Récupération d'un mot de passe par un membre
- Auteur de la discussion max6
- Date de début
A
Anonymous
Guest
Parce que vous stockez en clair les mdp, vous ??
Oué enfin j'lui explique la base hein, va pas commencer à l'embrouillé 
)) En plus j'ai toujours trouvé ce genre de reflexion bizarre... En effet qu'est-ce que tu veux que ça change que tes passes soit en clair ou pas ? La seule façon de l'obtenir serez d'exploiter une faille PHP qui si c'est bien codé n'existera jamais ou alors d'accèder à la base de données... Mais dans ce second cas franchement je crois que le type n'en aura plus rien à battre des pass de tes utilisateurs.
Mais bon y a des psycothiques partout maintenant
)) En plus j'ai toujours trouvé ce genre de reflexion bizarre... En effet qu'est-ce que tu veux que ça change que tes passes soit en clair ou pas ? La seule façon de l'obtenir serez d'exploiter une faille PHP qui si c'est bien codé n'existera jamais ou alors d'accèder à la base de données... Mais dans ce second cas franchement je crois que le type n'en aura plus rien à battre des pass de tes utilisateurs.Mais bon y a des psycothiques partout maintenant
A
Anonymous
Guest
Les mdp doivent être cryptés pour que lors de la comparaison mdp saisi / mdp enregistré, les données envoyées ne passent passent en clair sur le réseau. voilà pourquoi... maintenant, tout dépend de ce tu veux "protéger"...
WRInaute discret
Réponse
Heu php agit au niveau du serveur, donc ton mot de passe (que l'utilisateur entre en clair dans son formulaire) transitera toujours en clair sur le réseau.
Donc c'est tout à fait inutile de crypter les mots de passe dans la base de données (en plus ça surcharge php qui doit analyser et comparer avec du md5)...
A ++ :wink:
Heu php agit au niveau du serveur, donc ton mot de passe (que l'utilisateur entre en clair dans son formulaire) transitera toujours en clair sur le réseau.
Donc c'est tout à fait inutile de crypter les mots de passe dans la base de données (en plus ça surcharge php qui doit analyser et comparer avec du md5)...
A ++ :wink:
WRInaute discret
Réponse
WRInaute passionné
Bah pourtant c'est la base de sécurité de crypter les mots de passe dans une bdd, en md5 idéalement. De cette manière, il ne peut y avoir d'ambiguité avec le webmaster et les mots de passe sont irrécupérable, il faut en regénérer un en cas de perte...
WRInaute discret
Réponse
Mais si quelqu'un arrive à pirater ta base il connaîtra tout le contenu, alors les mots de passe...
c'est inutile de les crypter, sauf si l'internaute met le même mot de passe sur tous les sites qu'il consulte et que le pirate le trace via des infos personnelles, mais bon... :wink:
Mais si quelqu'un arrive à pirater ta base il connaîtra tout le contenu, alors les mots de passe...
c'est inutile de les crypter, sauf si l'internaute met le même mot de passe sur tous les sites qu'il consulte et que le pirate le trace via des infos personnelles, mais bon... :wink:
Franchement l'ambiguité avec le webmaster est une fausse excuse Si t'a besoin d'avoir le mot de passe d'un de tes membres pour avoir le contrôle sur certaines données utilisateur faut changer de boulot Prenons l'exemple d'un forum phpBB, une visite dans la base et en 8x6 on récupere les soit disant messages privés
Si t'a besoin d'avoir le mot de passe d'un de tes membres pour avoir le contrôle sur certaines données utilisateur faut changer de boulot Prenons l'exemple d'un forum phpBB, une visite dans la base et en 8x6 on récupere les soit disant messages privésWRInaute passionné
Re: Réponse
C'est exactement pour cela qu'il est conseillé de crypter les mots de passe.
Un exemple : J'ai déjà vu le cas avec un ami webmaster d'un "grand site" (50 000 visiteurs/jours), celui-ci a faillit être attaqué car un de ses membres l'accusait d'avoir piraté son compte de messagerie personnel via son mot de passe qui, selon ces dires, étaient identique à l'inscription sur ce même site (je vous accorde que c'est compklètement stupide, mais bon c'est comme ca). Et justement mon ami a pu ce "défendre" en retorquant (et en apportant la preuve) que les mots de passe des membres étaient cryptés dans la base du site et qu'il n'avait aucun moyen de les récupérer... Ca n'arrive pas qu'aux autres...
anthomicro a dit:
C'est exactement pour cela qu'il est conseillé de crypter les mots de passe.
