[PHP 5.3] Hash de mots de passes et la fonction "Mot de passe perdu" [Résolu]

chok371 · 28/09/2011, 00h59

Bonjour,

J'ai lu ce tutoriel : http://guillaume-affringue.developpe...rement/?page=3

On y apprend comment crypter un mot de passe notamment avec la technique du grain de sel.
C'est bien mais comment aider un utilisateur qui perd son mot de passe ? Vous savez la fonction "Mot de passe perdue" qu'on retrouve dans beaucoup de sites / forums.
Est ce qu'il est possible de lui généré une version décryptée de son mot de passe sans que cela porte atteinte à la sécurité ?

Merci.

Seb33300 · 28/09/2011, 01h39

En général, La fonction "Mot de passe perdu" ne se contente que de générer un nouveau mot de passe et l'envoyer par mail.

Si on décrypte le mot de passe, une personne tierce aillant réussie à avoir accès au compte mail de la personne à qui appartient le compte pourrait récupérer le véritable mot de passe via le décryptage.

Mot de passe qui est susceptible d’être réutilisé ailleurs.

greg91 · 28/09/2011, 16h28

Hello,

Citation:

Est ce qu'il est possible de lui généré une version décryptée de son mot de passe sans que cela porte atteinte à la sécurité ?

Non impossible

Comme le dis Seb33300 le seul moyen est de remplacer le mot de passe.

Exemple de processus :

Formulaire demandant l'adresse mail du compte
Si le mail existe en BDD tu génère un password et une chaîne de validation (longue) aléatoire
tu met dans la DB ce mot de passe (Sans remplacer l'actuel) et la chaîne aléatoire
Envoi d'un mail avec le nouveau mot de passe et un lien de confirmation. Dans ce lien il y a la longue chaîne de validation en paramètre.
Quand l’utilisateur clique sur le lien, tu remplace le mot de passe par celui généré aléatoirement.

chok371 · 28/09/2011, 16h49

Merci pour ces bonnes idées.

28/09/2011, 00h59	#1
chok371 Nouveau Membre du Club Inscription : mars 2010 Messages : 82 Détails du profil Informations forums : Inscription : mars 2010 Messages : 82 Points : 27 Points : 27	Hash de mots de passes et la fonction "Mot de passe perdu" Bonjour, J'ai lu ce tutoriel : http://guillaume-affringue.developpe...rement/?page=3 On y apprend comment crypter un mot de passe notamment avec la technique du grain de sel. C'est bien mais comment aider un utilisateur qui perd son mot de passe ? Vous savez la fonction "Mot de passe perdue" qu'on retrouve dans beaucoup de sites / forums. Est ce qu'il est possible de lui généré une version décryptée de son mot de passe sans que cela porte atteinte à la sécurité ? Merci.
	00

28/09/2011, 01h39	#2
Seb33300 Membre Expert Sébastien Alfaiate Développeur Web Inscription : janvier 2007 Messages : 1 329 Détails du profil Informations personnelles : Nom : Sébastien Alfaiate Âge : 26 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : janvier 2007 Messages : 1 329 Points : 1 657 Points : 1 657	En général, La fonction "Mot de passe perdu" ne se contente que de générer un nouveau mot de passe et l'envoyer par mail. Si on décrypte le mot de passe, une personne tierce aillant réussie à avoir accès au compte mail de la personne à qui appartient le compte pourrait récupérer le véritable mot de passe via le décryptage. Mot de passe qui est susceptible d’être réutilisé ailleurs. __________________ Zend Certified Engineer PHP 5.3 « Crois-tu comprendre le monde juste en matant le 20H Ou connaître l'histoire en ayant lu que l'angle des vainqueurs ? » Keny Arkana
	00

28/09/2011, 16h49	#4
chok371 Nouveau Membre du Club Inscription : mars 2010 Messages : 82 Détails du profil Informations forums : Inscription : mars 2010 Messages : 82 Points : 27 Points : 27	Merci pour ces bonnes idées.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email