folla1987
Messages postés28Date d'inscriptionmardi 19 février 2008StatutMembreDernière intervention18 juin 2011
-
8 avril 2011 à 12:40
Morphinof
Messages postés255Date d'inscriptionvendredi 20 avril 2007StatutMembreDernière intervention 9 août 2013
-
9 avril 2011 à 23:36
bonjour,
comment faire pour sécuriser un PW et le récupérer en cliquant sur "mot de passe oublie" ??
Merci
pysco68
Messages postés681Date d'inscriptionsamedi 26 février 2005StatutMembreDernière intervention21 août 20148 8 avril 2011 à 18:07
Qu'entends-tu par "sécuriser"?
Si tu souhaite le récupérer, il faudra utiliser un algo de cryptographie (3DES / AES par ex.). Là la "faille" possible c'est que tu dois générer quelquepart une clef pour crypter le mot de passe. cad. si un "méchant" pirate ton système (pas seulement ta bdd) et qu'il trouves quelle clef tu utilise, ta crypto ne sert à riens.
L'autre facon, c'est d'utiliser un algo de Hashage (type MD5/SHA1-SHA256) qui génère une "empreinte numérique" du mot de passe. Si tu ajoutes encore un "sel" (genre SHA1($mdp + "La c'est mon sel")) il devient relativement difficile de reconstruire le mot de passe avec des attaques statiques, même si le sel est connu. Si en plus tu imbrique les fonctions de hachage, ca devient une histoire de plusieurs millions d'année avec une attaque "force brute"... mais bon, là je divague :P!
Pour vérifier si le mot de passe "hashé" est valide (au login par ex.) tu compares le hash dans ta bdd avec celui généré par ta page de login. S'ils sont identiques le mot de passe est correcte! C'est une variante très répandue, car rapide et à peux près sure! (à condition d'utiliser un "sel" comme décrit plus haut)
J'espère avoir répondu à ta question
Morphinof
Messages postés255Date d'inscriptionvendredi 20 avril 2007StatutMembreDernière intervention 9 août 20134 8 avril 2011 à 18:43
Si je comprends ce que tu veux faire c'est pas exactement crypter le mot de passe mais envoyer un e-mail a la personne qui a perdu sont mot de passe ?
Si oui :
Il te suffira simplement de demander un e-mail lors de l'inscription, vérifier que l'e-mail existe bien (en refusant d'activer le compte si la personne ne clique pas sur le lien généré dans un mail que tu envois a l'adresse donnée) et d'envoyer un e-mail pour redonner le mot de passe.
folla1987
Messages postés28Date d'inscriptionmardi 19 février 2008StatutMembreDernière intervention18 juin 2011 9 avril 2011 à 18:50
Merci pour de vos reponses .. en fait les deux choses que je veux faire : securiser le PW et envoyer le en cas de perte .. mais au cote de code je sais pas comment faire
Morphinof
Messages postés255Date d'inscriptionvendredi 20 avril 2007StatutMembreDernière intervention 9 août 20134 9 avril 2011 à 23:36
Le code pour faire ca est pas vraiment postable cote envois d'e-mail y'a telement de facon de faire. Pour securiser ton stockage de mot de passe la premiere reponse est bonne.