Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] Comment décrypter mon password sauvé en MD5 dans ma DB?
Bonjour à tous et a toutes,
voici mon problème, je voudrais récupérer le password que j'ai encrypter en MD5 dans ma DB et le renvoyer en clair à un user lorsque celui ci a perdu ses identifiants !
Comment puis je faire lorsque je récupère le password via ma query?
D'avance merci à tous.
Pas possible, c'est le but de md5 !
Ha merde,
Et comment pourrais je faire, car je vais pas envoyer la valeur MD5 du password ! De plus pour la sécurité c'est quand même mieux de les crypter!
Y'a pas un autre moyen d'encryption qui permet de revenir en arrière?
Car créer une table password non cryptée c'est aussi un risque de sécirutée!
hello,
fais comme tout le monde : envoye un nouveau mot de passe...
Google is watching you !
Enfin l'idéal serait d'envoyer par mail une URL contenant un "code" valable une seule fois et uniquement pendant une courte durée (2/3 heures par exemple), et permettant de fixer un nouveau mot de passe.
Ainsi, si ce n'est pas le "vrai" utilisateur qui a demandé une réinitialisation du mot de passe, celui ci ne sera pas changé.
Google is watching you !
+1 pour cette dernière solution. J'aime pas trop voir arriver dans ma boite des mails contenant "votre nouveau mot de passe est : aR56fre5"
Je rajouterais même un mécanisme de vérification supplémentaire comme le principe des questions personnelles, afin de renforcer encore l'idée qu'on a affaire à la bonne personne. Mais bon il faut aussi savoir arrêter à un certain moment la parano
Merci à tous pour vos idée,
grace à vous je vais contourner mon problème et donner un pass temporaire et il devra ensuite taper l'ancien avant de donner un nouveau...
Encore merci a tous
Oué mais si il a oublié son mot de passe, a koi sa sert de lui envoyer un mot de pass temporaire afin qu'il te redonne l'ancien, qu'il a oublié!
Salut Kioob,Envoyé par Kioob
Comment s'y prendre ( ou quel fonction ?) pour faire un code valable une seule fois ou bien de courte durée ... je suis interessé par ce concept.
Merci d'avance
Effectivement zulkifli à raison sinon.
++
ShinJava
Oui c'est vrai que zulkifli a raison, autant pour moi !
Pour le mot de passe temporaire, j'ai ma ptit idée tu mes 2 champs de type timestamp dans ta table temp_password avec un start time et l'autre end time, tu vérifie que le mot de passe généré et sauver dans cette meme table est bien dans l'interval de temps start - end !
Si oui ok il va créer un nouveau password(sans taper l'ancien qu'il a oublié, lol), sinon il refait la manoeuvre pour recevoir un nouveau,...
Moi c'est comme ça que j'imagine la chose ShinJava, mais si zulkifli a une meilleur idée moi je suis toujours près à l'entendre.
Merci à tous les deux, ciao
Yep Devil, en gros c'est ça.
Dans les grandes lignes ça donne :
1) l'utilisateur signale qu'il a perdu son mot de passe
2) dans la base de données tu ajoutes une ligne contenant 3 valeurs : l'identifiant de l'utilisateur (id, login, email ou autre) + date de péremption ( NOW() + INTERVAL 2 HOUR par exemple ) + un code alléatoire ( exemple : md5(uniqid(mt_rand(), true)) )
3) tu envois un email au gars contenant juste un lien pointant vers ton script, avec ce code alléatoire en paramètre
4) l'utilisateur clic sur le lien, tu verifies que le code en question existe bien dans la base, et n'est pas "périmé". Si ce n'est pas le cas tu l'envois bouler.
5) tu lui demande son nouveau mot de passe.
6) tu enregistre ce nouveau mot de passe, et tu efface le "code alléatoire"
+ il faut aussi prévoir une petite routine qui efface les "code alléatoire" qui n'ont jamais été utilisés.
Et pendant qu'on y est, pour enregistrer le mot de passe dans la base de données tu utilies crypt() au lieu de md5(). Mais c'est un autre débat.
Google is watching you !
Merci à toi Kioob je vais utiliser mt_rand() pour générer un code aléatoire que je garderai utilisable pendant 2h par exemple, histoire que le gars ai le temps de se connecter, on ne sais jamais.
