Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Cryptage et décryptage de mot de passe ?
Bonjour ma question est un peu ridicule mais ...
Lors de l'inscription, le mot de passe que le membre rentre est automatiquement crypté en sha1 dans bdd
Mais lorsque le membre aura perdu son mot de passe, il voudra la récupérer quand il fera la recherche dans la bdd,
celle-ci va le lui renvoyé de manière crypté !
Comment éviter cela ? faire une entre mdp normal et mdp crypté ? Aucun intérêt :s
Bonjour !
Connais-tu beaucoup de sites web qui peuvent te renvoyer ton mot de passe par email quand tu l'as oublié ? Moi pas. Je ne connais que des sites qui proposent de générer un nouveau mot de passe.
Tu l'as dit toi-même, il n'y a aucun intérêt à stocker le mot de passe en clair dans la base de données alors que tu as stocké le SHA-1 auparavant.
La solution c'est de faire comme les « grands » sites : proposer de générer un nouveau mot de passe.
La FAQ JavaScript – Les cours JavaScript
Touche F12 = la console → l’outil indispensable pour développer en JavaScript !
Moi, j'en connais plein. Mais ça les discrédite immédiatement. On devrait faire une liste noire de ces sites d'ailleurs. Ca leur mettrait la pression.Connais-tu beaucoup de sites web qui peuvent te renvoyer ton mot de passe par email quand tu l'as oublié ? Moi pas.
Sinon, ben, oui, tu lui envoies un mot de passe généré, et tu lui conseilles de le personnaliser ensuite. C'est le plus agréable pour tout le monde.
PDO, une soupe et au lit !
Partir de la fin est un bon moyen de retrouver son chemin. Bibi - 2020
Bonsoir.
Je pense simplement que notre collègue n'a pas bien compris "shae1"
C'est une sécurité, mais celle-ci a ses inconvénients et limites..
Cordialement, et tous mes encouragement à Aymeric.
PS : Sur les forums, les discussions concernant ce sujet, sont souvent le fait de "sachants" ou de "matheux"... (ce qui n'arrange pas les choses)
Il y a une obligation de protéger par cryptage ou hashage les mots de passe enregistrés. En cas contraire et si les mots de passe venaient à être piratés, l'utilisateur pourrait se retourner contre les propriétaires du site pour faute professionnelle (défaut de moyen).
Et comme les email sont pour la plupart non cryptés, la meilleure protection en cas d'oubli est de renvoyer un mail avec un mot de passe temporaire que l'utilisateur devrait modifier depuis le site dès sa nouvelle connexion établie.
Répondre avec citation
Partager