Discussion :

[canabral]

Bonsoir,

Je souhaite crypter les mots de passe utilisateur qui sont stockés dans ma BDD.
C'est possible de le faire avec la fonction md5() mais on ne peut pas décrypter le mot de passe et en cas d'oubli du mot de passe on ne peut donc pas le retourner.

Je cherche donc une fonction php qui permet de chiffré avec une clé privée pour pouvoir ensuite le décrypter grâce à cette clé privée ... Connaissez-vous une fonctio, php qui permet de faire ça?

Merci de votre aide.

[Joe Le Mort]

C'est possible de le faire avec la fonction md5() mais on ne peut pas décrypter le mot de passe et en cas d'oubli du mot de passe on ne peut donc pas le retourner.

sisi, c'est possible

[Eusebius]

Bonjour

La "bonne pratique" consiste à laisser dans la base de donner une "empreinte", ou hash (ce que te donne md5 par exemple), que tu ne peux effectivement pas déchiffrer par toi-même. En cas de perte de mot de passe, tu en regénères un nouveau.

Tout chiffrement symétrique des mots de passe constitue une faille de sécurité plus ou moins élevée.

Un extrait d'un tutoriel qui pourrait t'intéresser : http://matthieu.developpez.com/authentification/#L2

[canabral]

Merci pour ce conseil, d'ailleurs je pense comme toi et j'avais déjà trouvé beaucoup d'info dans ce tuto ...

malheureusement on me demande une solution où le mot de passe doit pouvoir être retourné ... donc décrypter ...

Sinon j'avais entendu parlé du chiffrement RSA je vais me renseigner.

Si vous avez d'autres infos ... merci d'avance.

[Joe Le Mort]

malheureusement on me demande une solution où le mot de passe doit pouvoir être retourné ... donc décrypter ...

Tu peux utilser le base64 dans ce cas.
mais c'est pas sécurisé !

[elitemedia]

Surtout pas le base 64 pour crypter !!!

Bon, ce que tu peux faire c'est avoir 2 champs dans ta base, 1 pour le mot de passe crypté et 1 pour stocker le mot de passe en clair qui ne sera utilisé que pour renvoyer une éventuel mot de passe, mais attention j'avertis bien que si quelqu'un te pirate la base, ou qu'un admin (chez l'hébergeur par exemple) accède a ta base, il emporte avec lui les mots de passe qu'il veut...

Sinon, pourquoi ne pas passer par le système plus sécurisé qui consiste à détruire le mot de passe et de le re-créer ?

Christophe

[Eusebius]

Tu peux utilser le base64 dans ce cas.

base64 est un encodage et pas un algo de chiffrement.

Bon, ce que tu peux faire c'est avoir 2 champs dans ta base, 1 pour le mot de passe crypté et 1 pour stocker le mot de passe en clair qui ne sera utilisé que pour renvoyer une éventuel mot de passe, mais attention j'avertis bien que si quelqu'un te pirate la base, ou qu'un admin (chez l'hébergeur par exemple) accède a ta base, il emporte avec lui les mots de passe qu'il veut...

Si on met le clair dans la base, où est l'intérêt de chiffrer ? Si on veut pouvoir chiffrer le mdp (en y gagnant un peu en sécurité) ET pouvoir le retrouver, il faut les stocker chiffrés, en symétrique avec une clé secrète stockée dans un endroit inaccessible par apache, mais pas par PHP. Mais je persiste à penser que c'est pas la bonne méthode.

[elitemedia]

De toutes façons, quoi que l'on dise, la seule vraie méthode pour ces problèmes de sécurité est de détruire l'ancien mot de passe et d'en régénérer un tout neuf. Ensuite on peut discuter évidement des méthodes pour regénérer ces mots de passe et des techniques très pertinentes que tu nous cites Eusebius.

Donc dans le problème posé par l'initiateur du fil ayant comme condition de renvoyer l'ancien mot de passe en cas d'oubli, je ne vois pas vraiment de réelle solution (en tout cas pas avec les chiffrages unidirectionnels)

[canabral]

me voilà,
donc oui je suis d'accord la meilleur solution est de faire un hachage style md5 que l'on peut pas déchiffrer.
Si l'on souhaite pouvoir redonner le mot de passe il faut utiliser un chiffrement avec une clé privé où tout repose sur la clé (la taille de la clé et le stockage de cette clé). En php existe-t-il une méthode qui permette le chiffrement à clé privé comme il existe la méthode md5() ?

[tigunn]

Yo Canabral,

quelle Bdd utilise tu?
si c'est MySQL, je te conseille de voir dev.mysql

C'est clair et ca pourrait t'aider. Après tout dépend du niveau de sécurité que tu souhaite.
Mais n'oublie pas qu'aucun système n'est inviolable et que ceux qui se vantent de leur système de sécurité sont les premiers à tomber .

Bon dev'

[Eusebius]

En php existe-t-il une méthode qui permette le chiffrement à clé privé comme il existe la méthode md5() ?

Tu as tout ce qu'il faut dans la bibliothèque mcrypt, mais... bonne lecture !

[canabral]

Merci, je vais regarder tout ça avec attention ...

[elitemedia]

Dans le cas ou tu trouves une solution concrète et bien sécurisé de crytage et décryptage grâce à d'autres algorythmes que MD5, tiens nous informé car je pense que le sujet va interresser plus d'un développeur ici !