Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Mots de passe sécurisés avec PHP 5.5
Je vous présente mon nouvel article : Mots de passe sécurisés avec PHP 5.5.
Vous y découvrirez les mécanismes mis en place par PHP 5.5 pour gérer efficacement les mots de passe et les solutions à appliquer avec les versions inférieures de PHP.
Mots de passe sécurisés avec PHP 5.5
Bonne lecture
Merci pour cet article, ça permet de se mettre à jour.
J'aurais préferé "chiffrer" au lieu de "crypter"
Article très intéressant, merci. C'est toujours bon de rappeler les bonnes pratiques.
Il y a aussi une méthode d'accès à une zone protégée sans mot de passe qui fait son chemin, à coup de opt-in via email et/ou SMS et de token par device de connexion. Ca me semble un très bon moyen de ne pas avoir à stocker des mots de passe et donc ne pas risquer un brute force ou même risquer une connexion frauduleuse à un compte sans validation préalable du device par l'utilisateur.
Excellent article. Il faut orienter les débutants vers les bonnes pratiques dès le début. Je vois encore trop de gens qui créent leurs propres fonctions/classes pour la gestion de mots de passe.
Peut-être faut -il aussi préciser que cette fonction non seulement génère les salts mais les donne ensuite dans le hash retourné, ce qui fait qu'on n'est plus obligé de stocker les salts séparément comme cela se faisait avant.
Simple mais efficace ! J'aurai aimé avoir un tel article à mes débuts en PHP. La sécurité est souvent négligée lors de l'apprentissage des bases et c'est dommage.
Si je peux me permettre un suggestion, une explication plus approfondie sur le salage rendrai l'article parfait !
Pas nécessairementUn site qui vous permet de retrouver votre mot de passe est un site non sécurisé.
J'ai déjà travaillé sur des systèmes où c'est le client qui stocke la clé de décryptage. C'est le couple question/réponse secrètes. C'est moins propre que cette solution, mais ça permet de lui renvoyer son ancien mot de passe et il est content.Pour les mots de passe, le cryptage est une fausse bonne idée puisque l'administrateur du site qui possède la clé de décryptage peut avoir accès à vos informations. De plus la clé de décryptage est en général sur le serveur, un hacker pourrait la trouver, et donc décrypter toutes les données cryptées.
Rien que pour le principe de changer son mot de passe je suis d'accord avec toi, c'est juste qu'il faut éviter de partir du principe que des solutions alternatives ne peuvent exister.
Bon article, merci
Répondre avec citation
Partager