Pas de nom d'utilisateur/pas de mot de passe

Fermé
Coopain - 4 août 2008 à 21:38
 Coopain - 5 août 2008 à 14:33
Bonjour,

L'entreprise pour laquelle je travaille a, sur son ancien site web, un programme qui a été conçu il y a 5 ou 6 an par un programmeur. Ce programme est un outil de diagnostic d,entreprise en ligne. Les usagers se connectent en utilisant nom d'usager et mot de passe. Le problème est que la personne qui ont travaillé sur le programme n'ont plus les mots de passe et noms d'usager. D'après moi, ils Comble de malchance les quelques utilisateur qui en avait obtenu les ont tous perdu. La personne qui vient de concevoir notre nouveau site web a obtenu de notre héberge la base de donnée mais il n'a pas réussi à faire fonctionner l'outil car il a besoin des mots de passe. Il me dit que seul la personne qui l'a programmé peut les trouver. Est-ce exacte? J'aimerais bien tester l'outil en ligne avant d'en recommencer un nouveau à zéro.

Merci beaucoup!
A voir également:

2 réponses

Marco la baraque Messages postés 996 Date d'inscription vendredi 9 mai 2008 Statut Contributeur Dernière intervention 5 novembre 2009 329
4 août 2008 à 23:26
Bonsoir,
En fait, tout dépend de comment l'ancien webmaster avait stocké les mots de passe en base. S'il les a stocké directement (faut pas rêver), c'est dégueulasse et tu peux les retrouver en faisant un simple select sur la table.
En général, et dans le meilleur des cas, au niveau sécurité bien sûr, le mot de passe est généré en utilisant un algorithme de hachage (SHA ou MD5 par exemple). Ca signifie que le webmaster génère un mot de passe (toto51%* par exemple), le passe à la fonction de hachage (cette fonction est toujours la même), et récupère un code en hexadécimal qu'il stocke en base. Lors d'une connexion, l'utilisateur tape son mot de passe, le serveur applique la fonction de hachage et compare le résultat obtenu avec la valeur en base (si les mots en héxa concordent, alors le mot de passe entré est bon).

Si tu as suivi le raisonnement, tu comprendras que le webmaster ne connait pas les mots de passes (ils sont générés aléatoirement et seul le résultat du hachage est stocké).
Ces algorithmes sont ce qui se fait de mieux actuellement (on a trouvé une faille sur le MD5 a récemment, mais il est encore très utilisé), et il est impossible de les craquer si les mots de passe sont générés aléatoirement.

Si les mots de passe sont des mots du dictionnaire, c'est facile de les craquer (ont peut calculer le mot héxa facilement). On peut utiliser des rainbow tables aussi.
Cependant, si le webmaster s'est renseigné un minimum avant de concevoir son système de gestion de mots de passe, alors il aura utilisé un salt (grossièrement, ça te permet de ne pas pouvoir être craqué par des rainbow tables), et là c'est mort pour toi (je te conseille de lire un article publié par sebsauvage sur le sujet sur ccm d'ailleurs).

Bref, si tu as les sources, le mieux est de regarder comment il gérait ça afin de t'adapter (générer des nouveaux mots de passes en utilisant sa méthode), sinon, il faut que tu crées un nouveau système.

Bon courage.
1
Merci beaucoup Marco pour les infos,

Malheureusement, je ne crois pas qu'il les ai stockés directement dans la base, sinon, le gars qui programme notre site web l'aurais trouvé. Il a passé 5 heure à les chercher. L'outil est toujours en ligne et on voulait voir de quoi il avait l'air avant soit de le remettre en fonction en l'updatant un peu ou, si on sort le porte feuille (on est une coop avec pas beaucoup de moyen:-( ) et on le recommence à zéro. Cet outil est le fruit de beaucoup de recherche et de travail. Je vais transmettre ta réponse au gars qui s'occupe de ça et je redonne des nouvelles.

Merci beaucoup,

Coopain
0