Un exemple : J'ai déjà vu le cas avec un ami webmaster d'un "grand site" (50 000 visiteurs/jours), celui-ci a faillit être attaqué car un de ses membres l'accusait d'avoir piraté son compte de messagerie personnel via son mot de passe qui, selon ces dires, étaient identique à l'inscription sur ce même site (je vous accorde que c'est compklètement stupide, mais bon c'est comme ca). Et justement mon ami a pu ce "défendre" en retorquant (et en apportant la preuve) que les mots de passe des membres étaient cryptés dans la base du site et qu'il n'avait aucun moyen de les récupérer... Ca n'arrive pas qu'aux autres...
WRInaute discret
Réponse
C'est vrai au sujet des messages privés, tout ce qui est textuel est lisible, et je pense qu'il est inutile de crypter les messages privés dans la base pour les décrypter ensuite, car si l'utilisateur pirate ta base, il a surement les capacités de pirater ton site, donc d'accéder aux fichiers FTP, de décrypter les messages...
Il faut un minimum de protection, mais crypter les données alors qu'on peut accéder à tout le reste en piratant une base...
C'est vrai au sujet des messages privés, tout ce qui est textuel est lisible, et je pense qu'il est inutile de crypter les messages privés dans la base pour les décrypter ensuite, car si l'utilisateur pirate ta base, il a surement les capacités de pirater ton site, donc d'accéder aux fichiers FTP, de décrypter les messages...
Il faut un minimum de protection, mais crypter les données alors qu'on peut accéder à tout le reste en piratant une base...
WRInaute discret
Re: Réponse
Heu désolé je n'ai pas vu ton post.
C'est vrai que ça peut te défendre, mais si tu n'as rien à te reprocher il est facile d'obtenrir via la justice l'IP du mec qui t'a piraté ta boite mail, pour ensuite constater que ce n'est pas toi...
Heu désolé je n'ai pas vu ton post.
C'est vrai que ça peut te défendre, mais si tu n'as rien à te reprocher il est facile d'obtenrir via la justice l'IP du mec qui t'a piraté ta boite mail, pour ensuite constater que ce n'est pas toi...
1/ transport des données
anthomicro, le raisonnement qui consiste à dire que l'internaute rentre son mdp en clair donc il transite en clair sur le réseau est inexacte. Libre à toi de choisir un protocole qui permet le cryptage des données dès le poste client.
2/coté serveur
la justification de BadProcESs est très juste. Et de toute façon dans une organisation un peu étendue on perd vite la maîtrise de l'ensemble des personnes susceptibles d'accéder aux bases de données dans le cadre normal de leur activité. Si toi tu es réglo, le collègue du bureau à coté peut être pas totalement...
Non je crois vraiment que le cryptage est utile pour la protection de données sensibles. A chacun de déterminer ce qui est sensible ou pas. Mais l'expérience montre que l'incident arrive toujours trop vite et là ou on ne l'attendait pas.
anthomicro, le raisonnement qui consiste à dire que l'internaute rentre son mdp en clair donc il transite en clair sur le réseau est inexacte. Libre à toi de choisir un protocole qui permet le cryptage des données dès le poste client.
2/coté serveur
la justification de BadProcESs est très juste. Et de toute façon dans une organisation un peu étendue on perd vite la maîtrise de l'ensemble des personnes susceptibles d'accéder aux bases de données dans le cadre normal de leur activité. Si toi tu es réglo, le collègue du bureau à coté peut être pas totalement...
Non je crois vraiment que le cryptage est utile pour la protection de données sensibles. A chacun de déterminer ce qui est sensible ou pas. Mais l'expérience montre que l'incident arrive toujours trop vite et là ou on ne l'attendait pas.
WRInaute discret
Je parle du protocole HTTP utilisé par 99 % des sites web, qui fait transiter en clair les mots de passe (les étoiles ou points utilisés par windows ne masquent que le mot de passe à l'écran, rien de plus).
a ++
WRInaute passionné
Re: Réponse
Certe, mais pour les mots de passe justement, la règle en la matière est d'utiliser un système de cryptage basé sur le hashage, comme le MD5. Ce système à l'avantage d'être irréversible, donc totalement illisible pour l'éventuel pirate.
anthomicro a dit:
Certe, mais pour les mots de passe justement, la règle en la matière est d'utiliser un système de cryptage basé sur le hashage, comme le MD5. Ce système à l'avantage d'être irréversible, donc totalement illisible pour l'éventuel pirate.
