Discussion :

[vigon]

Bonjour, j'utilise actuellement la protection de certains dossiers par fichier htaccess. Pour que mes utilisateurs puissent s'inscrire, je crypte leur mot de passe en md5 et je l'enregistre dans le dit fichier... seuleument j'aimerais pouvoir utiliser des mots de passe cryptés ailleurs que dans un fichier htaccess (p.ex. une base de données). S'il est facile de crypter et "quasi-théoriquement" impossible de décrypter le md5, il doit cependant bien y avoir moyen de comparer le mot de passe émis par l'utilisateur et la version cryptée dans la base de donnée (un problème de somme modulo? je ne sais pas...) comment s'y prend-t-on? Existe-t-il une commande qui permet une telle comparaison?

Merci d'avance
Vigon

[Eusebius]

Il suffit de crypter le mdp que t'envoie l'utilisateur... La même manip que lorsque tu rentres le mdp dans la base à l'inscription, sauf qu'après tu ne fais que comparer.

[vigon]

bon je crois que je dois être lent à la détente... mais je ne saisis pas...
En fait, lorsque je code un mot de passe en md5, prenons par exemple "motdepasse" ça me donne un résultat différent à chaque fois, ce qui me semble logique. (dans cet exemple ça me donne une fois $1$GZtf2xqc$DDOmyI2FXllH1DtQieW./0

et une autre fois
$1$YMspuFRm$D6uf6GgJGzr5WcYLStz1X.

c'est précisément cette "comparaison" que je n'arrive pas à faire
si je mets un simple "if($mot_de_passe_test==$mot_de_passe_enregistre) je pense que ça ne marchera pas...?

comment faire cette comparaison? merci d'avance

Vig

[Eusebius]

Non. md5 (comme tous les algos de hash) te donnera toujours le même résultat normalement. Sinon, aucun intérêt...
Attention aux majuscules !

[ouatmad]

pourtant ça marchera.
supposons le mot de passe crypté de l'user $mypass; lorsque l'utilisateur saisi un mot de la passe tu effectue la vérif comme suite

if (md5($pass_saisi)==$mypass)

[vigon]

bon je vais essayer d'être encore plus précis... voici un exemple que j'utiliise
<?php
echo $_POST['nom'].":".crypt($_POST['pass']);
?>

p-e que ce qui fait la différence c'est que je suis hébergé (honte à moi) par Lycos (membres.lycos.fr), je sais pas, peut-être faudrait-il que je fixe la base du chiffrement? bizarre... mais vraiment j'obtiens à chauqe fois des réusltats différents, malgré que j'utilise ET le même login ET le même mot de passe.

J'utilise le même code pour enregistrer mon fichier htpassword et ça marche très bien! (je veux dire mes utilisateurs, une fois enregistrés n'ont aucun mal à se connecter...)

je suis perplexe

VIG

[vigon]

"AuthType Basic" je viens de lire ça dans mon htaccess héhé sorry.

Ceci dit, mes mots de passe cryptés commencent bien par $1$... vraiment je m'y perds... c fou parce que mon système fonctionne et moi qui croyais le comprendre, je n'y comprends plus rien... quid? est-il codé en basic ou en md5? (voir les exemple du "motdepasse" en version cryptée ci-dessus)

[Kioob]

$1$GZtf2xqc$DDOmyI2FXllH1DtQieW./0

vu la tronche du résultat, tu as utilisé la fonction crypt(), qui insère un "salt" dans l'algo.

Pour vérifier ton mot de passe il faut donc faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
if( crypt( $mot_de_passe_saisi, $ancien_pass_crypte ) === $ancien_pass_crypte )
{
    [...]
}

[Kioob]

Note : je précise que tu as bien raison de procèder ainsi, outre les gains en portabilité (crypt() est un standard sous Unix, et on le retrouve dans la plupart des applications), c'est bien plus "sécurisé" que la méthode bateau du md5().

[eagleleader]

moi j'ai une autre question. Si sur mon site j'enregistre le MDP crypté dans la base de données, comment je fais pour le renvoyer par mail à l'utilisateur si celui-ci a oublié son mot de passe ? => il faudrait le décrypter afin de pouvoir le renvoyer... Quelqu'un a une solution ?

[Kioob]

moi j'ai une autre question. Si sur mon site j'enregistre le MDP crypté dans la base de données, comment je fais pour le renvoyer par mail à l'utilisateur si celui-ci a oublié son mot de passe ? => il faudrait le décrypter afin de pouvoir le renvoyer... Quelqu'un a une solution ?

tu lui envois un nouveau mot de passe, tout simplement.


Et j'ajouterai même, pour éviter qu'un autre utilisateur remette à zéro le pass d'un autre : tu envoies par mail un lien avec un "jeton", valable 1 seule fois et pendant une courte durée (2 heures par exemple). Si l'utilisateur clique sur le lien, tu lui demande son nouveau mot de passe.

Inconvénient : si la boite mail se fait hacker, pas très utile

[Yobs]

moi j'ai une autre question. Si sur mon site j'enregistre le MDP crypté dans la base de données, comment je fais pour le renvoyer par mail à l'utilisateur si celui-ci a oublié son mot de passe ? => il faudrait le décrypter afin de pouvoir le renvoyer... Quelqu'un a une solution ?

Tu réinitialise le mot de passe de l'utilisateur en générant un nouveau lorsque tu l'envoie par email et si besoin tu invite l'utilisateur à le modifier lors de sa première reconnexion.