Discussion :

[truffrose]

Bonjour,

J ai une question a propos d un moyen de crypter et de décrypter un mot de passe.
Je doit sauvegarde dans une base de donnée MySQL des mots de passe.
Or je doit être capable de pouvoir retrouve les mots de passe de base.
Je cherche donc un moyen de faire quelque chose comme sa :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$psw = 'monPass';
$cryptePsw = encrypt($psw);
$decryptePsw = decrypt($enPsw);

[gototog]

on ne décrypte jamais les mots de passe.
D'ailleurs la méthode de cryptage ne devrait pas permettre d’être retrouvé.

Pour tester tes mots de passes, tu tests le mot de passe crypté de la base, avec le mot de passe que l'utilisateur renseigne dans le formulaire de connexion,crypté.

Exemple pour que ce soit plus clair:
Mot de passe en base: 454qsd5g44q6zaeg24sq6dg4aqsdg
Mot de passe que l'utilisateur renseigne dans le formulaire de login: toto
On test donc le login avec cryptage(toto) == 454qsd5g44q6zaeg24sq6dg4aqsdg

Or je doit être capable de pouvoir retrouve les mots de passe de base.

Pour quels besoins?

[ovh]

Oui enfin, même si en effet il vaut mieux utiliser une méthode de hash irréversible plutôt qu'un chiffrement réversible, dans certains cas, on impose de pouvoir récupérer un mot de passe, et là tu n'as pas le choix.

Expérience professionnelle : on avait mis en place un système qui devait créer des mots de passe aléatoires mais résersibles, car on devait en informer l'utilisateur par email. Ensuite, à la première connexion, on les forçait à changer de mot de passe et à ce moment-là on faisait un hash... Ca a été une catastrophe, panique totale des utilisateurs qui ne se souvenaient pas qu'ils avaient changé de mot de passe et se référaient tout le temps au mot de passe indiqué dans l'email initial... Le client a du coup été submergé de demandes de support, et nous de tickets "le mot de passe ne marche pas", alors qu'en fait tout marchait, c'est juste qu'il y avait une majorité de boulets... A l'unanimité on a supprimé le hash et gardé uniquement un mot de passe résersible sans obligation de modification...

Pour répondre à la question posée, il faudra utiliser les fonctions de l'api mcrypt :
http://fr.php.net/manual/en/book.mcrypt.php

[truffrose]

Merci pour vos réponse je vais y jeté un coups d œil.

Je sais très bien qu il ne faut pouvoir retrouve les mot de passe rien que pour des question d étique et de sécurité.

Mais dans mon cas ce n est pas un fois personnelle mais une obligation professionnel.

[gototog]

truffrose quel est ce besoin professionnel? il y'a surement un moyen d'éviter cela.

@Ovh: Votre scenario de renseignement de mot de passe est complexe dans le mauvais sens du terme, ca me semble normal normal que vos utilisateurs ont été perdu. Au final votre justification de mettre des mots de passes réversibles repose sur une fonctionnalité qui aurait très bien pu se contenter d'un token de connexion.

[truffrose]

J ignore pour quel raison je dois faire cela mais c est comme cela que le code m a été commandé je ne fait que répondre au attente de mon patron.