Discussion :

[mld_webcom2d]

Bonjour,
Je cherche un algorithme de chiffrement de mot de passe reversible pour stocker des mots de passe dans une base de donnée.
J'ai essayé AES et DES, le problème est qu'ils renvoient des valeurs trop longue, pas facile à entrer pour l'utilisateur.
Quelqu'un a-t-il une solution ?
Merci

[Er3van]

[...] le problème est qu'ils renvoient des valeurs trop longue, pas facile à entrer pour l'utilisateur.

A entrer par l'utilisateur ?

[nah666]

Pourquoi reversible, quel est ton besoin ?

Et pourquoi l'utilisateur devrait il rentrer les valeurs cryptées ?

[tomlev]

Je ne comprends pas trop le problème... l'utilisateur n'est jamais supposé manipuler le mot de passe chiffré !

Qu'est-ce que tu cherches à faire au juste ?

[mld_webcom2d]

Autant pour moi l'utilisateur n'a bien entendu pas a manipuler les données chiffrées. J'étais surement (très) mal réveillé !

[Er3van]

Du coup quel est ton besoin ? Et qu'est-ce qui t'empêche d'utiliser AES ou DES3 ?

[mld_webcom2d]

En fait, mon besoin est de pouvoir générer un mot de passe par exemple en fonction du login de l'utilisateur pour de le stocker dans la bdd crypté en md5 tout en ayant la possibilité de recalculer le mot de passe pour le renvoyer à l'utilisateur par email ou sms. L'AES me permettait de générer un mot de passe en fonction d'une chaine de caractère, mais la chaîne générée est trop longue.


En gros je cherche un algo qui me permettrait d'encoder et de décoder une chaine de caractère et que la chaîne encodée ne soit pas trop longue...

[Er3van]

Juste pour être sûr... c'est pour utiliser avec quel type d'application derrière ? Et quelle base de données ?

Y a quelque chose de natif sur SQLServer avec le framework .Net qui fonctionne très bien pour faire ça.

La chaîne générée est trop longue par rapport à quoi ?
Forcément si c'est crypté c'est plus volumineux...

[nah666]

Non c'est pas comme ca qu'on fait.

Ton système ne doit pas être capable de retrouver le mot de passe de ton utilisateur.

Pour la fonction 'mot de passe perdu', tu génère un lien unique pour saisir un nouveau mot de passe ou alors tu modifie le mot de passe avec un 'random' et tu envoie ceci par mail a ton utilisateur, en lui demandant de le changer à la première connexion.

[mld_webcom2d]

C'est pour une base de donnée mysql pour le développement d'un webservice en c#. En fait, lorsqu'un utilisateur créé un contact il entre son adresse email ou son numéro de portable et là un webservice génère le mot de passe. Puis quand l'utilisateur envoie un message au contact créé le contact reçoit soit par mail soit par sms une invitation à se connecter au site web contenant le login et mot de passe.
Sachant que le mot de passe créé est crypté en md5, il me faut un moyen pour le retrouver et l'envoyer au contact.

J'espère avoir été clair.
Merci pour ton aide.

[tomlev]

En fait je vois pas le rapport entre le fait de chiffrer le mot de passe pour le stockage en BDD, et le fait de générer un nouveau mot de passe. J'ai l'impression que tu mélanges deux idées qui n'ont pas de lien entre elles...

Pour le chiffrement, utilise les classes Aes ou DES.

Pour générer un mot de passe, tu peux faire quelque chose comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
static readonly Random _random = new Random();
static string GeneratePassword(int length)
{
    const string passwordChars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789";
    char[] chars = new char[length];
    for (int i = 0; i < length; i++)
    {
        chars[i] = passwordChars[_random.Next(0, passwordChars.Length)];
    }
    return new string(chars);
}

Ca n'a absolument rien à voir avec le chiffrement...

Plus précisément : quand tu génères un nouveau mot de passe pour l'utilisateur, tu lui envoies par mail en clair. C'est seulement dans la base de données que le mot de passe doit être chiffré

[nah666]

Pourquoi tu n'envoie pas le mot de passe généré, avant de le crypter ?

C'est beaucoup + simple, fiable et pertinent.

[mld_webcom2d]

En fait je suis les specs et en plus mon chef de projet est en vacances...

Donc j'ai 2 webservices :
- un pour la création d'un contact, lorsque l'on créé un contact, soit via un site web soit via une application android ce contact devient un utilisateur et un mot de passe est généré mais aucun mail ni sms n'est envoyé pour l'instant.
- un deuxième webservice est utilisé lorsque l'on envoie un message au contact, et ce contact doit recevoir un mail ou un sms avec son login et son mot de passe.

De plus, le mot de passe doit être enregistré en md5 dans la base de donnée, donc je doit implémenter une méthode permettant de retrouver le mot de passe indépendamment de ce qui se trouve dans la bdd, par exemple en générant le mot de passe a partir du login et de l'heure de création + un salt avec un algo qui soit reversible pour renvoyer le mdp via le webservice n°2

[brachior]

Bonjour,
Que ce passe t'il entre le 1er et le 2ème WebService ?
Je veux dire, une fois l'utilisateur créé dans le 1er WebService,
Qui appelle le 2ème ? L'utilisateur ? Le 1er WebService ?

