Discussion :

[ighost]

Bonjour à tous,

Alors je vais peut être passer pour un ignorant mais j'ai une question importante à vous poser.

J'enregistre les mots de passe de mes utilisateurs avec un hashage MD5.

Sachant que je souhaite proposer aux utilisateurs de leur renvoyer une nouveau mot de passe si ils perdent le leur.

Est t'il possible et surtout, existe t'il une technique, permettant de générer un mot de passe aléatoire à partir du hashage md5.

En fait, pour être clair je souhaite proposer a l'utilisateur un nouveau mot de passe sans passer par l'étape :" je change le mot de passe hashé dans la base"

J'espère avoir été suffisemment clair .

[tomlev]

En fait, pour être clair je souhaite proposer a l'utilisateur un nouveau mot de passe sans passer par l'étape :" je change le mot de passe hashé dans la base"

En gros, tu voudrais générer un autre password qui ait le même MD5 que l'ancien ? Autrement dit, rechercher des collisions du hash MD5. Ce n'est pas possible, du moins pas dans un temps raisonnable, sauf si tu as un supercalculateur sous la main

Pourquoi veux-tu éviter de mettre à jour le hash dans la base ? ce n'est pourtant pas bien compliqué...

[ighost]

Evidemment si il faut un super calculateur je vais oublier l'idée de suite ^^.

Nan en faite c'est simplement pour le coté pratique et aussi éviter de faire certaines choses.

Parce que si je remet à jour la table l'ancien mot de passe n'est plus bon, donc en gros en allant sur la page du site "j'ai oublié mon mot de passe" il en génère un nouveau et écrase l'ancien.

Jusque la rien de méchant, mais imaginons que monsieur B connaisse le mail de monsieur A, il a juste à aller sur cette page pour "vracker" le compte de monsieur A, car l'ancien mot de passe n'étant plus bon monsieur A devra retourner sur son mail pour récupérer son nouveau mot de passe (si tant est qu'il va encore sur cette boit email...).

Enfin c'est pas grave je m'en passerais ^^.

Merci quand même

[tomlev]

Ce n'est pas possible, du moins pas dans un temps raisonnable, sauf si tu as un supercalculateur sous la main

Je reviens sur cette remarque qui n'est pas entièrement exacte... le hachage MD5 a été cassé il y a quelques années, et n'est donc plus considéré comme sûr (avec cette technique ça prend entre 15 secondes à 5 minutes de trouver une collision, sur un PC de 2005). Mais bon, cette méthode me semble quand même pas très adaptée pour ton besoin, c'est plutôt une technique de hacker . Et puis 15 secondes, c'est déjà long... pas le genre de truc que tu veux faire régulièrement sur ton serveur