[Sécurité] mot de passe cryptée?

**kevinf** · 01/11/2005, 13h36

Salut,
j'ai installé un script d'inscription sur mon site et le mot de passe des utilisateurs sont cryptées dans ma BDD.
comment faire pour éviter que les mot de passe soit cryptée?

Merci

**nako** · 01/11/2005, 13h40

Envoyé par kevinf

comment faire pour éviter que les mot de passe soit cryptée?

Trouver la fonction de cryptage dans ton code PHP et l'enlever.
En général, la fonction md5 est beaucoup utilisée pour ça.
Sinon, juste pour info, pourquoi ne veux-tu pas que les mots de passe soient cryptés en base ? C'est pas vraiment génant, c'est même plus sécurisé, et ça permet à l'administrateur du site de ne pas avoir accès aux mots de passe des gens.
a+

**kevinf** · 01/11/2005, 13h42

c'est vré je suis dacord, sauf quand l'utilisateur demande le renvoi de son mot de passe via la page oubli de mot de passe, mon script (tro con!) lui renvoi le mot de passe cryptée, donc tu pige mon soucy?

**nako** · 01/11/2005, 13h45

Oui, je pige tout à fait.
En général, dans ce cas, on regénère un mot de passe temporaire, qui permettra à l'utilisateur de se logguer, puis de rechanger son mot de passe.
Enfin, si toute cette mécanique ne te convient pas, tu peux en effet stocker les mots de passe en clair.
a+

**kevinf** · 01/11/2005, 13h46

en fet, mon script fourni automatiquement un mot de passe au membre, voici le code php de l'inscritpion:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
<?php
 
include("../includes/config.inc.php");
 
if($action == "verif")
{
 
$login = $HTTP_POST_VARS["login"];
$email = $HTTP_POST_VARS["email"]; 
 
$login = strip_tags($login);
$email = strip_tags($email);
 
if (empty($login) || empty($email))
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=Les+champs+sont+obligatoires+!\">";
	exit;
}
 
if (strlen($login) < 5)
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=L'identifiant+doit+comporter+au+minimum+5+caractères+!\">";
	exit;
}
 
 
if (strrpos($login,' ') > 0)
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=Aucun+espace+dans+l'identifiant+!\">";
	exit;	
}
 
if(!ereg('^[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+'.'@'.'[-!#$%&\'*+\\/0-9=?A-Z^_`a-z{|}~]+\.'.'[-!#$%&\'*+\\./0-9=?A-Z^_`a-z{|}~]+$', $email))
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=Adresse+email+invalide+!\">";
	exit;
}
 
 
$db = mysql_connect($sql_host,$sql_user,$sql_pass); 
mysql_select_db($sql_bdd,$db); 
 
$requete = mysql_db_query($sql_bdd,"SELECT * FROM $tb_membres WHERE User_Login='$login'",$db) or die(mysql_error());
$num     = mysql_num_rows($requete);
 
if($num!=0)
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=Cet+identifiant+est+déjà+pris+!\">";
	exit;
}
 
$requetem = mysql_db_query($sql_bdd,"SELECT * FROM $tb_membres WHERE email='$email'",$db) or die(mysql_error());
$numm = mysql_num_rows($requetem);
 
if($numm!=0)
{
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = ?msg=Cette+adresse+email+est+déjà+enregistrée+!\">";
	exit;
}
 
else
{
	$taille  = 8;
	$lettres = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
	srand(time());
	for ($i=0;$i<$taille;$i++)
	{
		$User_Pwd.=substr($lettres,(rand()%(strlen($lettres))),1);
	}
 
	$date = date("d/m/Y");
 
	$sql = "INSERT INTO $tb_membres (id, User_Login, User_Pwd, email, sexe, age, ville, description, url, avatar, date, active) VALUES ('', '$login', '".md5($User_Pwd)."', '$email', '$sexe', '$age', '$ville', '$description', '$url', '$avatar', '$date', '1')";
	mysql_query ($sql);
 
 
	$sendto  = "$email";
	$subject = " Votre Compte Personnel sur $nom_site";
	$body    = "Bonjour !\n\nVous venez d'ouvrir un compte sur $nom_site ($url_site) !\nAfin de pouvoir vous connectez sur votre compte personnel, voici vos identifiants de connexion :\n\nLogin    :  $login\nPassword :  $User_Pwd\n\n\nPensez à changer votre password régulièrement depuis votre compte pour des raisons de sécurité !\n\n\n____________________________________________________________________________________________\n\nCECI EST UN EMAIL AUTOMATIQUE ! NE REPONDEZ PAS ! AUCUNE REPONSE NE VOUS SERA RETOURNEE !\n\n____________________________________________________________________________________________\nTS Secure CS Version 4.0";
    $from    = "$ad_email";
 
	mail($sendto,$subject,$body,$from);
 
	if($email_script == "yes")
	{
		mail("$ad_email"," Un membre vient de s'inscrire","Bonjour !\n\nAujourd'hui, un nouveau membre vient de d'ouvrir un compte sur votre site !\n\nSon pseudo est : $User_Login\n\nRetrouvez toutes ces informations en vous connectant sur votre compte personnel.\n\nA bientôt !\n____________________________________________________________________________________________\n\nCECI EST UN EMAIL AUTOMATIQUE ! NE REPONDEZ PAS ! AUCUNE REPONSE NE VOUS SERA RETOURNEE !\n\n____________________________________________________________________________________________\nTS Secure CS Version 4.0","$ad_email");
	}
 
	echo "<META HTTP-EQUIV=\"refresh\" CONTENT=\"0; URL = index.php?msg=Un+email+contenant+vos+identifiants+vient+de+vous+être+envoyé+!\">";
	}
 
mysql_close($db);
 
}
 
?>
 
[url][/url]

**nako** · 01/11/2005, 13h56

Salut, pourrais-tu repréciser dans quelle direction tu veux aller ?
1) mots de passe en clair
2) garder les passes cryptés et résoudre le problème de perte de mot de passe ?

Dans le cas du 1, la portion de code d'insertion en base où tu cryptes ton mot de passe est celle-ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$sql = "INSERT INTO $tb_membres (id, User_Login, User_Pwd, email, sexe, age, ville, description, url, avatar, date, active) VALUES ('', '$login', '".md5($User_Pwd)."', '$email', '$sexe', '$age', '$ville', '$description', '$url', '$avatar', '$date', '1')"; 
   mysql_query ($sql);