Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Sécuriser les mots de passes dans une BDD
Bonjour,
Je dispose d'un site avec un espace dédié aux membres inscrits.
Je sécurise cet espace par un formulaire qui vérifie l'id et le mot de passe de l'utilisateur dans une base de données.
Ma question est la suivante :
Faut-il qu'à chaque connection de mes membres, le mot de passe stocké et hashé dans ma BDD change par un nouveau hash ?
Est ce que c'est utile ?
Merci !
Cordialement, Guiguir68.
Un hash par définition ne change pas tant que le mot de passe (et le salt associé) ne change pas. Je ne vois donc pas comment tu peux changer ce hash. Dans tous les cas, c'est inutile.
Tu utilises bien password_hash pour hasher le mot de passe, et password_verify pour le vérifier?
J'avais pensé à cette procédure :
- Un membre se connecte
- Après qu'il soit connecté, le mot de passe qu'il vient d'entrer est hashé
- Ce nouveau hash est ensuite enregistré par dessus le précédant dans la BDD
Cela permet de ne pas garder longtemps le hash "d'origine" dans la BDD, et de le rendre "dynamique".
Oui j'utilise bien password_hash et password_verify.
Quel serait l'interêt ?
Si un pirate obtient le mot de passe de l'utilisateur, ça ne change rien que tu changes le hash ou non.
C'est complètement inutile si tu cryptes tes mots de passe avec bcrypt et que tu utilises la fonction password_verify.
Un message utile vous a aidé ? N'oubliez pas le
www.simplifions.fr - Simplifier vos comptes entre amis !
La seule mesure de sécurité efficace en complément de l'utilisation de password_hash + password_verify serait de changer régulièrement de mot de passe. Mais à part ça le changement de hash pour un même mot de passe n'a aucun intérêt comme déjà dit : ça ne représente pas plus de difficulté en cas de piratage de ta bdd puisque le pirate va tenter de retrouver le mot de passe par force brute, et non pas le hash du mot de passe.
En complément de la remarque d'Abciweb : Tu peux éventuellement forcer tes utilisateurs à changer de mot de passe régulièrement en ajoutant une date d'expiration du mot de passe. Il suffit ensuite de vérifier cette date à la connexion et les rediriger vers une interface de changement de mot de passe si cette date est dépassée.
Modératrice PHP
Aucun navigateur ne propose d'extension boule-de-cristal : postez votre code et vos messages d'erreurs. (Rappel : "ça ne marche pas" n'est pas un message d'erreur)
Cherchez un peu avant poser votre question : Cours et Tutoriels PHP - FAQ PHP - PDO une soupe et au lit !.
Affichez votre code en couleurs : [CODE=php][/CODE] (bouton # de l'éditeur) et [C=php][/C]
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager