Securiser un mot de passe
folla1987
Messages postés
28
Date d'inscription
mardi 19 février 2008
Statut
Membre
Dernière intervention
18 juin 2011
-
8 avril 2011 à 12:40
Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 - 9 avril 2011 à 23:36
Morphinof Messages postés 255 Date d'inscription vendredi 20 avril 2007 Statut Membre Dernière intervention 9 août 2013 - 9 avril 2011 à 23:36
A voir également:
- Securiser un mot de passe
- Mot de passe aléatoire - Forum C
- Melangeur de mot - Forum C
- Melangeur de mot ✓ - Forum Visual Basic
- Mot aléatoire ✓ - Forum C
- Mélangeur de mot - Forum PHP
5 réponses
pysco68
Messages postés
681
Date d'inscription
samedi 26 février 2005
Statut
Membre
Dernière intervention
21 août 2014
8
8 avril 2011 à 18:07
8 avril 2011 à 18:07
Qu'entends-tu par "sécuriser"?
Si tu souhaite le récupérer, il faudra utiliser un algo de cryptographie (3DES / AES par ex.). Là la "faille" possible c'est que tu dois générer quelquepart une clef pour crypter le mot de passe. cad. si un "méchant" pirate ton système (pas seulement ta bdd) et qu'il trouves quelle clef tu utilise, ta crypto ne sert à riens.
L'autre facon, c'est d'utiliser un algo de Hashage (type MD5/SHA1-SHA256) qui génère une "empreinte numérique" du mot de passe. Si tu ajoutes encore un "sel" (genre SHA1($mdp + "La c'est mon sel")) il devient relativement difficile de reconstruire le mot de passe avec des attaques statiques, même si le sel est connu. Si en plus tu imbrique les fonctions de hachage, ca devient une histoire de plusieurs millions d'année avec une attaque "force brute"... mais bon, là je divague :P!
Pour vérifier si le mot de passe "hashé" est valide (au login par ex.) tu compares le hash dans ta bdd avec celui généré par ta page de login. S'ils sont identiques le mot de passe est correcte! C'est une variante très répandue, car rapide et à peux près sure! (à condition d'utiliser un "sel" comme décrit plus haut)
J'espère avoir répondu à ta question
- Pysco68
Si tu souhaite le récupérer, il faudra utiliser un algo de cryptographie (3DES / AES par ex.). Là la "faille" possible c'est que tu dois générer quelquepart une clef pour crypter le mot de passe. cad. si un "méchant" pirate ton système (pas seulement ta bdd) et qu'il trouves quelle clef tu utilise, ta crypto ne sert à riens.
L'autre facon, c'est d'utiliser un algo de Hashage (type MD5/SHA1-SHA256) qui génère une "empreinte numérique" du mot de passe. Si tu ajoutes encore un "sel" (genre SHA1($mdp + "La c'est mon sel")) il devient relativement difficile de reconstruire le mot de passe avec des attaques statiques, même si le sel est connu. Si en plus tu imbrique les fonctions de hachage, ca devient une histoire de plusieurs millions d'année avec une attaque "force brute"... mais bon, là je divague :P!
Pour vérifier si le mot de passe "hashé" est valide (au login par ex.) tu compares le hash dans ta bdd avec celui généré par ta page de login. S'ils sont identiques le mot de passe est correcte! C'est une variante très répandue, car rapide et à peux près sure! (à condition d'utiliser un "sel" comme décrit plus haut)
J'espère avoir répondu à ta question
- Pysco68
Morphinof
Messages postés
255
Date d'inscription
vendredi 20 avril 2007
Statut
Membre
Dernière intervention
9 août 2013
4
8 avril 2011 à 18:43
8 avril 2011 à 18:43
Si je comprends ce que tu veux faire c'est pas exactement crypter le mot de passe mais envoyer un e-mail a la personne qui a perdu sont mot de passe ?
Si oui :
Il te suffira simplement de demander un e-mail lors de l'inscription, vérifier que l'e-mail existe bien (en refusant d'activer le compte si la personne ne clique pas sur le lien généré dans un mail que tu envois a l'adresse donnée) et d'envoyer un e-mail pour redonner le mot de passe.
Sinon la réponse est au dessus.
Si oui :
Il te suffira simplement de demander un e-mail lors de l'inscription, vérifier que l'e-mail existe bien (en refusant d'activer le compte si la personne ne clique pas sur le lien généré dans un mail que tu envois a l'adresse donnée) et d'envoyer un e-mail pour redonner le mot de passe.
Sinon la réponse est au dessus.
folla1987
Messages postés
28
Date d'inscription
mardi 19 février 2008
Statut
Membre
Dernière intervention
18 juin 2011
9 avril 2011 à 18:50
9 avril 2011 à 18:50
Merci pour de vos reponses .. en fait les deux choses que je veux faire : securiser le PW et envoyer le en cas de perte .. mais au cote de code je sais pas comment faire
cs_ghuysmans99
Messages postés
3982
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
16
9 avril 2011 à 20:25
9 avril 2011 à 20:25
En cas de perte, fais une option qui envoie un mail avec un lien pour modifier le mot de passe
VB.NET is good ... VB6 is better
Utilise Réponse acceptée quand un post répond à ta question
VB.NET is good ... VB6 is better
Utilise Réponse acceptée quand un post répond à ta question
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Morphinof
Messages postés
255
Date d'inscription
vendredi 20 avril 2007
Statut
Membre
Dernière intervention
9 août 2013
4
9 avril 2011 à 23:36
9 avril 2011 à 23:36
Le code pour faire ca est pas vraiment postable cote envois d'e-mail y'a telement de facon de faire. Pour securiser ton stockage de mot de passe la premiere reponse est bonne.