[Sécurité] Inscription : mot de passe auto ou libre avec masque ?

[psychoBob]

Bonjour,

Je réalise une zone membre pour mon site, c'est la première fois que je m'occupe de ça.
Pour la zone de mot de passe, je retiens deux options :
- j'envoie un mot de passe généré automatiquement : auquel cas comment faire ?
- Je laisse l'utilisateur choisir son mot de passe, mais en forçant un masque. Par exemple le mot de passe doit forcément compter 6 lettres, plus 2 majuscules et deux chiffres.

Quelle solution préférez-vous ? (NB je m'en fiche du coup de celui qui note son mot de passe sur un bout de papier, la question porte sur le plan technique et celui du piratage)


Merci d'avance pour vos réponses (si vous avez une solution privilégiée autre que celles-ci, allez-y).

[tilou]

Bein tu laisses l'utilisateur choisir son mot de passe avec des conditions (6 chiffres, 3 lettres majuscules, etc..) et lor de l'insertion de la base de données tu cryptes le mot de passe...

[psychoBob]

Ok

Mais n'est ce pas un peu cadeau pour le pirate de lui donner à l'avance le masque des mots de passe utilisés sur le site ?

[FCYPBA]

Cela laisse encore beacoup de possibilitées,
les conditions ne sont que des conditions minimales

[psychoBob]

C'est un peu philosophique ça.

En fait les forums, y compris developpez, et en général tous les sites, n'imposent aucun masque.

Est-ce donc utilie ? Peut être simplement forcer un mot de passe de n caractères avec controle sur IP pour limiter le nombre de tentative d'inscription et les brutes forces.

Qu'en pensez vous ?

[Bebel]

Juste un truc sympa, sans rien forcer a part la longueur peut etre
c'est d'afficher une image en fonction de la difficulté du mot de passe, un peu comme sur le site de lycos et plus précisément la partie jeu. Cela n'oblige a rien pour les utilisateurs, mais je trouve que c'est un plus agréable.

[psychoBob]

Hotmail fait un truc pareil aussi.

L'idée est bonne certe, mais je ne maitrise pas javascript.


Le coup des lettres aléatoires à recopier avant de valider vous trouvez ça utile ? J'ai déjà un controle sur IP pour éviter les inscriptions automatique répétées et en plus il faut valider un email.

Autre question : pour le pseudo, je n'ai prévu aucune contrainte (si ce n'est une vérification des mots grossiers et n caractères. Il peut y avoir des espaces, des accents etc... vous y voyez un problème technique ? Parce que peu de sites font cela.

[Bebel]

Si ton controle est suffisant, dans ce cas le coup de l'image dynamique n'est pas nécessaire, et c'est un plus pour un vrai utilisateur.
Mais le controle d'ip peut etre genant aussi si plusieurs s'inscrivent depuis le meme reseau par exemple.

[psychoBob]

Est-ce que j'autorise les caractères spéciaux pour le mot de passe ? En forçant simplement pour qu'il y ait au moins 8 caractères ?

[dragonfly]

Salut

Je serais toi je n'autoriserais pas tout les caractéres car un pirate peur rentrer une commande SQL a la place du mot de passe et s'introduire facilement sur ton site.
Pour éviter ca, il faut utiliser des fonctions PHP pour encoder le mot de passe ou pour annuler les balises de code SQL (voir tutorial).

Sinon pour éviter les programmes de recherche automatique, tu peut mettre une variable de session qui compte le nombre d'erreur d'un utilisateur, et interdire la saisie (ou autre...) au bout d'un certain nombre d'erreur (je fais cela pour mon site).

Voila, j'éspére d'être utile

[psychoBob]

Oui merci pour ta réponse.

En fait je filtré déjà les caractères speciaux par htmlspecialchars et puis aussi par mysl_real_escape_string.

Qu'est ce que tu appelles un programme de recherche automatique ?

[MicroAlexx]

Bonjour,

juste une chose, et une question aussi d'ailleur, ne pas limiter la taille maxi
je voit trop de site/soft/autre avec une taille maxi de 8, alors que mon mot de pass courant fait 9 ... c'est carement chiant.

Non a mon avis le plus simple c'est de pas mettre de contraite, mais de préciser a l'utilisateur les avantages de compliquer sont pass.

ensuite pour le stockage du pass, évidemment crypter, alors la aussi plusieur facon
un MD5 (php ou sql), 2 MD5 de suite, un SHA-1, SHA-256... un mix de tout..

Pour les caracteres spéciaux... pas de contrainte.

le controle pour la SQL injection doit ce faire a la requete, pas a la saisie

voici une fonction simple pour gérer ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
function smart_quote($value) {
   // Stripslashes
   if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }; 
   // a ce point on a la chaine original
 
   // Protection si ce n'est pas un numeric
   if (!is_numeric($value)) {
     $value = "'" . mysql_real_escape_string($value) . "'";
   };
   // et ici une chaine avec les ' ' sinon un nombre
 
   return $value;
};

votre requete l'utilise comme cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$r_sql_user = 'SELECT `user_username` FROM `'.$sql_prefix.'user` WHERE `user_id`='.smart_quote($user_id);

plus besoin de faire des série de stripslash, addslash et de mettre des ' ' ou pas autour des champs, tout est auto et prend en compte magic_quote.

note en passant: on peut faire des requetes lisible avec des ' au lieu des " now, vu qu'il y en a plus dans la requete elle-meme

[MicroAlexx]

j'ai oublié pour les pseudos

pas de contrainte :
1. c'est plus sympa je trouve pour le visiteur 'kikoolol'
2. ca évite de gérer un truc de plus :p
3. la fct ci-dessus le gere !

PS: les caractères HTMl interdit sont géré a l 'affichage ou a l'enregistrement, mais pas interdit