Mot de passe perdu PHP

Fermé
highsorcerer Messages postés 3 Date d'inscription mercredi 2 décembre 2009 Statut Membre Dernière intervention 29 mai 2012 - 29 mai 2012 à 10:53
SlyK Messages postés 854 Date d'inscription vendredi 11 mars 2011 Statut Contributeur sécurité Dernière intervention 6 octobre 2014 - 29 mai 2012 à 12:49
Bonjour,

En parcourant différent forum, j'ai remarquer que la méthode de récupération des mot de passe avec question secrète est soit disant devenu obsolète. Je me demande bien pourquoi?

En effet, si on considère que l'on crypte le mot de passe php, quelque soit la méthode de cryptage, grâce a une clé (la clé étant la réponse à la question secrète). Puis que lorsqu'un utilisateurs à perdu son mot de passe, on lui demande de répondre à sa question secrète, on décrypte donc le mot de passe et on lui envoie sur son email.

Quel est la différence de sécurité avec un mot de passe généré aléatoirement puis envoyer sur l'email de l'utilisateur?

Dans les deux cas, le mot de passe est envoyer sur l'adresse email de l'utilisateur, donc même si un pirate connais la réponse à la question secrète, il faudrait aussi qu'il ai accès à l'email de l'utilisateur pour récupérer le mot de passe. Mais si il a accès à l'email de l'utilisateur, il peux aussi récupérer le mot de passe généré aléatoirement, non?

Merci de vos réponse...

5 réponses

Templier Nocturne Messages postés 7716 Date d'inscription jeudi 22 janvier 2009 Statut Membre Dernière intervention 21 mai 2016 1 101
29 mai 2012 à 10:57
je problème de crypter le mot de passe, c'est qu'il est toujours possible de le décrypter.

de plus, l'envoie en clair sous entend un tas de risque de détournement
0
highsorcerer Messages postés 3 Date d'inscription mercredi 2 décembre 2009 Statut Membre Dernière intervention 29 mai 2012
29 mai 2012 à 11:10
dans la base de donnée j'ai hacher le mot de passe, et j'ai aussi un champs avec le mot de passe crypté grâce à une clé. (la reponse à la question secrete est concaténé à une chaine qui est récupérer dans la bdd, puis cette chaine est elle même haché, salé et non stocker dans la base de données: la clé de cryptage).

Dans les deux cas :
- mot de passe générer aléatoirement
- mot de passe récupéré grâce a une clé de cryptage
Il est envoyer en clair a l'email en question, non?
0
SlyK Messages postés 854 Date d'inscription vendredi 11 mars 2011 Statut Contributeur sécurité Dernière intervention 6 octobre 2014 147
29 mai 2012 à 11:12
Bonjour,

A l'inscription de l'utilisateur le mot de passe doit être crypté et salé.
Par exemple, vous faites un MD5 de "email.mot de pass" puis un MD5 du MD5 précédent avec un mot rajouter etc...

Le mot de passe sera donc impossible à trouver.

Lors d'une réponse à la question secrète, il vous faut générer aléatoirement un mot de passe qui sera inscrit dans la base de donnée comme si c'était une nouvelle inscription, donc crypté et salé de la même manière).

Effectivement, il passera en clair dans l'email, mais avec des SI on peut mettre Paris en bouteille comme on dit.


Cordialement.
0
highsorcerer Messages postés 3 Date d'inscription mercredi 2 décembre 2009 Statut Membre Dernière intervention 29 mai 2012
29 mai 2012 à 11:20
Merci pour vos réponse.

J'en conclu que pour un utilisateur qui a perdu son mot de passe, qu'il réponde à une question secrète ou qu'on lui renvoie tout simplement un mot de passe généré aléatoirement, cela revient au même au niveau sécurité.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
SlyK Messages postés 854 Date d'inscription vendredi 11 mars 2011 Statut Contributeur sécurité Dernière intervention 6 octobre 2014 147
Modifié par SlyK le 29/05/2012 à 12:49
Vous pouvez très bien faire que l'utilisateur répond à la question et si la réponse est juste renvois un mot de passe aléatoire.

Je ne vois pas comment vous voulez renvoyé l'ancien mot de passe à l'utilisateur puisque qu'il doit être crypté et salé, donc illisible pour tout le monde et introuvable..
0