Cryptage mot de passe [Résolu]

Signaler
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006
-
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
-
Hello all =)

J'aimerais avoir quelques petites infos. Je voudrai crypter les mots de passe de mes (futur) membres. Il y a le cryptage par MD5 mais c'est irréversible et j'aimerais ajouter un lien ' mot de passe oublié ? '.

1/ Quel autre algo pourrai-je utiliser ? Permet-il le decryptage ?
2/ Est-ce assez sécurisé ?
3/ Dois-je laisser tomber le ' mot de passe oublié ' pour plus de sécurité ?

Merci d'avance =D

Titoxx

16 réponses

Messages postés
57
Date d'inscription
samedi 11 janvier 2003
Statut
Membre
Dernière intervention
30 janvier 2010

Salut,

Pour le mot de passe sécurisé tu peux générer un nouveau mot de passe qui est envoyé par e-mail (si cet e-mail correspond à un des membres dans la base) juste avant d'etre crypté et mis dans la base à la place de l'autre...

D1stort1on
Messages postés
624
Date d'inscription
mardi 6 mai 2003
Statut
Membre
Dernière intervention
14 décembre 2009
1
salut !

non la fonction md5() n'a pas d'équivalent pour la décrypter.

voila ce que moi j'utilise :

// Clé
define("clef","DefRgr4e646GRZbgYFu4555edg1et4geL");

//Fonctions de cryptage
function encrypt_text($chaine)

{

  if(strlen(clef))

  {

    for($i=0;$i<strlen($chaine);$i++)

    {

      $caractere =ord(substr($chaine, $i, 1));

      $caractere = $caractere + ord(substr(clef, ($i%strlen(clef)), 1));

      $resultat = $resultat.chr($caractere + '\xFF');

    }

  }

  else

    $resultat = $chaine;

  return $resultat;

}

//Fonctions de décryptage
function decrypt_text($chaine)

{

  if(strlen(clef))

  {

    for($i=0;$i<strlen($chaine);$i++)

    {

      $caractere =ord(substr($chaine, $i, 1));

      $caractere = $caractere - ord(substr(clef, ($i%strlen(clef)), 1));

      $resultat = $resultat.chr($caractere + '\xFF');

    }

  }

  else

    $resultat = $chaine;


  return $resultat;

}
Messages postés
57
Date d'inscription
samedi 11 janvier 2003
Statut
Membre
Dernière intervention
30 janvier 2010

Petite erreur dans mon message, c'est pour le mot de passe oublié

@+
D1stort1on
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
Salut,

Librairie MCrypt:
http://fr3.php.net/manual/fr/ref.mcrypt.php

Sinon, il ya plusieurs petits codes plus ou moins caustaud et à perte sur ce site.
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

md5 c'est irréversible.. donc c'est sécurisé..

Je vois comment je vais faire! je vais envoyer un mesage au mail que le membre aura fourni.    Dans ce message il y aura un lien du style ' /recup.php?id=email '. Sur cette page il y aura un champs à remplir pour le mot de passe et avec $_GET je récupère le mail dans l'url.

$_GET['je met quoi ici ?']

merci à vous d'avoir répondu aussi vite =D

titoxx
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
3/ Dois-je laisser tomber le ' mot de passe oublié ' pour plus de sécurité ?

Au contraire, sa permet aux gens qui oublie leurs login/mdp trop souvent de perdre leur compte et de ce reinscrire.

Pour plus de securité, rajoute un catcha (image anti robot) pour prevenir toutes tentatives de flood/qu'ont obtiennt des logins/emails valide.
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

ahhhh je pense avoir trouvé !!

si c'est une url du style www.domaine.com/recup.php?id=emaillll  ca sera $_GET['id'] et si c'est une url du style www.domaine.com/recup.php?mail=emaillll ca sera $_GET['mail']

C'est bien ça ?
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

[auteurdetail.aspx?ID=195941 juki_webmaster] >> Pour toi je devrai leur envoyer leur passe dans le mail où il est préférable que le membre entre un nouveau mot de passe ?
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
C'est bien ça ? > oui :)

Si tu va utiliser un algorythme de hashage (md5,sha1 etc) tu va devoir recreer un mdp, mais si ont abuse du script pour embeter les autres: "tient je vais changer le mdp de machin car je connais son adresse email.. héhé", il faut creer une table mysql special qui va stoquer temporairement les demmandes de changement d'email, envoyer l'email et demmander confirmation pour un changement de mot de passe. <- methode sûr.

Si tu va utiliser un algorythme de cryptage, alors là plus besoin de validation, tu va dans la db, tu decrypte le mot de passe et tu l'envoie par email, comme sa plus de problemes, le gars recoit son mot de passe qu'il avais oublier, tout le monde est heureux.

md5 c'est irréversible.. donc c'est sécurisé.. > md5 à été casser par des collisions, il est plus considerer comme sûr, c'est du hashage pas du cryptage, comparent cela à une perte.
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
Pour toi je devrai leur envoyer leur passe dans le mail où il est préférable que le membre entre un nouveau mot de passe ? > cela n'est plus outil quand le mdp est crypté, si il est hasher, oui pourqoui pas ne pas demmander de choisir son nouveau mdp, c'est meme plus sympa que de recevoir un nouveau mot de passe du genre: fk31D4s4o etc.

Mais je te conseille d'utiliser une methode de cryptage, MCrypt est assez complet et disponse de pas mal d'algorythmes.
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

Merci pour toutes les infos [auteurdetail.aspx?ID=195941 juki_webmaster]

Je vais finalement utiliser un algo de cryptage, comme ça le membre
garde son mot de passe et si l'envie folle lui prend de vouloir le changer bah j'ferai un p'tit lien changer de mdp =D


Encore merci ;D


titoxx
Messages postés
861
Date d'inscription
mardi 26 mars 2002
Statut
Membre
Dernière intervention
29 novembre 2006
1
Sael og blesuð

Bon alors petit rappel : En france il est interdit par la loi de stocker des mots de passe en clair soit non hasher et non pas crypter .... Donc la seule solution restante c'est de hasher son mot de passe en MD5 par exemple et lorsqu'un utilisateur l'a perdu on génère un nouveau mot de passe aléatoire pour l'utilisateur tout en invitant ce dernier à le modifier voir en l'obligeant ...

Bon courage ...

NB : Si la réponse vous convient merci de l'accepter pour fermer ce thread ...

Sigurjón Birgir Sigurðssón aka Sjón
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

[auteurdetail.aspx?ID=6424 sjon] >> tu veux donc dire que je suis obliger de stocker les MDP hashé en MD5 ?
Messages postés
861
Date d'inscription
mardi 26 mars 2002
Statut
Membre
Dernière intervention
29 novembre 2006
1
Sael og blesuð

La loi dit que les mots de passe doivent être hashés après que que soit en MD5 ou autre on s'en fout .... :-)

Bon courage ...

NB : Si la réponse vous convient merci de l'accepter pour fermer ce thread ...

Sigurjón Birgir Sigurðssón aka Sjón
Messages postés
174
Date d'inscription
mardi 3 janvier 2006
Statut
Membre
Dernière intervention
9 juillet 2006

ok merci de cette info !! tu fais bien de me le dire =D merci

titoxx
Messages postés
947
Date d'inscription
mercredi 19 novembre 2003
Statut
Membre
Dernière intervention
5 avril 2008
3
D'un coté c'est pas bete comme lois, quand ont voit que tres souvent un meme internaute utilise le meme mot de passe sans cesse (Forums, Compte email etc..)
Je le savais pas non plus, merci pour l'info :)