Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Sécurité] Comment crypter input password ?
Bonjour a tous !
Je me pose une question et je n'arrive pas a savoir si cela est possible !
Est-il possible de crypter la valeur d'un élément "input password"
En effet, je suis en train de développer un intranet et je souhaiterais que lorsque la personne se connecte son mot de passe ne soit pa envoyé en clair sur le réseau.
Je pense qu'il y aura un problème comme PHP est un langage serveur, mais si ya quelqu'un qui a une idée ca serait bien sympa
Merci d'avance
Tchô !
Tu peux fonctionner en https mais je ne pense pas que cela soit possible directement en http.
Il n'y a pas 36 solutions (simples) : https.
edit : grillé
Merci pour les réponses et désolé du retard pour re-répondre
J'ai encore une petite question, je sais que ca n'as pa reellement de rapport avec le forum ou je poste mais bon !
la valeur de l'input elle pe pas etre chiffré grace au md5 et avec AJAX ?
Merci encore pour votre rapidité de réponse à mes petites questions
Aurevoir !
Et pourquoi pas un cryptage à la volée avec Javascript (avant l'envoi) ?
tu peux encoder en javascript, à condition d'utiliser un hash irreversible (ex: md5), sinon ça ne sera pas sécurisé étant donné que l'algo de cryptage est envoyé au client.
Quoiqu'il en soit, si tu optes pour du cryptage avec javascript, tout navigateur sur lequel javascript n'est pas actif sera incapable de se connecter, et (selon comment est fait ton code js) enverra peut être même le mot de passe en clair.
Si tu veux sécurisé une authentification, il est clair que https est la meilleure solution
Merci pour toutes ces réponses très constructives
J'ai reussi a faire ce que je voulais grace au script MD5 en javascript
Merci encore a tous !
Bonne continuation !
PS : Hervé Saladin, pas mal le lien "Ne cliquez pas sur ce lien"
Pour info, avec les méthodes de crypto à clé publique et clé privée, on peut envoyer l'algo pour encoder sans pouvoir le décoder...
Juste une petite remarque au niveau de la sécurité.Envoyé par stringman62
Le fait de crypter ton password pour qu'il ne véhicule pas en clair sur le
réseau n'est pas une mauvaise chose, mais cela n'apporte rien en terme
de sécurité.
Celui qui "snif" les paquets verra la valeur md5 du mot de passe. Il ne pourra
pas savoir le mot de passe original, mais il pourra reproduire une requête avec
la valeur du md5 et pourra se loguer !
je pense que le mieux est de garder le mot de passe en clair, puis de le comparer en bdd en suivant la technique du grain de sel !
Bonjour a tous !
En effet je viens de me rendre compte que si la personne recupere l'en-tête HTTP, elle recupère le hash MD5 et donc en recréant une requete elle peut aisement se loguer.
L'idée du grain de sel me parait simple a mettre en oeuvre et assez securisé.
Arretez moi si je n'ai pas compris la methode :
En fait, le grain de sel est une valeur aleatoire,relative a l'utilisateur, stockée en clair dans la base de données.
Et lorsque la personne tente de se loguer 2 requetes se font:
- la premiere verifie si le login existe dans la base et donne le grain de sel.
- la seconde verifie le mot de passe concaténé au grain de sel le tout chiffrer en MD5.
Ai-je bien compris le truc ? ou suis-je complètement a côté de la plaque ?
Merci encore a tous !
Tchô !
Salut,
tu as bien compris, mais le grain de sel ne devrait pas être le même à chaque
login. cela peut être une valeur aléatoire valable que pour un login.
effectivement, utilise la fonction rand() de php pour générer ce grain de sel ; genre :
Code : Sélectionner tout - Visualiser dans une fenêtre à part $monGrainDeSel = rand(10000,99999); // un chiffre assez grand est plus sécurisé.
Ok donc pour chaque utilisateur, un grain de sel c'est bien ca?
Ou alors, a chaque fois que la personne se logue un grain de sel est généré?
Merci encore pour la derniere petite precision
Tchô !
non pas à chaque connexion.
un grain de sel par utilisateur.
http://matthieu.developpez.com/authentification/#L2.2
MERCIIIII ! !! ! !
C'est bien ce que je pensais.
Je suis en train de mettre en oeuvre cette methode !
Bonne continuation a tous !
Et encore merci a tous pour tout ces renseignements !
Tchô !
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager