Authentification sécuriséeRésolu

Question

Bonjour &#224; tous,
J'ai mis en place un syst&#232;me d'authentification par login et mot de passe pas vraiment s&#233;curis&#233;.
J'ai trouv&#233; sur le web une m&#233;thode qui me parait bien mais j'ai quelques doutes.
Il s'agit de cr&#233;er, lors de l'inscription de l'utilisateur, une cl&#233; crypt&#233;e en md5, de la sauvegarder dans la base de donn&#233;es et d'&#233;crire un cookie sur le PC client, contenant cette cl&#233;.
Lors de l'authentification, on compare la cl&#233; du cookie &#224; celle de la BDD. Si les 2 cl&#233;s concordent alors l'acc&#232;s est autoris&#233;, sinon, possible tentative de hacker donc acc&#232;s refus&#233;.

Ca me semble &#234;tre une bonne m&#233;thode. Seul probl&#232;me... lorsque l'utilisateur se connecte sur un autre PC que le sien, le cookie &#233;crit lors de l'inscription n'est pas pr&#233;sent sur le PC donc l'acc&#232;s n'est pas possible !
A moins de rajouter une condition :
Si cookie pr&#233;sent, comparer les valeurs
Si cookie absent, ne pas comparer
Dans ce cas, la m&#233;thode n'a plus aucun sens !!

Quelqu'un aurait'il une m&#233;thode pour contourner ce probl&#232;me ou une m&#233;thode tout aussi fiable d'authentification s&#233;curis&#233;e.
Merci d'avance de votre aide

malalam · Accepted Answer

Non, c'est ok de cette mani&#232;re.
Pense &#224; faire des escape sur le login, histoire d'&#233;viter les injections sql.

malalam · Answer

Hello,

on ne proc&#232;de JAMAIS de cette mani&#232;re...si le cookie est pr&#233;sent, tu peux le logger automatiquement, si l'utilisateur fait ce choix (il devrait pouvoir choisir de ne pas conserver ce cookie! Et c'est tr&#232;s important! Si le mec s'enregistre sur ton site &#224; partir du pc d'un cyber caf&#233;...&#231;a veut dire qu'apr&#232;s lui, n'importe qui utilisant ce pc pourra se connecter avec son compte?? ARGH! Ce n'est pas ce que j'appelle une m&#233;thode s&#233;curis&#233;e...). Et s'il ne le fait pas, ou si le cookie n'est pas trouv&#233;, il faut juste proposer de s'identfier, via un formulaire d'identification. Bref, tous les sites fonctionnent de cette mani&#232;re, de toutes fa&#231;ons.

arnold002 · Answer

Merci de ta r&#233;ponse.
Effectivement, c'est pas tr&#232;s malin.
Actuellement, j'utilise une authentification (classique) par formulaire avec login et mot de passe.
A chaque utilisateur correspond un login et mot de passe.
Les 2 sont stock&#233;s dans la BDD
Le mot de passe est crypt&#233; en md5 dans la BDD.
Lors de l'authentification,
- je crypte le mdp saisi en md5
- je compare dans la m&#234;me requ&#234;te la valeur du login et celle du mdp crypt&#233;
- si les 2 correspondent, alors authentification r&#233;ussie
Est ce qu'il y a d'autres v&#233;rifs &#224; faire ?

arnold002 · Answer

Je fais un contr&#244;le sur les champs et &#234;mp&#234;che une validation si un des 2 champs est vide (javascript)
Je fais une v&#233;rif sur les variables pass&#233;es en POST en supprimant les caract&#232;res sp&#233;ciaux:
$login
 =    trim (htmlspecialchars(addslashes($_POST[ 'login' ]))); 
$pass   = trim(htmlspecialchars(addslashes($_POST['pass']))); 

Merci de ton aide.

FhX · Answer

2 fonctions alors qu'il existe mysql_real_escape_string() et qui fait ca mieux....

GRRRR :D

Authentification sécurisée

5 réponses

Votre réponse

Discussions similaires