IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Comment font les sites pour renvoyer mdp par mail ?


Sujet :

Langage PHP

  1. #1
    Membre expérimenté
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2008
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2008
    Messages : 1 051
    Points : 1 638
    Points
    1 638
    Par défaut Comment font les sites pour renvoyer mdp par mail ?
    Bonjour,

    Je me pose une question.

    Je suis en train de développer un site web amateur avec la gestion de membre. Je suis en train d'implémenter la fonction "changer le mot de passe". Mais sur beaucoup de site, il y a une fonction "mot de passe perdu".

    Certaine de ces fonctions renouvellent tout simplement le mot de passe de l'utilisateur et le renvoie par mail => OK

    Mais d'autres sites arrivent à renvoyer le mot de passe en clair Une fois que le mot de passe est passé en md5(), il n'est pas censer être indécryptable ? Ils utilisent peut-être pas PHP mais le md5() est universel j'imagine.

    Ce ne sont pas que des petits sites amateurs (jeuxvideo.com sans le citer ) qui font ca (au cas où le mot de passe pourrait être en clair dans la BDD ...).

    Vous sauriez m'éclairer ? Ou des débuts de réponse ?

    Merci d'avance.
    Règle N° 1 : Si tout va bien, ne touchez à rien.

  2. #2
    Expert éminent sénior

    Profil pro
    Inscrit en
    Septembre 2010
    Messages
    7 920
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2010
    Messages : 7 920
    Points : 10 726
    Points
    10 726
    Par défaut
    Citation Envoyé par bob633 Voir le message
    Mais d'autres sites arrivent à renvoyer le mot de passe en clair Une fois que le mot de passe est passé en md5(), il n'est pas censer être indécryptable ? Ils utilisent peut-être pas PHP mais le md5() est universel j'imagine.
    Qui te dit qu'ils l'ont passé en MD5

  3. #3
    Membre éprouvé Avatar de Bebel
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Avril 2003
    Messages
    786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Avril 2003
    Messages : 786
    Points : 1 262
    Points
    1 262
    Par défaut
    A priori, si le même mot de passe est renvoyé en clair, c'est que celui-ci ne doit pas être crypté.
    Cela m'étonnerait que le site s'amuse à faire une recherche en force pour trouver le mot de passe correspondant à celui crypté.
    Tout énigme a une solution ! Tout est question de discipline !

  4. #4
    Membre confirmé
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    394
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 394
    Points : 639
    Points
    639
    Par défaut
    Salut,

    Il y a deux solutions :
    - Les mots de passes sont sauvegardés en clair.
    - Les mots de passes sont cryptés, et non hashé.

    Crypté veut dire que tu peux décryptés, hashé (comme le cas du md5) tu ne peux plus revenir en arrière.

    Enfin moi un site qui me renvoie mon mot de passe en clair, j'ai déjà pas très confiance... ça veut dire que les développeurs peuvent connaître les mots de passe des membres en utilisant la fonction de décryptage.... ça veut dire qu'un pirate peut réussir à décrypter les mots de passes en effectuant une cryptanalyse...

    Je préfère nettement un site qui me régénère un mot de passe, ou mieux qui m'envoie un lien sur ma boite mail pour changer mon mot de passe.

    Bonne journée.

  5. #5
    Membre expérimenté
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Octobre 2008
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Octobre 2008
    Messages : 1 051
    Points : 1 638
    Points
    1 638
    Par défaut
    stealth35 > Oui je sais bien mais je voulais avoir d'autres avis car bon pour une des plus grosse communauté de jv, je trouvais ca abairant de laisser en clair ...

    M'enfin ca confirme le fait que rien n'est crypté là dedans, enfin pas hasher comme dit avant.

    Même si je me doutais qu'il n'y a aucun moyen de décrypter (sinon le md5 n'aurait aucun intérêt), je voulais en avoir le coeur net.
    Règle N° 1 : Si tout va bien, ne touchez à rien.

  6. #6
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 690
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 690
    Points : 20 211
    Points
    20 211
    Par défaut
    Citation Envoyé par bob633 Voir le message
    stealth35 > Oui je sais bien mais je voulais avoir d'autres avis car bon pour une des plus grosse communauté de jv, je trouvais ca abairant de laisser en clair ...

    M'enfin ca confirme le fait que rien n'est crypté là dedans, enfin pas hasher comme dit avant.

    Même si je me doutais qu'il n'y a aucun moyen de décrypter (sinon le md5 n'aurait aucun intérêt), je voulais en avoir le coeur net.
    Tu serais surpris du nombre de "gros" site qui sont codés avec les pieds ...

    MD5 était sans doute une référence il y'a dix ans , c'est aujourd'hui déconseillé de l'utiliser notamment à cause des nombreuses rainbow table qui existe pour "brute forcer" des hash.
    On lui préfère en général un hash à base de sha avec un grain de sel (salt) pour complexifier le tout.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  7. #7
    Rédacteur

    Avatar de Bovino
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2008
    Messages
    23 647
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2008
    Messages : 23 647
    Points : 91 418
    Points
    91 418
    Billets dans le blog
    20
    Par défaut
    car bon pour une des plus grosse communauté de jv, je trouvais ca abairant de laisser en clair ...
    Et qu'est-ce que tu crois qu'il s'est passé avec le PlayStation Network ?

    Citation Envoyé par grunk
    Tu serais surpris du nombre de "gros" site qui sont codés avec les pieds ...
    Pas mieux !
    Pas de question technique par MP !
    Tout le monde peut participer à developpez.com, vous avez une idée, contactez-moi !
    Mes formations video2brain : La formation complète sur JavaScriptJavaScript et le DOM par la pratiquePHP 5 et MySQL : les fondamentaux
    Mon livre sur jQuery
    Module Firefox / Chrome d'intégration de JSFiddle et CodePen sur le forum

  8. #8
    Expert éminent sénior

    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    5 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 5 380
    Points : 10 410
    Points
    10 410
    Par défaut
    On parlait justement de cela dans ce topic.

    Après faut voir que le site dont tu parle n'est peut être pas récent et n'a pas été remis à jour depuis (très) longtemps. Anciennement c'était une pratique assez courante de renvoyer l'ancien mot de passe s'il était perdu. Et puis on a ensuite fait passer la sécurité comme critère prépondérant sur celui de la convivialité.

Discussions similaires

  1. Réponses: 4
    Dernier message: 22/03/2008, 11h17
  2. Comment font les constructeurs
    Par DonFelipe dans le forum Ordinateurs
    Réponses: 12
    Dernier message: 05/05/2006, 18h37
  3. Réponses: 3
    Dernier message: 05/05/2006, 12h41
  4. Réponses: 3
    Dernier message: 01/01/2006, 00h09
  5. [Technique] Index, comment font les moteurs de recherche ?
    Par bat dans le forum Décisions SGBD
    Réponses: 4
    Dernier message: 25/10/2002, 16h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo