Discussion :

[canabral]

Bonsoir,

Je souhaite crypter les mots de passe utilisateur qui sont stockés dans ma BDD.
C'est possible de le faire avec la fonction md5() mais on ne peut pas décrypter le mot de passe et en cas d'oubli du mot de passe on ne peut donc pas le retourner.

Je cherche donc une fonction php qui permet de chiffré avec une clé privée pour pouvoir ensuite le décrypter grâce à cette clé privée ... Connaissez-vous une fonctio, php qui permet de faire ça?

Merci de votre aide.

[Joe Le Mort]

C'est possible de le faire avec la fonction md5() mais on ne peut pas décrypter le mot de passe et en cas d'oubli du mot de passe on ne peut donc pas le retourner.

sisi, c'est possible

[Eusebius]

Bonjour

La "bonne pratique" consiste à laisser dans la base de donner une "empreinte", ou hash (ce que te donne md5 par exemple), que tu ne peux effectivement pas déchiffrer par toi-même. En cas de perte de mot de passe, tu en regénères un nouveau.

Tout chiffrement symétrique des mots de passe constitue une faille de sécurité plus ou moins élevée.

Un extrait d'un tutoriel qui pourrait t'intéresser : http://matthieu.developpez.com/authentification/#L2

[canabral]

Merci pour ce conseil, d'ailleurs je pense comme toi et j'avais déjà trouvé beaucoup d'info dans ce tuto ...

malheureusement on me demande une solution où le mot de passe doit pouvoir être retourné ... donc décrypter ...

Sinon j'avais entendu parlé du chiffrement RSA je vais me renseigner.

Si vous avez d'autres infos ... merci d'avance.

[Joe Le Mort]

malheureusement on me demande une solution où le mot de passe doit pouvoir être retourné ... donc décrypter ...

Tu peux utilser le base64 dans ce cas.
mais c'est pas sécurisé !

[elitemedia]

Surtout pas le base 64 pour crypter !!!

Bon, ce que tu peux faire c'est avoir 2 champs dans ta base, 1 pour le mot de passe crypté et 1 pour stocker le mot de passe en clair qui ne sera utilisé que pour renvoyer une éventuel mot de passe, mais attention j'avertis bien que si quelqu'un te pirate la base, ou qu'un admin (chez l'hébergeur par exemple) accède a ta base, il emporte avec lui les mots de passe qu'il veut...

Sinon, pourquoi ne pas passer par le système plus sécurisé qui consiste à détruire le mot de passe et de le re-créer ?

Christophe

[Eusebius]

Tu peux utilser le base64 dans ce cas.

base64 est un encodage et pas un algo de chiffrement.

Bon, ce que tu peux faire c'est avoir 2 champs dans ta base, 1 pour le mot de passe crypté et 1 pour stocker le mot de passe en clair qui ne sera utilisé que pour renvoyer une éventuel mot de passe, mais attention j'avertis bien que si quelqu'un te pirate la base, ou qu'un admin (chez l'hébergeur par exemple) accède a ta base, il emporte avec lui les mots de passe qu'il veut...

Si on met le clair dans la base, où est l'intérêt de chiffrer ? Si on veut pouvoir chiffrer le mdp (en y gagnant un peu en sécurité) ET pouvoir le retrouver, il faut les stocker chiffrés, en symétrique avec une clé secrète stockée dans un endroit inaccessible par apache, mais pas par PHP. Mais je persiste à penser que c'est pas la bonne méthode.