Renvoyer un mot de passe crypté

[psychoreflex]

Bonjour,

Je suis pris d'une angoisse subite et ô combien tenaillante :

Je crypte les mots de passe de la zone membre que je programme.
Mais si un amnésique veut récupérer son mot de passe, qu'est ce que je vais lui envoyer ? Quand même pas un md5(), je suis pas sadique à ce point là.

Je fais comment ?

 

[birkoss]

Ca dépend tu le crypt comment ...

Moi j'enverais plutot un lien pour 'resetter' son mot de passe, (avec une validation pour éviter de faire resetter le pass des autres).

 

[Arsène]

Tu lui remplaces son mot de passe par un provisoire, bidon, qu'il devra changer dès sa première connexion avec.

 

[psychoreflex]

Faudrait faire un truc comme google je crois, non ?

Je suis fatigué là la vache, je pige plus rien à cette heure.



Alors :

Le gars se dit "quelle tâche j'ai oublié mon mot de passe". Pan il se tire une balle, c'est réglé.
Manque de pot, il est coriace il a tenu le coup. Il arrive donc en gesticulant misérablement jusqu'à la sourie et clique sur "t'as oublié ton mot de passe Ducon ?". Là il y a un champ de formulaire où il entre son email.
Il reçoit un email avec un lien qui l'expédie sur une page où il est écrit "tappe un nouveau mot de passe, trouffion de mes deux. Et retiens le cette fois, pauvre tare".
Il s'exécute en bavant lamentablement. En validant, il a de nouveau accès à son compte.
Il peut alors mourrir serein, satisfait d'avoir accompli sa mission, s'endormant une dernière fois après avoir chié dans son froc.

J'ai tout bon ?
Bah je vais me coucher alors.

 

[psychoreflex]

Ca dépend tu le crypt comment ...

Moi j'enverais plutot un lien pour 'resetter' son mot de passe, (avec une validation pour éviter de faire resetter le pass des autres).

Avec md5() , je peux rien en faire après.

je vois pas trop comment resetter le mot de passe par un lien dans un mail.

 

[psychoreflex]

Tu lui remplaces son mot de passe par un provisoire, bidon, qu'il devra changer dès sa première connexion avec.

Je lui remplace à quel moment de la manoeuvre, je pige pas trop là non plus. Je lui envoie un mot de passe bidon dans l'email c'est ça ? Il se reconnecte et là dans son compte il peut le changer, c'est ça ?

Ouais c'est peut être ça qui manque à mon scénario.

 

[Szarah]

Oublié mot de passe ? > clic > envoi d'un mail avec un lien changement.php?nb=Aer12Tzer12J > clic > changement de passe

 

[psychoreflex]

Je suis pas convaincu là.

Je crois que j'ai trouvé le bon rythme de toute façon.

 

[Arsène]

je pige pas trop là non plus. Je lui envoie un mot de passe bidon dans l'email c'est ça ? Il se reconnecte et là dans son compte il peut le changer, c'est ça ?

Le problème, de cette manière, c'est que rien n'empèche n'importe qui de changer le mot de passe d'un autre.

Ta solution à la Google, comme l'a décrite Szarah, avec dans l'email un URL contenant un identifiant unique de l'opération visée, est bien plus sûre, je trouve.

 

[maddanny]

je pige pas trop là non plus. Je lui envoie un mot de passe bidon dans l'email c'est ça ? Il se reconnecte et là dans son compte il peut le changer, c'est ça ?

Le problème, de cette manière, c'est que rien n'empèche n'importe qui de changer le mot de passe d'un autre.

Ta solution à la Google, comme l'a décrite Szarah, avec dans l'email un URL contenant un identifiant unique de l'opération visée, est bien plus sûre, je trouve.

Le fait d'envoyer un lien pour regenerer un mot de passe a un autre avantage: empecher les petits malins de bloquer un compte en demandant sans arret un nouveau mot de passe. Perso je mets dans une table le login & ip, et j'efface tous les elements qui ont plus de 30min, comme ça les petits c**s peuvent pas faire chier on peut aussi envoyer un cookie (obligatoire sinon ça n'a aucun interet) pour éviter qu'une personne demande plusieurs mots de passe trop rapidement (certes la personne peut effacer le cookie mais j'en doute qu'elle s'amuse bcp de temps avec)

MADdanny

 

[psychoreflex]

Ok en effet, l'envoie d'un nouveau mot de passe sur commande est une mauvaise solution.

J'en ai profité pour poser plus ou moins la même question sur un autre forum, on m'a donné une solution ressemblant à celle de maddanny. C'est donc quelque chose dans ce genre que je vais faire.


Merci à tous