Si tu veux absolument coder une backdoor dans ton projet
Et mettre en péril sa sécurité et celle de tes utilisateurs,
Ça ne tient qu'à toi ^^ (Il sera content ton chef ^^)
Mais tout le monde ici te déconseillera de le faire

La méthode de nah666 est de loin la meilleure (à mon gout ),

Si tu souhaites absolument jouer avec le cryptage/décryptage ...
Il te faut des algo reversibles tel que César, Vigenère ou mieux ... RSA ...

[mld_webcom2d]

En fait un utilisateur peut créer un contact (appel du 1er webservice). Ce même utilisateur envoie un message à son contact et là le 2eme webservice est appelé, et le contact reçoit un mail ou sms indiquant qu'il a reçu un message et que son compte à été créé.
Dans l'idée du chef de projet, on reçoit une alerte sms ou mail losque l'on reçoit un message, pas lorsque notre compte est créé. D'où la necessité de pouvoir retrouver le mdp entre les 2 appels de webservice (soit entre la création du mot de passe et l'envoi du mot de passe).

je rajoute qu'une fois que le contact se connecte on lui demande de changer son mot de passe donc la "backdoor" est courte durée. Mais si quelqu'un à une autre solution...

[brachior]

Donc tant que l'utilisateur n'a pas envoyé de message à son nouveau contact,
Ce dernier ne sait pas qu'il a un compte ?
Donc pourquoi créer son mot de passe avant ce premier envoi ?

Tu pourrais envisager de créer le mot de passe à l'envoi du message,
Donc via le 2ème webservice, tu le sauvegardes et l'envoies ...

Mais donc, un utilisateur créé des comptes pour d'autres personnes ?
En utilisant leur adresse mail et leur numéro de portable ?
C'est légal ça ? Oo
Tu leur crée un compte FesseBouc en prime ?

Qui plus est, si deux personnes ont un même contact,
Il faut pas que t'en créé 2 ...

[Er3van]

Mais donc, un utilisateur créé des comptes pour d'autres personnes ?
En utilisant leur adresse mail et leur numéro de portable ?
C'est légal ça ? Oo

Tu peux très bien faire créer un compte dans ton application pour un client par une équipe de support par exemple..

[mld_webcom2d]

Mais donc, un utilisateur créé des comptes pour d'autres personnes ?

Oui, je ne pense pas que cela soit illégal et c'est une application plus à but professionnel donc je ne pense pas que les gens en abusent. En fait, le compte n'est pas vraiment créé, mais "précréé". Libre au contact de devenir utilisateur ou non, mais s'il veut pouvoir lire ses messages il doit le devenir.
Et non, on ne créé pas de compte facebook.

Sinon, j'ai pensé à une solution technique :
- un mot de passe aléatoire est généré par le webservice 1 et crypté en AES puis stocké tel quel dans la base
- AES étant reversible on peut récupérer le mot de passe pour l'envoyer lors de la reception d'un message
- lorsque l'utilisateur change son mot de passe à la connection, celui-ci
est crypté en md5 pour plus de sécurité.
Cette solution vous parait-elle plus fiable et sécurisée ?

[brachior]

Tu peux très bien faire créer un compte dans ton application pour un client par une équipe de support par exemple..

Avec l'accord du client ... Faut pas abuser ...
Sinon là je monte un site de pub
Et je récupère toutes les adresses que je peux via Google
Et c'est parti pour le spam ...

Enfin bon, je sais que des sociétés le font,
Mais je trouve que ça va vraiment à l'encontre des libertés sur internet.
Ça m'écœure toujours ces trucs là ...

A part ça ...

Et non, on ne créé pas de compte facebook.

C'était ironique ^^
Je l'espère bien ^^

Sinon, j'ai pensé à une solution technique :
- un mot de passe aléatoire est généré par le webservice 1 et crypté en AES puis stocké tel quel dans la base
- AES étant reversible on peut récupérer le mot de passe pour l'envoyer lors de la reception d'un message
- lorsque l'utilisateur change son mot de passe à la connection, celui-ci
est crypté en md5 pour plus de sécurité.
Cette solution vous parait-elle plus fiable et sécurisée ?

Je ne comprend toujours pas l'intérêt de mettre un mot de passe réversible pour protéger des données que personnes ne peut accéder ...
(car comme tu le dis, il faut avoir un compte, donc un mot de passe)

Tu pourrais utiliser un mot de passe commun pour tous les comptes en attente d'activation ...

[mld_webcom2d]

Tu pourrais utiliser un mot de passe commun pour tous les comptes en attente d'activation ...

Tu me parlais de backdoor, mais là ça me semble vraiment pas sécurisé !

Je ne comprend toujours pas l'intérêt de mettre un mot de passe réversible pour protéger des données que personnes ne peut accéder ...
(car comme tu le dis, il faut avoir un compte, donc un mot de passe)

Lors de la première connexion, le contact doit entrer son mdp reçu par mail, ensuite il modifie son mdp sans autre vérification. Donc il suffit qu'il ait le mdp envoyé par mail pour lire ses données.