Mot de passe perdu PHP
Fermé
highsorcerer
Messages postés
3
Date d'inscription
mercredi 2 décembre 2009
Statut
Membre
Dernière intervention
29 mai 2012
-
29 mai 2012 à 10:53
SlyK Messages postés 854 Date d'inscription vendredi 11 mars 2011 Statut Contributeur sécurité Dernière intervention 6 octobre 2014 - 29 mai 2012 à 12:49
SlyK Messages postés 854 Date d'inscription vendredi 11 mars 2011 Statut Contributeur sécurité Dernière intervention 6 octobre 2014 - 29 mai 2012 à 12:49
A voir également:
- Mot de passe perdu PHP
- Mot de passe bios perdu - Guide
- Mot de passe administrateur perdu windows 10 - Guide
- Voir mot de passe wifi android - Guide
- Trousseau mot de passe iphone - Guide
- Identifiant et mot de passe - Guide
5 réponses
Templier Nocturne
Messages postés
7734
Date d'inscription
jeudi 22 janvier 2009
Statut
Membre
Dernière intervention
21 mai 2016
1 103
29 mai 2012 à 10:57
29 mai 2012 à 10:57
je problème de crypter le mot de passe, c'est qu'il est toujours possible de le décrypter.
de plus, l'envoie en clair sous entend un tas de risque de détournement
de plus, l'envoie en clair sous entend un tas de risque de détournement
highsorcerer
Messages postés
3
Date d'inscription
mercredi 2 décembre 2009
Statut
Membre
Dernière intervention
29 mai 2012
29 mai 2012 à 11:10
29 mai 2012 à 11:10
dans la base de donnée j'ai hacher le mot de passe, et j'ai aussi un champs avec le mot de passe crypté grâce à une clé. (la reponse à la question secrete est concaténé à une chaine qui est récupérer dans la bdd, puis cette chaine est elle même haché, salé et non stocker dans la base de données: la clé de cryptage).
Dans les deux cas :
- mot de passe générer aléatoirement
- mot de passe récupéré grâce a une clé de cryptage
Il est envoyer en clair a l'email en question, non?
Dans les deux cas :
- mot de passe générer aléatoirement
- mot de passe récupéré grâce a une clé de cryptage
Il est envoyer en clair a l'email en question, non?
SlyK
Messages postés
854
Date d'inscription
vendredi 11 mars 2011
Statut
Contributeur sécurité
Dernière intervention
6 octobre 2014
147
29 mai 2012 à 11:12
29 mai 2012 à 11:12
Bonjour,
A l'inscription de l'utilisateur le mot de passe doit être crypté et salé.
Par exemple, vous faites un MD5 de "email.mot de pass" puis un MD5 du MD5 précédent avec un mot rajouter etc...
Le mot de passe sera donc impossible à trouver.
Lors d'une réponse à la question secrète, il vous faut générer aléatoirement un mot de passe qui sera inscrit dans la base de donnée comme si c'était une nouvelle inscription, donc crypté et salé de la même manière).
Effectivement, il passera en clair dans l'email, mais avec des SI on peut mettre Paris en bouteille comme on dit.
Cordialement.
A l'inscription de l'utilisateur le mot de passe doit être crypté et salé.
Par exemple, vous faites un MD5 de "email.mot de pass" puis un MD5 du MD5 précédent avec un mot rajouter etc...
Le mot de passe sera donc impossible à trouver.
Lors d'une réponse à la question secrète, il vous faut générer aléatoirement un mot de passe qui sera inscrit dans la base de donnée comme si c'était une nouvelle inscription, donc crypté et salé de la même manière).
Effectivement, il passera en clair dans l'email, mais avec des SI on peut mettre Paris en bouteille comme on dit.
Cordialement.
highsorcerer
Messages postés
3
Date d'inscription
mercredi 2 décembre 2009
Statut
Membre
Dernière intervention
29 mai 2012
29 mai 2012 à 11:20
29 mai 2012 à 11:20
Merci pour vos réponse.
J'en conclu que pour un utilisateur qui a perdu son mot de passe, qu'il réponde à une question secrète ou qu'on lui renvoie tout simplement un mot de passe généré aléatoirement, cela revient au même au niveau sécurité.
J'en conclu que pour un utilisateur qui a perdu son mot de passe, qu'il réponde à une question secrète ou qu'on lui renvoie tout simplement un mot de passe généré aléatoirement, cela revient au même au niveau sécurité.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
SlyK
Messages postés
854
Date d'inscription
vendredi 11 mars 2011
Statut
Contributeur sécurité
Dernière intervention
6 octobre 2014
147
Modifié par SlyK le 29/05/2012 à 12:49
Modifié par SlyK le 29/05/2012 à 12:49
Vous pouvez très bien faire que l'utilisateur répond à la question et si la réponse est juste renvois un mot de passe aléatoire.
Je ne vois pas comment vous voulez renvoyé l'ancien mot de passe à l'utilisateur puisque qu'il doit être crypté et salé, donc illisible pour tout le monde et introuvable..
Je ne vois pas comment vous voulez renvoyé l'ancien mot de passe à l'utilisateur puisque qu'il doit être crypté et salé, donc illisible pour tout le monde et introuvable..