securite et cryptage

Question

Vu le nombre important de demande au sujet de la sécurité de mots de passe transmis, je vais faire un truc général.

Bon nombre d'entre vous (les débutants surtout) pense qu'un cryptage md5 du mot de passe avant l'envoi ou le cryptage des mots de passe de la bdd rendent les comptes inviolables.

1°) Pour les espaces admin: 1 unique solution: mot de passe dans HT_ACCESS

2°)Pour les zones membres, 2 solutions intéressantes sans SSL pour garantir à vos visiteur une bonne sécurié de leur compte:
- 1er choix: -> formulaire login+ mot de passe avec envoie d'une clé aléatoire que vous gardez dans une variable de session et que vous changez à chaque page
                      -> création d'une clé avec le login en utilisant la clé temporaire transmise via javascript dans la page
                      -> cryptage du mot de passe avec le comme clé le nouveau login
                      -> cryptage du mot de passe obtenu en md5
                      -> cryptage du mot de passe en md5 (pour pas qu'on puisse remonter jusqu'à la clé...
                      -> envoi du formulaire
De cette façon personne avoir accès à un espace membre en envoyant le mot de passe déja crypté en md5... (les sniffers savent bien le faire ca lol)

- 2ème choix (beaucoup plus lourd coté serveur)
création d'un nouveau login/mot (trouvé dans la bdd membres) de passe temporaire dans HT_ACCESS lorsque la personne envoie son login pour se connecter.Une fois l'user connecté, destruction de ce mot de passe et ce login.
(pour les plus novices, cette méthode se fait via lecture et ecriture du fichier nommé au dessus).

Il y a surement d'autres méthodes plus performantes ou moibns lourdes, mais sans SSL, c'est une solution qui marche nickel (enfin peut être que sans m'en rendre compte je suis piraté 5000 fois par jour ptdrrrrrrrr)

Allez, bonn prog à tous et toutes

coucou747 · Answer

pour admin tu peux vérifier l'ip si l'admin a une ip toujours identique...

In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

http://coucou747.hopto.org

cs_Anthomicro · Answer

Salut ;-)

"1°) Pour les espaces admin: 1 unique solution: mot de passe dans HT_ACCESS"

En même temps ça revient au même que de faire un système de sessions, le tout n'étant pas transmis avec un protocole sécurisé, les mots de passe en clair circulent sur le réseau...

De toute façon le risque 0 n'existe pas...

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

cs_Anthomicro · Answer

Pour l'IP je rejoints coucou, dans un Htaccess c'est pas mal ;-)

a ++

Vulgarisation informatique : Entraide, dépannage et vulgarisation informatique

renaud288 · Answer

tout a fait d'accord avec vous pour l'admin c'est ce que je disais dans le 1°) mais bien de préciser l'IP (si elle est fixe... c'est pas tout le temps le cas... moi mon IP change souvent...)

Cependant, il est toujours possible de récupérer une IP d'admin... c'est pareil que pour les sessions comme dit Anthomicro... il est facile de récupérer ce qui transite... pour cela, il faut utiliser nécessairement un cryptage et surtout un sous domaine sécurisé. Mais pour la transmission sécurisée des login/password sans SSL le type de méthode 2°) est une des plus simple... et qui marche
Cependant, le htaccess à quand même une grande utilité: protection de tous les répertoire admin et accès aux scripts et documents admin via une seule page comportant des include selon ce que vous voulez afficher... la sécurisation est plus facile.
Rq cependant: attention à sécuriser les include. Pour plus d'infos sur les failles via include je pense que vous pourrez trouver ca sur le site phpcs.

Bonne prog a tous et toutes bye

cs_ourti · Answer

Salut a tous,
je me trouve aussi confronter au probl&#233;me et le cryptage du mot de pass et l etablissement d une connexion securis&#233;e HTTPS.
pour l instant, qlq 1 peu m aider avec un bout de code en java pour o moins crypt&#233; et decrypt&#233; une chaine ( mot de pass) (MD5).
merci

cs_Anthomicro · Answer

En java ce n'est pas le bon forum. http://www.javafr.com a +

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

coucou747 · Answer

md5 c'est pas du cryptage, c'est du hash !

on ne peut pas "d&#233;crypter" du md5 (enfin, th&#233;oriquement, on peut)



et je le redit : md5 n'est pas obsol&#232;te parc-qu'on a trouv&#233; deux collisions...


In a dream, I saw me, drop dead... U was here, U cried... It was just a deam, if I die, U won't cry, maybe, U'll be happy

http://coucou747.hopto.org

cs_ourti · Answer

Ok, c est compris.on sais que le javascrip^t est de cot&#233; client alors que php est de cot&#233; serveur.ma question est : peut on ecrir une script PHP ki nous permet une authentification ainsi que le transfert de donn&#233;e securis&#233;es entre client est serveur? autrement dit, une connexion https entre clt et serveur.

Securite et cryptage

8 réponses

Votre réponse

Discussions similaires