Script renvoi du mot de passe

[jeanfrancois7]

C'est simple ce que je veux. SImplement comment faire pour un script qui permet aux membre de retrouver leur mot de passe par email. Ils entrent leur email et le mot de passe est envoyé à l'adresse.

Je sais que ComScript à cette fonction dans a peu près tout les sites membres mais je suis débutant et je veux une solution qui explique seulement ce point. J'ai cherché et à ma surprise rien trouvé qui explique que ça.

Mais je dois pas tapper les bons mots, c'est presqu'impossible que cette ressource ne soit pas en ligne.

JF

 

[Koxin-L]

Le problème, c'est que si le mot de passe est correctement crypté dans la bdd, il est impossible de le redonner.

Le suel moyen est d'en créer un nouveau et de leur demander de le changer.

 

[jeanfrancois7]

Étonnant, plusieurs système fiables le font pourtant?

Je comprends, donc il faudrait que ça cré un nouveau mot de passe et l'envoyer à l'utilisateur? Et il le modifie ensuite comme il le veut. Bien j'aimerais savoir comment faire ça?

Mais, pourtant même Gmail nous renvoi notre mot de passe d'origine. Est-ce que ça veut dire qu'ils sont pas sécurisé? 8O

Jeff

 

[YoyoS]

Je sais pas si c'est vraiment sécurisé de crypter le mot de pass. C'est facilement décryptable ou crackable avec des tables préparées pour ça.

Il faut être sure d'être le seul à accéder à la base de données, c'est le seul moyen pour que ça soit sécurisé

 

[Koxin-L]

Mais, pourtant même Gmail nous renvoi notre mot de passe d'origine. Est-ce que ça veut dire qu'ils sont pas sécurisé? 8O

Jeff

Bah oui.

Je sais pas si c'est vraiment sécurisé de crypter le mot de pass. C'est facilement décryptable ou crackable avec des tables préparées pour ça.

Il faut être sure d'être le seul à accéder à la base de données, c'est le seul moyen pour que ça soit sécurisé

Pas d'accord du tout. Je te met au défi de retrouver mes pass.

Si tu prend l'exemple du cryptage md5, il n'est pas réversible, donc aucun moyen de retrouver le pass.
Biensur, les pass courant sont facilement retrouvable via une table comprenannt tous mots du dico est leur cryptage.
Néanmoins, tout le monde sait qu'un mot de passe ne doit ni être un mot commun, ni un nom, etc...
Et si certains ne le savent pas, tant pis pour eux. :wink:

 

[jeanfrancois7]

Et ma solution elle?

Les mecs!! Vous oubliez de m'indiquer ma solution avec tout ça. Pointez moi juste une ressource avec l'infos et vous débaterez toute la journée avec vos défis ensuite. Moi je veux juste ajouter ma fonction, qui est une des plus répendu donc ça doit pas être sorcier.

8O

 

[Leonick]

en fait, il faut le faire en 2 temps :
1° envoyer un mel de vérification pour savoir si c'est la bonne personne qui demande la recréation du password
2° générer le nouveau password le crypter pour màj de la bdd et le renvoyer avec un lien

il ne faut pas oublier l'étape 1, car sinon je pourrais redemander un nouveau password pour toi et tu ne pourrais plus te connecter à ton compte avant de lire tes mels :evil:

 

[KOogar]

Re: Et ma solution elle?

Les mecs!! Vous oubliez de m'indiquer ma solution avec tout ça. Pointez moi juste une ressource avec l'infos et vous débaterez toute la journée avec vos défis ensuite. Moi je veux juste ajouter ma fonction, qui est une des plus répendu donc ça doit pas être sorcier.

8O

Tu ne trouveras pas de code tout fait car chacun fait a sa sauce. Puis c'est 2 fonctions ( 1 requete + l'envoie du mail)

<?php
mysql_query("SELECT email,mdp FROM table WHERE email = '$email'");
mail(); // envoi mdp
?>

Perso je ne preconise pas le crytage du MDP dans la base. Les serveurs sont de vrais forteresses. Puis si on a un public pour le peu profane en la matiere, on perd des membres tres vite.

C'est quand meme agreable de recevoir un mail avec son mdp et login sans avoir a faire une autre operation.

Rester brancher utilisateurs !!

 

[jeanfrancois7]

Je suis d'accord

C'est mon avis aussi. C'est chiant de devoir changer le pass. Mon hébergeur est vraiment sécur. C'est rackspace et j'ai jamais eu d'infiltration en 6 ans ni aucun down time, meme pas une seconde.

Merci pour le code, je vais essayer ca.

Jf

 

[jeanfrancois7]

Je suis vraiment débutant

Je suis vraiment débutant. C'est mon premier form. Donc si tu peux m'aider un peux en précisant quelques détails. Sachant que le champ email je l'appelle login pcq c'est le email qui est le login et pour pas changer le reste du code je l'ai nomé ainsi. Et le champ du mot de passe se nomme pass.

Aussi pour l'envoi par email. Il me faut surement un peu de code pour ça aussi. Je suis vraiment newbi, alors si je demande trop, peut-être un autre aura le courage de m'aider un peu plus. je sais que c'est pas facile de se mettre dans mes souliers quand ona votre expérience.

