel et pepper
• HKDF, extraction, expansion et séparation de contexte
• Argon2id, bcrypt, scrypt, PBKDF2
• Paramètres mémoire, temps CPU, parallélisme et migration
• Rehash au login et politique de rotation
• Stockage de secrets applicatifs, variables d’environnement, coffres, journalisation

Sous-sections

Une clé n’est pas un mot de passe [Débutant]

• Entropie humaine
• Clé aléatoire
• Token
• Sel
• Pepper
• Secret applicatif

Dérivation pour systèmes [Intermédiaire]

• HKDF extract/expand
• Contexte
• Sous-clés
• Séparation d’usage
• Chaînes de dérivation

Stockage des mots de passe [Intermédiaire]

• Argon2id
• bcrypt
• scrypt
• PBKDF2
• Paramètres
• Migrations

Secrets d’application [Expert]

• Coffres
• Rotation
• Audit
• Logs
• Accès minimal

Exemples et ateliers

• Hasher et vérifier un mot de passe avec Argon2id
• Dériver deux clés avec HKDF et deux labels
• Migrer un hash de mot de passe à la connexion
• Chercher un secret exposé dans des logs de test

Pièges classiques

• Chiffrer les mots de passe au lieu de les hasher
• Utiliser un sel fixe
• Stocker le pepper au même endroit que la base
• Copier un secret de production dans un environnement de développement

À ne pas confondre

• KDF et password hashing
• Sel et nonce
• Pepper et clé HSM
• Token opaque et JWT

Points à vérifier

• à vérifier : paramètres Argon2id à recommander selon mémoire disponible et référentiels actuels.