cryptage de mot de passe

Le
*OUIFFI*
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.

pouvez vous me donner la meilleure solution.
des sites tels que yahoo change le mot de passe en cas de perte. ils doivent
utiliser donc une fonction telle que md5.

puis-je avoir vos avis expérimenté?
Merci

Julien
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pimousse
Le #590989
bonjour,


salut,

je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.


moi c'est pas ce que je ferais ... et je crois que ce n'est pas ce
qu'ils font non plus.

pouvez vous me donner la meilleure solution.
des sites tels que yahoo change le mot de passe en cas de perte. ils doivent
utiliser donc une fonction telle que md5.


ça c'est ce que je ferais.
en effet, tu génères une chaine de caractères alphanum aléatoire dt tu
réalises l'empreinte md5 que tu stockes ds la bdd.
comme ça personne à part la personne qui ouvre le mail avec le nouveau
mot de passe connait ou peut récupérer ce mot de passe.

par ex :

function pass_word()
{
$chrs = 8 ;
$pwd = "" ;
mt_srand ((double) microtime() * 1000000);
while (strlen($pwd)<$chrs)
{
$chr = chr(mt_rand (0,255));
if (eregi("^[a-hj-km-np-z2-9]$", $chr))
$pwd = $pwd.$chr;
};
return $pwd;
}

et tu fais un truc genre :
$pwd=pass_word();
$pwd_stock=md5($pwd);

après tu envoies $pwd par mail au membre qui a perdu son mdp et tu
stockes $pwd_stock ds ta bdd.

@++
Pimousse

Steph. k.
Le #590990
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.


http://www.neokraft.net/articles/chiffrement-php/
Un article clair et détaillé qui devrait répondre à tes questions.


--
Steph. K.
http://www.acces-pour-tous.net
L'évangélisme c'est comme l'amour,
à un moment si on veut aller plus loin,
il faut aller plus près.

Vincent Courcelle
Le #590991
l'intérêt du md5 est qu'il est strictement impossible de repasser au mot de
passe d'origine
si tu veux un rappel de mot de passe, tu ne le cryptes pas dans ta base de
données (ça ne sert à rien puisque les clés de décryptage sont au même
endroit !), mais il faut le crypter dans le cookies en md5 pour éviter qu'un
petit malin lise ces cookies et en déduise le mot de passe de la personne...
tu as la fonction MD5(champ) de mysql pour comparer la version cryptée du
champ à la version cryptée du mot de passe rentré
n'oublie pas de linéariser la casse (tout en minuscules) des 2 côtés car les
utilisateurs sont cons et ne comprennent pas pourquoi ils ne peuvent rentrer
dans leur espace membre à cause de majuscules qui diffèrent (je parle en
connaissance de cause....)

Vincent Courcelle,
http://www.france-jeunes.net
et http://www.tubededentifrice.com (nouvelle version enrichie en silicium)

Prière de joindre le message d'origine à votre réponse.

"*OUIFFI* (nospam) (nospam)" news:4094be0e$0$13080$
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.

pouvez vous me donner la meilleure solution.
des sites tels que yahoo change le mot de passe en cas de perte. ils
doivent

utiliser donc une fonction telle que md5.

puis-je avoir vos avis expérimenté?
Merci

Julien


Jedi121
Le #590992
*OUIFFI* a écrit le 02/05/2004 :
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.

pouvez vous me donner la meilleure solution.
des sites tels que yahoo change le mot de passe en cas de perte. ils doivent
utiliser donc une fonction telle que md5.

puis-je avoir vos avis expérimenté?
Merci

Julien


On utilise généralement md5() pour crypter mais on ne peut inverser
l'opération.
Les gros sites utilisent souvent la regénération du mot de passe à la
demande de l'utilisateur envoyé sur une adresse mail spécifiée lors de
l'inscription.
Nous c'est ce qu'on a choisi c'est plus sûr.

Olivier Miakinen
Le #590993
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.


Tu devrais pouvoir trouver ton bonheur ici :
http://fr2.php.net/manual/fr/ref.mcrypt.php

c'est ce que font les gros sites je crois.


Non, pas forcément.

des sites tels que yahoo change le mot de passe en cas de perte. ils doivent
utiliser donc une fonction telle que md5.


Oui, c'est probablement plus simple.

puis-je avoir vos avis expérimenté?


Je passe...