 

[YoyoS]

Désolé de parler d'autre chose, mais moi je parle de centaines de Go de tables. Tout ce qui est mot de pass md5 alphanumérique est crackable en tout cas

Bien sure, tu peux être sure que je ne possède pas ces centaines de Go. Mais c'est arrivé qu'on crack mes mots de pass md5. Des mots qui ne sont pas au dico je peux te l'assurer lol. Bref, on parle pu de ça ^^


Pour le script, je crois pas qu'on va te le filer tout prêt hein Si tu connais rien en php, ben pas la peine de demander. Autrement la logique serait:

Si tu veux changer le pass ,lorsqu'on insère son mail, tu check s'il existe ou non. S'il existe tu utilise par exemple les lettres de a à z et les chiffres de 1 à 9 puis tu prends au hasard 3 chiffres et 3 lettres, tu mets à jour le champ pass de la bdd et tu envoies le tout par mail.

Si tu le changes pas, ben tu fais que l'envoyer si le mail existe dans la bdd

Après à toi de taper sur google:

- envoyer un mail php
- aléatoire php
- manuel php ^^
- etc avec ce dont on te parle

C'est pas parce que tu es sur un forum qu'il ne faut pas utiliser intelligemment les moteurs de recherche

 

[Koxin-L]

Désolé de parler d'autre chose, mais moi je parle de centaines de Go de tables. Tout ce qui est mot de pass md5 alphanumérique est crackable en tout cas

Bien sure, tu peux être sure que je ne possède pas ces centaines de Go. Mais c'est arrivé qu'on crack mes mots de pass md5. Des mots qui ne sont pas au dico je peux te l'assurer lol. Bref, on parle pu de ça ^^

Si si, on en parle.

Sachant qu'un pass peut avoir x éléments, pouvant être chiffres, lettre, caractères spéciaux, il faudrait, en imaginant que l'on ait une base avec toutes les combinaisons, c'est à dire des trillions de trillions des dizaines d'année pour le trouver, sauf coup de bol.

 

[Leonick]

Mais c'est arrivé qu'on crack mes mots de pass md5. Des mots qui ne sont pas au dico je peux te l'assurer

parce que en fait, pour cracker des password, il y a 3 possibilités :
- l'ingénierie sociale (on essaie avec le nom des membres de la famille, des animaux de compagnie, etc.. voire du password donné sur un autre forum :lol:
- l'attaque par dictionnaire et effectivement quelques listes existes et font plusieurs centaines de Mo et on essaie mot par mot
- l'attaque par force brute, on teste tous les caractères possibles pour chacun des emplacements dans le mots, cela peut prendre beaucoup de temps.
Pour éviter les 2 derniers types d'attaques, il suffit de bloquer un certain temps lors de 4 ou 5 connexions infructueuses.
Mais ce type de blocage trop long peut amener un joli DOS, je teste toutes les possibilités pour admin et autres logins usuels ou connus et hop, impossible pour eux de se loguer car compte bloqué :evil:

 

[YoyoS]

@Koxinnelle et Leonick

Je parle pas des caractères spéciaux hein. Et non mes mots de pass sont du genre: afx34dsp . Donc pas des trucs personnels et encore moins au dico ou dans une liste. Je parle bien chiffres et lettres, et ça c'est tout à fait faisable, avec une énorme chance de trouver n'importe quoi. Peut de monde utilise ".","#","^", etc .. Je dirais même pas 1% de la population webesque lol.

Et je parle du cracking de password pour lesquels on possède le hash, la forme cryptée. Donc il faut déjà avoir pénétré un système ou accédé à la base de données pour l'avoir.

Les tables mettent des semaines à se générer. Le décryptage met quelques secondes à quelques minutes suivant la complexité du mot, le temps de lire toutes les possibilités et de faire la comparaison avec les autres hash générés

Bref j'ai pu m'y attarder par curiosité mais je suis pas un expert, c'est un sujet pas aussi simple que ce qu'il peut paraitre !

 

[BadProcESs]

Tout ce qui est mot de pass md5 alphanumérique est crackable en tout cas

D'où l'utilité d'utiliser le hashage en SHA avec la méthode "grain de sable" pour parer à cette éventualité

 

[Morph1er]

Sha-1 n'est pas plus sécurisé que md5 car tous 2 génèrent des collisions (2 chaînes différentes génèrent la même signature md5/Sha1)

Mais là ou tu as raison BadProcESs, c'est que la seule solutionc'est le grain de sable pour renforcer la sécurité.

 

[YoyoS]

Oué c'est exact. sha1(md5($pass)) sera plus sécurisé. La possibilité de le trouver diminue encore

 

[Koxin-L]

Tout comme md5(md5(md5(md5($pass)))) le sera encore plus...


Allez, pour ceux qui en veulent, à décrypter...

c14879daffaf3512334230d737fe1183

 

[YoyoS]

Tout comme md5(md5(md5(md5($pass)))) le sera encore plus...

Ui t'as raison :roll: 8O

 

[KOogar]

Re: Je suis vraiment débutant

Aussi pour l'envoi par email. Il me faut surement un peu de code pour ça aussi. Je suis vraiment newbi, alors si je demande trop, peut-être un autre aura le courage de m'aider un peu plus. je sais que c'est pas facile de se mettre dans mes souliers quand ona votre expérience.

Je comprend, puis ce code manque sur le web. Je vais en faire 1 qui soit adaptable pour tout le monde facilement et je le posterais sur un site de ressources php. Mais pas avant Lundi-Mardi... si tu peux attendre, dès que c'est fait, je up avec le lien.