Bonjour,
Voila sur certain site je voi quand je me connecte sur leur espace membres le lien :
"http://lesite.com/index.php?login=zozo75&pass=324dsfs3df4s32d1fsd4fsd2f13s5d4f"
"324dsfs3df4s32d1fsd4fsd2f13s5d4f" est le mot de passe encoder
Je voulai savoir comment encoder a partir d'un formulaire de connexion et decoder un mot de passe par la suite.
Je reste a votre disposition si vous avez des questions
@ bientot
Steph
Je sais pas si c'est très prudent de passer le mot de passe par GET (affichage dans l'URL). Personellement, j'utilise un cryptage MD5. Tu ne fais que le crypter, et ne le décryptes jamais.
Dans ta base de données, tu convertis ton pass en MD5. Puis, lors de la saisie du formulaire, tu fais un test du style :
Comment decoder le mot de passe quand l'utilisateur fait l'action "mot de passe oublié" ?
Impossible, on ne peut pas décoder un md5 on peut seulement le cracker. Et encore on n'appelle même pas ça du crack. On utilise la technique par rebondissement... la chaine initiale est introuvable Enfin bon.
Si l'utilisateur a oublié son mdp envoie une clef sur son mail qui lui permettra de changer son mdp, mais pas de récupérer l'ancien.
Il est impossible de déhacher, il faut comparer les 2 chaines hacher celle que tu as dans la BDD et celle que vien de soumettre le visiteur que tu vient de hacher. Si les 2 chaines sont identiques c'est bon.
salu,
pour te donner un petit conseil niveau sécurité, demande à l'utilisateur de taper un mot clé au hazard. Tu le rajoutera au moment de hashé, comme sa, le pirate ne poura pa comparer son hashé au tient.
Ceci est une technique emprunté au systeme unix, appelé "grain de sel".
Et md5 est unidirectionnel, tu peux pa réobtenir le pass en clair. Il faut evidemment le hashé avant de le stocker dans ta base de données.
a+
Il paraitrait que l'algorythme de cryptage MD5 possède une petite faille...J'ai lu ça sur un sujet traitant des algo de cryptage des données (pour la sécurisation de certaine page d'accès a des FTP) et il s'est révélé que le MD5 présentait la même forme hachée pour deux chaines spécifique et différentes....
Donc je me suis renseigné et la version la plus appropriée serait l'algorythme SHA1 qui utilise le même principe mais sur un nombre de bits plus important (SHA1 retourne 40 caractère héxa au lieu de 32 pour MD5)...Là en revanche je n'ai pas vu ce genre de problème mentionné...Enfin après pour un système de login, MD5 suffit mais c'est toujours bon a savoir qu'il existe quand meme une chance pour que MD5 retourne le meme hachage pour deux mots de passe différents
Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois. Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.
SiM07 