Discussion :

[Invité]

Salut, dans un site communautaire, que faut-il faire à propos des mots de passe des membres? faut-il les coder avant de les enregistrer dans la base de données ou bien? si oui,
1: quelle technique utiliser pour les coder?
2: s'ils sont codés par exemple avec md5, comment les retrouver au cas où l'utilisateur a perdu son mot de passe?
3: est-ce vraiment nécessaire de les coder?

J'ai besoin de vos avis chers amis... merci!

[Spoutnik]

Salut,

faut-il les coder avant de les enregistrer dans la base de données ou bien? si oui,

Il faut les coder avant de les engeristrer!

1: quelle technique utiliser pour les coder?

MD5 + sel permet de ne pas pourvoir les "decrypter" même avec une attaque par dictionnaire.

2: s'ils sont codés par exemple avec md5, comment les retrouver au cas où l'utilisateur a perdu son mot de passe?

Tu les retrouve pas ;-) Tu en donne un nouveau! Par exemple, tu lui envoie un lien avec une clef unique pour quíl arrive sur un formulaire. Sur ce formulaire, tu lui permet de changer son mot de passe. A aucun moment tu n'a eu son mot de passe à transiter par ta base de données en clair.

3: est-ce vraiment nécessaire de les coder?

Oui!
Il y a quelques mois, sony s'est fait piraté sa base de données avec des mots de passes en clair ... La plupart des gens mettent le même mot de passe sur tous leurs accès, résultat les pirates ont potentiellement accès aux boites mails et autres infos personnelles de tous les membres de la base ... parceque les MDP n'étaient pas "cryptés".

++

[Invité]

Salut Spoutnik et merci encore pour ces petites précisions...

[CervoiseMD]

Deux petites précisions.

Lorsque l'on parle de MD5, SHA1 ,etc. il s'agit de hachage cryptographique et non de codage.

Plus important, évite d'utiliser le MD5 ou le SHA1, préfère le SHA256. Si tu n'as le choix qu'entre le MD5 et le SHA1, utilise le SHA1 !