cs_Tit0x
Messages postés174Date d'inscriptionmardi 3 janvier 2006StatutMembreDernière intervention 9 juillet 2006
-
18 mai 2006 à 12:48
juki_webmaster
Messages postés947Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention 5 avril 2008
-
18 mai 2006 à 21:07
Hello all =)
J'aimerais avoir quelques petites infos. Je voudrai crypter les mots de passe de mes (futur) membres. Il y a le cryptage par MD5 mais c'est irréversible et j'aimerais ajouter un lien ' mot de passe oublié ? '.
1/ Quel autre algo pourrai-je utiliser ? Permet-il le decryptage ?
2/ Est-ce assez sécurisé ?
3/ Dois-je laisser tomber le ' mot de passe oublié ' pour plus de sécurité ?
D1stort1on
Messages postés57Date d'inscriptionsamedi 11 janvier 2003StatutMembreDernière intervention30 janvier 2010 18 mai 2006 à 12:55
Salut,
Pour le mot de passe sécurisé tu peux générer un nouveau mot de passe qui est envoyé par e-mail (si cet e-mail correspond à un des membres dans la base) juste avant d'etre crypté et mis dans la base à la place de l'autre...
cs_Tit0x
Messages postés174Date d'inscriptionmardi 3 janvier 2006StatutMembreDernière intervention 9 juillet 2006 18 mai 2006 à 13:06
md5 c'est irréversible.. donc c'est sécurisé..
Je vois comment je vais faire! je vais envoyer un mesage au mail que le membre aura fourni. Dans ce message il y aura un lien du style ' /recup.php?id=email '. Sur cette page il y aura un champs à remplir pour le mot de passe et avec $_GET je récupère le mail dans l'url.
cs_Tit0x
Messages postés174Date d'inscriptionmardi 3 janvier 2006StatutMembreDernière intervention 9 juillet 2006 18 mai 2006 à 13:08
ahhhh je pense avoir trouvé !!
si c'est une url du style www.domaine.com/recup.php?id=emaillll ca sera $_GET['id'] et si c'est une url du style www.domaine.com/recup.php?mail=emaillll ca sera $_GET['mail']
cs_Tit0x
Messages postés174Date d'inscriptionmardi 3 janvier 2006StatutMembreDernière intervention 9 juillet 2006 18 mai 2006 à 13:10
[auteurdetail.aspx?ID=195941 juki_webmaster] >> Pour toi je devrai leur envoyer leur passe dans le mail où il est préférable que le membre entre un nouveau mot de passe ?
juki_webmaster
Messages postés947Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention 5 avril 20083 18 mai 2006 à 13:17
C'est bien ça ? > oui :)
Si tu va utiliser un algorythme de hashage (md5,sha1 etc) tu va devoir recreer un mdp, mais si ont abuse du script pour embeter les autres: "tient je vais changer le mdp de machin car je connais son adresse email.. héhé", il faut creer une table mysql special qui va stoquer temporairement les demmandes de changement d'email, envoyer l'email et demmander confirmation pour un changement de mot de passe. <- methode sûr.
Si tu va utiliser un algorythme de cryptage, alors là plus besoin de validation, tu va dans la db, tu decrypte le mot de passe et tu l'envoie par email, comme sa plus de problemes, le gars recoit son mot de passe qu'il avais oublier, tout le monde est heureux.
md5 c'est irréversible.. donc c'est sécurisé.. > md5 à été casser par des collisions, il est plus considerer comme sûr, c'est du hashage pas du cryptage, comparent cela à une perte.
juki_webmaster
Messages postés947Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention 5 avril 20083 18 mai 2006 à 13:21
Pour toi je devrai leur envoyer leur passe dans le mail où il est préférable que le membre entre un nouveau mot de passe ? > cela n'est plus outil quand le mdp est crypté, si il est hasher, oui pourqoui pas ne pas demmander de choisir son nouveau mdp, c'est meme plus sympa que de recevoir un nouveau mot de passe du genre: fk31D4s4o etc.
Mais je te conseille d'utiliser une methode de cryptage, MCrypt est assez complet et disponse de pas mal d'algorythmes.
cs_Tit0x
Messages postés174Date d'inscriptionmardi 3 janvier 2006StatutMembreDernière intervention 9 juillet 2006 18 mai 2006 à 13:26
Merci pour toutes les infos [auteurdetail.aspx?ID=195941 juki_webmaster]
Je vais finalement utiliser un algo de cryptage, comme ça le membre
garde son mot de passe et si l'envie folle lui prend de vouloir le changer bah j'ferai un p'tit lien changer de mdp =D
cs_sjon
Messages postés861Date d'inscriptionmardi 26 mars 2002StatutMembreDernière intervention29 novembre 20061 18 mai 2006 à 14:18
Sael og blesuð
Bon alors petit rappel : En france il est interdit par la loi de stocker des mots de passe en clair soit non hasher et non pas crypter .... Donc la seule solution restante c'est de hasher son mot de passe en MD5 par exemple et lorsqu'un utilisateur l'a perdu on génère un nouveau mot de passe aléatoire pour l'utilisateur tout en invitant ce dernier à le modifier voir en l'obligeant ...
Bon courage ...
NB : Si la réponse vous convient merci de l'accepter pour fermer ce thread ...
juki_webmaster
Messages postés947Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention 5 avril 20083 18 mai 2006 à 21:07
D'un coté c'est pas bete comme lois, quand ont voit que tres souvent un meme internaute utilise le meme mot de passe sans cesse (Forums, Compte email etc..)
Je le savais pas non plus, merci pour l'info :)