De plus je trouve ton idée du lien très bonne !
Par contre dans le mail tu lui fournirai son ancien Login?
Ou il recréer de nouveaux identifiants(Login,Password)?
Moi je dirai qu'il vaut mieux ne pas modifier le Login, det lui renvoyer et lui faire changer uniquement de password? Je ne sais pas ce qui est mieux.
Mais bon c'est mon avis et je ne m'y connais pas trop, je débute donc j'aimerai prendre la température par rapport à ce qui se fait en général !
En tout cas un tout grand merci a toi, ciao
Sinon tu peux utiliser les fonctions de la librairie mcrypt, elles te permettront de crypter et de décrypter tes mots de passes à partir d'une clés.
Un peu d'humour : jokes.guppix.fr
Articles et actualités informatiques : Kbups.org
Articles sur le développement informatique : nicolaspied.developpez.com
merci, même si ce n'est pas vraiment de moi à l'origineDe plus je trouve ton idée du lien très bonne !
Pour générer le code alléatoire, utilises carrément : md5(uniqid(mt_rand(), true)). C'est plutot fiable.
Pour le login, il faut évidement conserver le même
Le but est que ce soit fiable mais très simple pour l'utilisateur : en gros il devrait juste avoir à cliquer sur le lien, et là sur ta page tu ne fais que demander le nouveau mot de passe. Et tu peux bien sûr lui rappeler son login des fois qu'il l'aurait aussi oublié.
nicolas.pied : le problème c'est que du coup le mot de passe est décryptable... et si un pirate a accès à ta base de données, il a surement accès à tes scripts aussi... et donc à la clé de décryptage...
A ce sujet : http://matthieu.developpez.com/authentification/
Google is watching you !
Que veux tu dire par là?
Comme dans l'explication de Mathieu que md5 donne toujours la meme valeur, comma dans l'exemple avec toto et que si le hacker présumé posède un dictionnaire md5 il pourra facilement dire que la mot de passe 15567676... est égale à toto?
Merci a toi !
Sur ce principe, si la personne à accès à la base et aux scripts, alors elle peut trouver la clef de cryptage ; mais personne ne peut également garantir qu'avec votre solution, elle ne soit pas capable de modifier un mot de passe de la base de données afin d'usurper l'identité d'un membre existant ou autre.
Accès à la base + accès au scripts = contrôle total de toute façon et pour toutes solutions.
Donc mcrypt vaut bien votre méthode je pense, c'est juste une question de choix.
Un peu d'humour : jokes.guppix.fr
Articles et actualités informatiques : Kbups.org
Articles sur le développement informatique : nicolaspied.developpez.com
Je suis d'accord. Même s'il ne passe plus inaperçu.
Coté "sécurité" pour l'application, il est vrai que cela revient au même. Ca, c'est certain.
Mais perso je me place du coté du visiteur : comme l'ont montrés certaines études (et quelques tests persos) la plupart des visiteurs utilisent les mêmes mots de passe partout (moi y compris). Ce qui veut dire que si votre site se fait hacker, même si pour le site ce n'est pas forcément "grave" ça peut devenir très problématique pour l'internaute.
Il me semble d'ailleurs avoir entendu parler d'un site qui avait reçu une plainte de ce genre : un internaute avait porter plainte comme quoi il s'était fait "pirrater son mot de passe" à cause du site en question.
Enfin bref, s'il s'agissait d'une information que l'on a besoin de récupèrer (carte bleue par exemple) je dis pas. Mais dans le cas d'un mot de passe, il existe des méthodes permettant de ne pas avoir à le conserver, donc autant le faire.
Oui, la méthode MD5 étant la plus répendue, je suis sûr qu'il y a moyen de trouver des dictionnaires de mot de passe "pré-calculés".
Tandis qu'en utilisant un grain de sel, c'est impossible à faire.
De plus, crypt() est une fonction standard sous Unix. Beaucoup de logiciels l'utilisent pour le stockage des mots de passe (les comptes utilisateurs sous linux par exemple). Autre avantage : le "salt" de crypt contient également le "code" de l'algorythme. Ce qui veut dire que si crypt() gère plus tard le SHA1, il n'y aura sûrement qu'un seul caractère à changer dans tes scritps pour en tenir compte... et les mots de passe déjà cryptés dans la base de données resteront valides...
Google is watching you !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager