Discussion :

[sygale]

Bonjour, j'ai un client applicatif qui utilise pour chacun de ces utilisateurs un user ORACLE.
Maintenant, nous devons mettre en place une modification de password depuis l'application.

Synopsis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
1- connection via application avec le user TOTO
2- demande saisie ancien password TOTO + nouveau + confirmation nouveau
3- vérification ancien est correct
4- vérification nouveau + confirmation
5- changement si tout est ok

Le problème c'est que je ne sais pas comment faire 3- vérification ancien est correct comme c'est ORACLE qui gère le cryptage des pwd !

Je voudrais savoir si il y a une fonctionne du style

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if verif_pwd(user, ancien_pwd) then
   pwd correcte
else
   pwd incohérent
end if;

Le client est développé en NATSTAR, et une seule connection base est possible.

QUESTION : Comment vérifier qu'une chaine de caractère est le mot de passe de l'utilisateur en cours de connection ?

[nuke_y]

1- connection via application avec le user TOTO

Ca ne suffit pas à assurer que TOTO a bien rentré son pwd ?

[sygale]

Ben dans l'absolu oui mais les utilisateurs ne ferme pas toujours leur session et il faut mieux demander pour être sure qu'un blagueur ne fasse pas des siennes !

Même ORACLE procède ainsi sous SQL+

[nuke_y]

Alors si tu considères qu'il faut changer le mdp dès ouverture de la session ? Du genre :

1 - démarrage de l'application par l'utilisateur TOTO
2 - saisie du mdp de TOTO dans l'application à l'ouverture de l'appli
|--> connection via application avec le user TOTO
|--> TOTO est correctement identifié
3 - demande de modification du mdp et interdiction de faire autre chose tant que le mdp n'est pas changé
|--> vérification nouveau + confirmation
|--> changement si tout est ok

non ?

[sygale]

non ?

Oui nous avons réfléchit à ca mais malheureusement :
Le client est développé en NATSTAR, et une seule connection base est possible. Sinon l'application plante !

nous avons aussi fait :
- Création d'un dblink sur la même base avec TOTO:pwd
- utilisatino du dblink si erreur mauvais ancien pwd.

Mais c'est vraiement pas joli du tout comme méthode

[sygale]

Personne ?
Bon je laisse le post ouvert aujourd'hui au cas ou

Merci d'avance

[nuke_y]

Ben en fait en y pensant, si cette fonction est accessible telle quelle, qu'est-ce qui empêche quelqu'un de tester tous les mdp en force brute, à partir du moment où il est connecté ?

[orafrance]

pour vérifier sur user/password est correcte, il y a une solution pas super propre mais qui devrait fonctionner.

Soit le user TOTO password MYPWD.

Tu crées le user TOTOM password YPWD, si le password est le même pour les user TOTO et TOTOM dans dba_users, alors c'est le bon mot de passe.

Tu as compris, password est crypter sur la concaténation de user et password

[nuke_y]

Et sur toutes les versions c'est comme ça ?

[bouyao]

Bonjour,

Pour vérifier si le nom de l'utilisateur et sont mot de passe sont correcte, il faut se connecter avec ce nom et ce mot de passe. Su tu veut utiliser d'autres techniques ca va être plus long

C'est vrai la valeur haché dans DBA_USERS ca vient de la concatenation du nom et du mot de passe (tous en majuscule). Donc avec un nom d'utilisateur clair et la valeur haché on peut trouver le mot de passe. (j'ai testé 6mn pour un mot de passe de 6 caracteres commencant par un C).

C'est pour cela, il faut toujours choisir un mot de passe long.

[sygale]

Merci pour toutes ces solutions.

J'ai vérifier la création d'un utilisateur du même nom + la lettre 'm' à la fin du nom. Et la comparaison des mpd cryptés. C'est assez long et difficile tout de même.
De plus je sais pas si c'est tjs le même algo de cryptage entre les versions oracle, et c'est pas super propre m'enfin

Je vais tout faire pour,qu'a partir de l'application cliente il se re-connect avec un user/ancien mdp afin de vérifier.
Il vas falloir et ferme voir trop ferme .
Mais des que l'on emploie les mots sécurité, risque cela passe mieux !!

En tout cas merci pour tous vos éffort !