Mot de passe perdu PHP
highsorcerer
Messages postés
3
Statut
Membre
-
SlyK Messages postés 1060 Statut Contributeur sécurité -
SlyK Messages postés 1060 Statut Contributeur sécurité -
Bonjour,
En parcourant différent forum, j'ai remarquer que la méthode de récupération des mot de passe avec question secrète est soit disant devenu obsolète. Je me demande bien pourquoi?
En effet, si on considère que l'on crypte le mot de passe php, quelque soit la méthode de cryptage, grâce a une clé (la clé étant la réponse à la question secrète). Puis que lorsqu'un utilisateurs à perdu son mot de passe, on lui demande de répondre à sa question secrète, on décrypte donc le mot de passe et on lui envoie sur son email.
Quel est la différence de sécurité avec un mot de passe généré aléatoirement puis envoyer sur l'email de l'utilisateur?
Dans les deux cas, le mot de passe est envoyer sur l'adresse email de l'utilisateur, donc même si un pirate connais la réponse à la question secrète, il faudrait aussi qu'il ai accès à l'email de l'utilisateur pour récupérer le mot de passe. Mais si il a accès à l'email de l'utilisateur, il peux aussi récupérer le mot de passe généré aléatoirement, non?
Merci de vos réponse...
En parcourant différent forum, j'ai remarquer que la méthode de récupération des mot de passe avec question secrète est soit disant devenu obsolète. Je me demande bien pourquoi?
En effet, si on considère que l'on crypte le mot de passe php, quelque soit la méthode de cryptage, grâce a une clé (la clé étant la réponse à la question secrète). Puis que lorsqu'un utilisateurs à perdu son mot de passe, on lui demande de répondre à sa question secrète, on décrypte donc le mot de passe et on lui envoie sur son email.
Quel est la différence de sécurité avec un mot de passe généré aléatoirement puis envoyer sur l'email de l'utilisateur?
Dans les deux cas, le mot de passe est envoyer sur l'adresse email de l'utilisateur, donc même si un pirate connais la réponse à la question secrète, il faudrait aussi qu'il ai accès à l'email de l'utilisateur pour récupérer le mot de passe. Mais si il a accès à l'email de l'utilisateur, il peux aussi récupérer le mot de passe généré aléatoirement, non?
Merci de vos réponse...
A voir également:
- Mot de passe perdu PHP
- Mot de passe bios perdu - Guide
- Trousseau mot de passe iphone - Guide
- Mot de passe - Guide
- Mot de passe administrateur perdu windows 10 - Guide
- Voir mot de passe wifi android - Guide
5 réponses
je problème de crypter le mot de passe, c'est qu'il est toujours possible de le décrypter.
de plus, l'envoie en clair sous entend un tas de risque de détournement
de plus, l'envoie en clair sous entend un tas de risque de détournement
dans la base de donnée j'ai hacher le mot de passe, et j'ai aussi un champs avec le mot de passe crypté grâce à une clé. (la reponse à la question secrete est concaténé à une chaine qui est récupérer dans la bdd, puis cette chaine est elle même haché, salé et non stocker dans la base de données: la clé de cryptage).
Dans les deux cas :
- mot de passe générer aléatoirement
- mot de passe récupéré grâce a une clé de cryptage
Il est envoyer en clair a l'email en question, non?
Dans les deux cas :
- mot de passe générer aléatoirement
- mot de passe récupéré grâce a une clé de cryptage
Il est envoyer en clair a l'email en question, non?
Bonjour,
A l'inscription de l'utilisateur le mot de passe doit être crypté et salé.
Par exemple, vous faites un MD5 de "email.mot de pass" puis un MD5 du MD5 précédent avec un mot rajouter etc...
Le mot de passe sera donc impossible à trouver.
Lors d'une réponse à la question secrète, il vous faut générer aléatoirement un mot de passe qui sera inscrit dans la base de donnée comme si c'était une nouvelle inscription, donc crypté et salé de la même manière).
Effectivement, il passera en clair dans l'email, mais avec des SI on peut mettre Paris en bouteille comme on dit.
Cordialement.
A l'inscription de l'utilisateur le mot de passe doit être crypté et salé.
Par exemple, vous faites un MD5 de "email.mot de pass" puis un MD5 du MD5 précédent avec un mot rajouter etc...
Le mot de passe sera donc impossible à trouver.
Lors d'une réponse à la question secrète, il vous faut générer aléatoirement un mot de passe qui sera inscrit dans la base de donnée comme si c'était une nouvelle inscription, donc crypté et salé de la même manière).
Effectivement, il passera en clair dans l'email, mais avec des SI on peut mettre Paris en bouteille comme on dit.
Cordialement.
Merci pour vos réponse.
J'en conclu que pour un utilisateur qui a perdu son mot de passe, qu'il réponde à une question secrète ou qu'on lui renvoie tout simplement un mot de passe généré aléatoirement, cela revient au même au niveau sécurité.
J'en conclu que pour un utilisateur qui a perdu son mot de passe, qu'il réponde à une question secrète ou qu'on lui renvoie tout simplement un mot de passe généré aléatoirement, cela revient au même au niveau sécurité.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Vous pouvez très bien faire que l'utilisateur répond à la question et si la réponse est juste renvois un mot de passe aléatoire.
Je ne vois pas comment vous voulez renvoyé l'ancien mot de passe à l'utilisateur puisque qu'il doit être crypté et salé, donc illisible pour tout le monde et introuvable..
Je ne vois pas comment vous voulez renvoyé l'ancien mot de passe à l'utilisateur puisque qu'il doit être crypté et salé, donc illisible pour tout le monde et introuvable..