Tek
Le #590994
bonjour,
je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas
d'oubli de le renvoyer au membre.
c'est ce que font les gros sites je crois.

pouvez vous me donner la meilleure solution.
des sites tels que yahoo change le mot de passe en cas de perte. ils
doivent utiliser donc une fonction telle que md5.

puis-je avoir vos avis expérimenté?
Merci

Julien


Fait donc comme Yahoo, c'est le plus transparent et le plus honnête au
regard de tes visiteurs.
Si la personne a oublié son mot de passe c'est qu'en plus elle a utilisé un
mot de passe dont elle se moque royalement, elle n'en sera que plus contente
que tu lui propose un nouveau mot de passe généré automatiquement et renvoyé
par mail qui lui donnera un accés immédiat à ton site sans perte de temps
inutile et lui confirmera que ce mot de passe n'est pas stocké en clair chez
toi.

--
M. Frédéric Saunier
Développeur Flash et PHP
www.tekool.net

Eric Daspet
Le #590721
Pimousse wrote:
salut,


Bonjour, je répond à toi mais je fais référence aussi aux quelques
autres qui ont répondu en même temps.

je ne fonction me permettant de crypter un mot de passe.
je souhaite pouvoir décrypter mon mot de passe pour pouvoir en cas d'oubli
de le renvoyer au membre.
c'est ce que font les gros sites je crois.



Heureusement pas tous, certains font encore passer la sûreté des données
avant le confort utilisateur. Je crois que des problèmes comme ceux de
multimania et hotmail (où des listes de mot de passe ont été prise et
diffusées) ont largement contribué à changer quelques états d'esprit à
ce sujet.
Un site qui est capable de me redonner mon ancien mot de passe n'est pas
un site en qui j'ai confiance. D'autant que je n'en vois pas l'intérêt,
si je l'ai oublié je ne vois pas ce que je gagne à avoir l'ancien mot de
passe et pas un nouveau temporaire (le temps que je le change en quelque
chose que je retiendrai)

des sites tels que yahoo change le mot de passe en cas de perte. ils doivent
utiliser donc une fonction telle que md5.


ça c'est ce que je ferais.


Pourquoi tout le monde en réponse a l'air de parler de md5() ? à
l'origine ça n'a rien d'une fonction de gestion de mot de passe (au
final non plus d'ailleurs).

Il existe une fonction de gestion de mot de passe fournie avec PHP, elle
s'appelle crypt(). Elle a quelques avantages indéniables :

- elle gère en interne des chaînes d'initialisation pour limiter les
attaques par dictionnaire (en gros si on crypte deux fois le même mot de
passe on aura deux chaînes cryptées différentes)

- elle est plus ou moins standard, c'est ce qu'on utilise pour les mots
de passe unix, pour ceux d'apache, et pour quasiment toutes les
applications qui sont utilisées sous Unix/Linux. Du coup vous pouvez
partager votre fichier de mot de passe ou copier/coller des utilisateurs
d'un fichier à l'autre. Sans ça il serait dûr de synchroniser tout sans
un système complexe ou des mots de passe en clair

- elle a plusieurs backend, et quand un n'est pas sûr on peut basculer à
un autre très facilement tout en pouvant toujours authentifier les
anciens mots de passe. Une transition a d'ailleurs déjà été faite en
passant de 3DES vers MD5 comme backend interne. Ça assure la pérénité du
choix.

Évitez de réinventer la roue avec des solutions de hachage de mots de
passe personnalisées (et potentiellement bien moins sûres que ce que
vous pensez si vous ne comprenez pas les algos qu'il y a derrière).
crypt() est fait pour ça, simple .... elle a tout pour plaire.

--
Eric Daspet
Venez aider notre mangeur de cigogne sur http://mangeur-de-cigogne.info/


Shrom
Le #587978
"Jedi121" news:
On utilise généralement md5() pour crypter mais on ne peut inverser
l'opération.


Non, on uilise crypt() avec le sel qui va bien, on évite donc de se
retrouver avec la même somme MD5 pour deux utilisateurs ayant le même mot de
passe.

Shrom
Le #587976
"Vincent Courcelle" news:4094dfa9$0$12737$
l'intérêt du md5 est qu'il est strictement impossible de repasser au mot
de

passe d'origine


md5crack tu connais.

si tu veux un rappel de mot de passe, tu ne le cryptes pas dans ta base de
données (ça ne sert à rien puisque les clés de décryptage sont au même
endroit !), mais il faut le crypter dans le cookies en md5 pour éviter
qu'un

petit malin lise ces cookies et en déduise le mot de passe de la
personne...

tu as la fonction MD5(champ) de mysql pour comparer la version cryptée du
champ à la version cryptée du mot de passe rentré


On évite surtout de laisser trainer un mot de passe dans les cookies.

Pimousse
Le #587797
Non, on uilise crypt() avec le sel qui va bien, on évite donc de se
retrouver avec la même somme MD5 pour deux utilisateurs ayant le même mot de
passe.


ça n'est pas vraiment un pble si tu considères ta clé primaire comme
étant le couple login / mdp.
mais crypt() est en effet une solution parmi d'autres.

Publicité
Poster une réponse
Anonyme