Discussion :

[franfr57]

Bonjour,
je voudrais savoir comment je peut faire pour crypter les mots de passe des utilisateurs en utilisant une base de donnée...

[johweb]

Tu peux utiliser le md5 (fais une recherche) afin de stocker le mot de passe en crypté dans ta bdd. Lorsque l'utilisateur se connecte, tu teste le mot de passe donné en le recryptant.

[gofono_bass]

va voir du coté de la fontion md5()... et quelques recherches ne te feront surement pas de mal.

[franfr57]

merci beaucoup
que pensez vous de la fonction crypt?
on dit qu'on peut lui donner une valeur aléatoire pour plus de sécuriter encore..

[krfa1]

Bonjour,

Je me permets juste de dire que le cryptage MD5 n'est plus tout a fait sur, il serait préférable d'utiliser une fonction telle que le SHA 256 par exemple.

http://fr.wikipedia.org/wiki/Md5

Voilà, en espérant que ça t'aide

[gofono_bass]

krfa1 > si tu veux parler des chinois qui ont réussi à trouver un algo premettant de diminuer la complexité de cassage du md5, sache que selon cet algo, il faudrait encore posseder un supercalculateur pour choper ton mot de passe crypté en md5.. donc je pense qu'on peut encore l'utiliser...
Cela dit, si tu parles d'autre chose, je suis tout à fait preneur...

[franfr57]

comment je fais si l'utilisateur a oublié son mot de passe et qu'il veut que je lui renvoi par mail?

[tthierry]

le problème que je vois avec md5 (relatif à la qualité et à la détermination des attaquants potentiels) est qu'il y a tout un tas de méthodes sur le net pour retrouver un message en clair à partir d'un hash.

je pense notamment à un site qui a une interface à la google, il suffit de rentrer un hash et si ce dernier correspond à un texte en clair stocké dans la base de ce site c'est fichu (comme ça a déja été dit en ajoutant du sel ya plus de problème...d'où l'intérêt d'en mettre).

comment je fais si l'utilisateur a oublié son mot de passe et qu'il veut que je lui renvoi par mail?

t'en génères un.
une méthode parmis tant d'autres :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
//cré un pass composé de lettres minuscules
function kre_pass() {
        $val='';
        //nombre de lettres du pass
        $i=6;
        while ($i--) { $val.=chr(mt_rand(97,122)) };
        return $val;
    }

[krfa1]

je pense notamment à un site qui a une interface à la google, il suffit de rentrer un hash et si ce dernier correspond à un texte en clair stocké dans la base de ce site c'est fichu (comme ça a déja été dit en ajoutant du sel ya plus de problème...d'où l'intérêt d'en mettre).

C'est de ça que je voulais parler. Et si vous avez lu l'article, il n'y a pas besoin d'un super calculateur, mais simplement d'une base de donnée bien conséquente avec les mots les plus fréquemment utilisé.

Et je pense franchement qu'une très grande partie des gens mette des mots de passe assez simple a retrouver (Là je fais honneur à notre très cher professeur d'informatique qui mettait des mots de passe du style choucroute... )

Maintenant si tous tes utilisateurs mette des caractères spéciaux, je pense qu'il n'y a pas de soucis...

Et puis si tes données sont stockée dans une base de donnée, il faut pensé aussi qu'il y a la sécurité de la base ou de ton site à contourné avant même de trouver le password crypté...

En espérant que cette fois c'est pas trop salé...

[tthierry]

C'est de ça que je voulais parler. Et si vous avez lu l'article, il n'y a pas besoin d'un super calculateur, mais simplement d'une base de donnée bien conséquente avec les mots les plus fréquemment utilisé.

yep, et certains s'amusent à scanner les pages du web pour remplir une base accessible à tous.

Et puis si tes données sont stockée dans une base de donnée, il faut pensé aussi qu'il y a la sécurité de la base ou de ton site à contourné avant même de trouver le password crypté...

bah, pourquoi se prendre la tête avec tout ça alors qu'il suffit de corrompre un employé pour avoir tout ce que l'on veut