Retrouver un utilisateur d'après son mot de passe haché en base de donnée

Version imprimable

05/06/2021, 20h03
moimp

Retrouver un utilisateur d'après son mot de passe haché en base de donnée

Bonjour,
J'ai plusieurs utilisateurs qui peuvent avoir la même adresse mail.
Lorsqu'un utilisateur a perdu son identifiant, je ne peux donc pas utiliser son adresse mail. Je veux pouvoir le lui renvoyer à partir de la saisie de son mot de passe en le comparant avec password_verify. Je ne vois pas de solution sans parcourir toute la base de données et comparer le mot de passe saisi avec chaque mot de passe haché. Comment faire? Y a t-il une solution?
05/06/2021, 20h30
Séb.

Si deux utilisateurs avec le même mail ont utilisé le même mot de passe (ce qui est très probable si ils ont déjà le même mail), alors tu es fichu.

C'est le moment de revoir tes règles :
– Le mail est unique en base de données
– L'utilisateur se connecte avec son mail (souvent c'est bien plus simple)
– L'utilisateur peut définir un pseudo si nécessaire
– L'éventuel pseudo est unique en base (ou alors tu le suffixes avec l'ID utilisateur, etc.)
05/06/2021, 21h59
moimp

En entreprise, le mail peut être commun à un service (exemple: "reception@entreprise.fr"). Les utilisateurs ont un pseudo unique et un mot de passe unique qui les différencient. Mon but ici est de permettre à l'utilisateur qui a perdu son pseudo de le retrouver à partir de son mot de passe.
S'il n'y a pas de meilleure solution, je pense que je vais faire une boucle pour tester le mot de passe de tous les utilisateurs qui ont le même mail.

Citation:

En entreprise

Le sacro-saint argument qui fixe les défaillances dans le marbre et doit les rendre acceptables ;)

Citation:

S'il n'y a pas de meilleure solution, je pense que je vais faire une boucle pour tester le mot de passe de tous les utilisateurs qui ont le même mail.

En arriver à de telles pratiques est signe d'un mauvais design (que je trouve aberrant) et qui ne pourra jamais être pleinement satisfaisant
Exemple : tu as un service de 10 utilisateurs, tu risques d'en avoir 2 qui utilisent un mot de passe identique comme le nom de la société ou du service
=> Tu ne peux pas les distinguer selon le couple mail-mdp

Bon, sinon, retrouver un login selon un mail et un mdp :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 $sql = <<<SQL SELECT ALL user_login FROM users -- HASH() à adapter à ton usage WHERE user_email = :email AND user_password = HASH(:password) SQL; $select = $pdo->prepare($sql); $select->execute([':email' => $email, ':password' => $password]); $count = $select->rowCount(); if ($count === 1) { $login = $select->fetch(PDO::FETCH_COLUMN); } else { // Patatra }
Si $count === 1 alors c'est bon, sinon si tu as 0 ou 2 résultats ou plus c'est mauvais (même mdp sur plusieurs utilisateurs ayant le même mail)

Bon courage,

06/06/2021, 07h27
chrtophe

Citation:

En entreprise, le mail peut être commun à un service (exemple: "reception@entreprise.fr").

Comme le disait Seb, si plusieurs utilisateurs peuvent avoir le même mail, tu ne peux pas dans ce cas avoir de lien entre le mail et le pseudo. Ton appli ne doit donc pas autoriser la création de 2 comptes avec la même adresse mail. L'entreprise devra alors créer une adresse mail spécifique à chaque utilisateur, même si elle ne sert qu'à la connexion à l'appli.

Citation:

Mon but ici est de permettre à l'utilisateur qui a perdu son pseudo de le retrouver à partir de son mot de passe.

Très mauvaise pratique, risque de piratage par brute-force. Et aussi si l'utilisateur perd son mot de passe, plus aucun moyen de récupérer le login (par exemple couple login/mot de passe enregistré dans navigateur, et perte du profil du navigateur).
06/06/2021, 08h22
moimp

OK, merci:D Je vais tenir compte de vos remarques.