[Sécurité] Gestion d'espace membre [Fait]

[pas30]

Bonjour,

Je gère pour mon site des membres qui par conséquent s'inscrive sur mon site avec un pseudo et un mot de passe. Chaque pseudo est définit comme clé unique.J'ai vu sur pas mal de site que les membres sont identifiés par un numéro un id unique. L'inconvénient de ma solution c'est que si on a parrainé quelqu'un on voit son pseudo et donc il ne manque plus que le mot de passe pour pirater son compte.
Quel est la solution la plus sure à votre avis pour identifier un membre et pour ne pas donner d'informations sur son compte tels que le pseudo.

[efficks]

un troisième pseudo!!!
A quoi bon garder secret le pseudo.
De toute façon, si quelqu'un met la main sur les mots de passes, il aura presque nécessairement accès aux pseudo. Il y a juste une donnée secrète, c'est le mot de passe, le reste peut devenir public!!!
De plus, encrypte le mot de passe dans la base de données pour plus de sécurité. Je conseille l'utilisation de MD5 avec concaténation avec le pseudo.

[pas30]

j'ai utilisé la classe rc4 pour crypter le mot de passe.

[Tonio 76]

Sinon tu génère un identifiant unique en plus pour chaque utilisateur lors de l'inscription :
Pour cela, il y a la fonction uniqid

[paterson]

Moi , pour protéger les personnes , ils ont droit a 5 essai avec le mot de passe , si le mot de passe est faut 5 fois de suite , le login est bloquer , il faut le revalider ... ( via mail)

Si une personne pirate son addresse email , il fait se qui veux avec son compte ...

Et j'ai en plus la possibilité de modifier le psodo visible (dans le jeu) et le psodo de connection

[mathieu]

un article existe déjà en ce qui concerne les espaces membre
http://matthieu.developpez.com/authentification/

[pas30]

C'est bien beau md5 mais comment on récupère le mot de passe pour lui renvoyer au cas il l'aurait oublier ???

[efficks]

Tu ne lui envoie jamais de mot de passe par email au cas où plus d'une personne aurait accès aux courriers. Ce que tu fais c'est générer un nouveau mot de passe et tu lui envoie celui-ci par email que tu oblige de changer au prochain login. De cette manière, si quelqu'un a demander un mot de passe à sa place il sera au courant et pourra en demander un nouveau encore une fois.
De plus, de cette manière, impossible pour quelqu'un qui a accès à la BD et au code d'encryption et de décryption de décoder les mots de passe, comme les administrateurs.

[Link3]

Citation:

Envoyé par efficks

Tu ne lui envoie jamais de mot de passe par email au cas où plus d'une personne aurait accès aux courriers

Salut, j'aimerais essayer de comprendre cette phrase. Tu dis qu'au cas où il y aurait d'autres personnes qui puissent accéder à la messagerie il vaut mieux ne pas envoyer le mot de passe. Je suis d'accord sur le fait de hasher mes mots de passe (c'est ce que je fais) mais dans tous les cas lorsqu'il redemandera un nouveau mot de passe, il faudra lui envoyer un lien qui permettra justement de regénérer un mot de passe qui lui sera envoyé par mail. Alors si quelqu'un a accès à ses mails il pourra dans tous les cas se balader sur son compte, la seule chose que cela peut protéger c'est de garder confidentiel son mot de passe original.

[efficks]

L'avantage est que le membre sera au courant que son mot de passe a changé puisqu'il ne pourra plus accéder à son compte puisque son mot de passe n'est plus le même. Donc il le changera à nouveau. Plutôt que de garder le même mot de passe qui permettrait à d'autre d'utiliser le compte sans que le membre soit au courrant.

[Link3]

oui ca ok je suis d'accord avec toi, mais dans le cas ou plusieurs personnes peuvent accéder à sa messagerie comme tu l'as indiqué, à part le fait de garder confidentiel le mot de passe original ca ne change pas grand chose, l'autre personne qui pourra lire ses mails pourra aussi très bien changer le mot de passe lui meme

[efficks]

Ben oui et tant pis pour l'utilisateur. Faut pas être plus catholique que le pape parce que y,a des utilisateurs qui font pas attention à leurs données!!!