{MySQL} Base de donnée ID et Login en clair?
Mahara
Messages postés
20
Statut
Membre
-
Mahara Messages postés 20 Statut Membre -
Mahara Messages postés 20 Statut Membre -
Bonjour,
Dans le cadre de mon stage je doit réaliser un espace privé donc login et mot de passe, je vois comment faire mais je me demande si enregistrer les mots de passe dans une table comme n'importe quel donnée n'est pas "dangereux" ? Y'a t'il des protocoles qu'il me fraudait appliquer, un cryptage ou autres....
Enfin bref si vous aviez un avis ou des pistes que je puisse chercher les tutos correspondant, ce serait sympas ! :):)
Merci
Mahara
Dans le cadre de mon stage je doit réaliser un espace privé donc login et mot de passe, je vois comment faire mais je me demande si enregistrer les mots de passe dans une table comme n'importe quel donnée n'est pas "dangereux" ? Y'a t'il des protocoles qu'il me fraudait appliquer, un cryptage ou autres....
Enfin bref si vous aviez un avis ou des pistes que je puisse chercher les tutos correspondant, ce serait sympas ! :):)
Merci
Mahara
A voir également:
- {MySQL} Base de donnée ID et Login en clair?
- Base de registre - Guide
- Document id lycamobile - Forum Logiciels
- Id telephone - Guide
- Tnt base de données vide ✓ - Forum TNT / Satellite / Réception
- Activation d'une carte SIM ✓ - Forum Mobile
5 réponses
Moi je crypte mes mot de passe avec md5
par exemple en php :
$password = md5($_POST['password']);
tu mets le truc que tu vx chiffrer entre les parenthèse... sauf qu'on ne px pas les déchiffrer donc à chaque fois que tu vérifier un mot de passe tu doit vérifier apres qu'il soit chiffrer(tu chiffre le mot de passe entrer et tu le vérifie s'il est pareil à celui chiffré dans la bd
par exemple en php :
$password = md5($_POST['password']);
tu mets le truc que tu vx chiffrer entre les parenthèse... sauf qu'on ne px pas les déchiffrer donc à chaque fois que tu vérifier un mot de passe tu doit vérifier apres qu'il soit chiffrer(tu chiffre le mot de passe entrer et tu le vérifie s'il est pareil à celui chiffré dans la bd
En fait après recherche, je ne vois pas l'interet du MD5 car si un pasgentilpasbeaux rentre dans ma base de donnée qu'il les ai en clair ou en MD5 ce sera pareil? Il semble que les sites de décryptage soit nombreux!
ex : https://www.frameip.com/decrypter-dechiffrer-cracker-hash-md5/
ou
https://www.md5decrypter.com/ etc.....
Plus qu'a enlever mon codage et a trouver une autre solution.... Quelqu'un aurait il une idée?
Mahara
ex : https://www.frameip.com/decrypter-dechiffrer-cracker-hash-md5/
ou
https://www.md5decrypter.com/ etc.....
Plus qu'a enlever mon codage et a trouver une autre solution.... Quelqu'un aurait il une idée?
Mahara
Dans ce cas c'est que tu n'as pas bien compris le principe.
L'idée n'est pas que quelqu'un ait accès à ta database.
Tu pourrais aussi bien te faire voler tes données à cause d'une faille de sécurité de ton site et cela ne change rien au problème.
Tu peux à défaut de md5 utiliser SHA1 => $password = sha1($_POST['password']);
Le site authsécu.com est aussi un attrape nigaud, va mettre ton mot de pass en clair pour qu'ils le hachent et l'ajoute à leur database. Mon seul password admin de 6 caractères ne peut même pas être décrypter via son hash md5, parce que ce que tu ne semble pas avoir lu c'est que leur return est fait par rapport à une database de mot de passe pré-hachés. Pour un mot de passe plus complexe ça foire à tous les coups ou presque.
Et MD5 est utilisé dans de nombreux CMS et softs pour hasher les mots de passe, si tu penses déjà à te faire piquer tes données le problème n'est plus le même, et ce n'est pas non plus le même domaine, ce serait plus de la sécurisation de serveur.
L'idée n'est pas que quelqu'un ait accès à ta database.
Tu pourrais aussi bien te faire voler tes données à cause d'une faille de sécurité de ton site et cela ne change rien au problème.
Tu peux à défaut de md5 utiliser SHA1 => $password = sha1($_POST['password']);
Le site authsécu.com est aussi un attrape nigaud, va mettre ton mot de pass en clair pour qu'ils le hachent et l'ajoute à leur database. Mon seul password admin de 6 caractères ne peut même pas être décrypter via son hash md5, parce que ce que tu ne semble pas avoir lu c'est que leur return est fait par rapport à une database de mot de passe pré-hachés. Pour un mot de passe plus complexe ça foire à tous les coups ou presque.
Et MD5 est utilisé dans de nombreux CMS et softs pour hasher les mots de passe, si tu penses déjà à te faire piquer tes données le problème n'est plus le même, et ce n'est pas non plus le même domaine, ce serait plus de la sécurisation de serveur.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai du mal a voir l'intérêt, est ce au moment de l'envoi du passage sur le "net" (entre le client et le serveur) ?
Je vais me renseigner sur la sécurisation du serveur, au niveau du site je pense avoir fait quelque chose de pas mal... (enfin vu mon niveau, des htmlspecialchars dans tout les coins, les pages php affiché dans l'url uniquement si autorisé dans une condition....) Il doit y avoir des failles mais la ce n'est pas encore de ma competence...
Merci pour vos reponse
Mahara
Je vais me renseigner sur la sécurisation du serveur, au niveau du site je pense avoir fait quelque chose de pas mal... (enfin vu mon niveau, des htmlspecialchars dans tout les coins, les pages php affiché dans l'url uniquement si autorisé dans une condition....) Il doit y avoir des failles mais la ce n'est pas encore de ma competence...
Merci pour vos reponse
Mahara