A quoi bon mettre en place une authentification si tout le monde peut pirater le compte de tout le monde ?max6 a dit:
Ca c'est un vrai problème : à moins d'ouvrir en HTPPS dès l'accueil (où se trouve la saisie du compte), est-ce qu'on peut crypter le mdp sur le navigateur ? en md5 et en javascript ?anthomicro a dit:
Impec ! md5 est non réversible, en prenant la version de clé la plus élevée possible, c'est encore mieux. La probabilité pour avoir le même résultat sur 32 chiffres en hexadécimal, même sur une chaîne très petite, est très faible.BadProcESs a dit:
S'il peut pirater un mot de passe, il n'aura pas besoin de faire l'effort (à priori plus grand) ni de prendre le risque de pirater ta base. Tout dépend de son but évidemment, mais il s'agit ici à priori de pirater un seul compte.anthomicro a dit:
Oui d'où l'intérêt d'utiliser un mécanisme de cryptage non réversible : même l'adomistrateur ne peut pas connaître votre mot de passe.BadProcESs a dit:
Facile ? si le mec est très compétent, justice ou pas, tu peux toujours courir ! Que ce n'est pas toi ? Prouves que tu n'es pas capable de masquer ton IP ...anthomicro a dit:
En cas de non identification d'un tiers, aux yeux de la loi c'est le webmestre qui en prend plein la gueule !
Quelques remarques pour conclure. Quand vous envoyez un mot de passe par email, évitez d'écrire les mots clés (tiens ca me rappelle quelque chose ;-) ) dans l'email du style "mot de passe", "pass", "login", "compte" ...
Ensuite le non réversible c'est bien pour protéger les administrateurs du risque juridique, mais insuffisant en matière de sécurité. Si l'enfoiré chope ma chaine de connexion cryptée, qui ne changera pas tant que mon mdp sera le même, il peut se connecter sous mon compte.
La vraie solution c'est les mots de passe jetables (dynamiques ou one-time passwords) , valables seulement la durée d'une session. Mais on est en loin, très loin ...
WRInaute passionné
Ouhais mais enfin bon, faut être foutrement tordu pour tenir deux tables de mdp, et surtout aimer prendre des risques !!
lol nous voila dans une grande discussion .
J'avais réfléchi a ce problème déja que si on mettait n'importe quel pseudo ca permettrait à tout le monde d'avoir le mot de passe .
Mais avec une adresse email c'est pareil , on peut rentrer l'adresse email d'un autre membre et avoir son mot de passe .
Meme les deux (login et email) pose les memes problèmes .
Je sais pas comment faire , je crois que je ne vais pas mettre ce système de récupération de mot de passe , ca cause trop de problèmes de gestion .
Merci a tous quand meme .
J'avais réfléchi a ce problème déja que si on mettait n'importe quel pseudo ca permettrait à tout le monde d'avoir le mot de passe .
Mais avec une adresse email c'est pareil , on peut rentrer l'adresse email d'un autre membre et avoir son mot de passe .
Meme les deux (login et email) pose les memes problèmes .
Je sais pas comment faire , je crois que je ne vais pas mettre ce système de récupération de mot de passe , ca cause trop de problèmes de gestion .
Merci a tous quand meme .
Si vous avez lu les recomendations de la CNIL lorsque vous avez enregistrez votre site (et il doit l'etre si vous avez des "membres") vous avez sans doute vu que OBLIGATOIRE légalement de crypter les mdp. Que ce soit utile ou non n'est pas vraiment le pb, du moment que c'est obligatoire....
(ce post s'autodétruira comme tous mes posts, a la prochaine connection du webmaster...)
(ce post s'autodétruira comme tous mes posts, a la prochaine connection du webmaster...)
WRInaute passionné
BadProcESs a dit:
non, j'avais réfléchi à ce problème pour changer la méthode de cryptage sur mon site : il suffit d'attendre que le membre en question se log sur le site... et là on a le mot de passe recherché, pour l'utilisateur de son choix. Bien sûr, il faut que ce membre se connecte, mais c'est fort probable non ? :?
➡️ Offre MyRankingMetrics ⬅️
pré-audit SEO gratuit avec RM Tech (+ avis d'expert)
coaching offert aux clients (avec Olivier Duffez ou Fabien Faceries)
Voir les détails ici
Discussions similaires
