par
cerber » 10 juin 2005, 16:41
et puis aussi je cherche une methode de cryptage qui soit réversible..ou du moins qui me permettent de retrouver mon mot de passe une fois crypté..paske si je l'oublie, comment je fais après ???
J'ai commencé (pas encore publié) un tuto la dessus (
il y a un an et demi 
)
j'ai une technique simple (dans ma tête), mais longue a coder et pas évidente a expliquer, mais bon, je vais essayer, sans prétention aucune :
- Probleme 1 : comment faire quand un membre perd son mot de passe ??
- le gars clique sur un lien et on lui affiche son nouveau mdp
](*,)
- Question secrete style "nom du chat" ? Ben c con : tout le monde connais mon chat, c'est "le chat"
!
-
Faut le renvoyer au membre par mail
- Probleme 2 : que doit il saisir pour qu'on lui renvoie ses identifiants ?
- login .... et si il sais plus
- mail .... mais avec quelle adresse me suis-je inscrit ?
(perso je jongle avec 5 + des adresses mail jetables 
)
- l'un ou l'autre et, si c'est pas trop lourd, permettre une recherche avec le caractère *
(ben oui, mon pseudo c'est cerber, mais si c'est déjà pris, ben faut trouver une variante style [GRMP]Cerber, et si les [] sont pas permis, .....)
Le seul hic avec cette technique c'est qu'elle oblige a bien *tracer* les changements de mail de l'utilisateur (erreur de frappe par exemple).
Certain le savent déjà, mais on peut aussi utiliser cette technique pour controler qu'une mail est valide.
Enfin, si t'a des questions, hésite pas (même si je sais qu'ils sont peu nombreux, ceux qui ont osés me suivre dans mes délires
)
[quote="loonie"]et puis aussi je cherche une methode de cryptage qui soit réversible..ou du moins qui me permettent de retrouver mon mot de passe une fois crypté..paske si je l'oublie, comment je fais après ???[/quote]
J'ai commencé (pas encore publié) un tuto la dessus ([size=42]il y a un an et demi[/size] :oops: )
j'ai une technique simple (dans ma tête), mais longue a coder et pas évidente a expliquer, mais bon, je vais essayer, sans prétention aucune :
[list][b]Probleme 1 : comment faire quand un membre perd son mot de passe ??[/b]
[*]le gars clique sur un lien et on lui affiche son nouveau mdp :tir2: ](*,)
[*]Question secrete style "nom du chat" ? Ben c con : tout le monde connais mon chat, c'est "le chat" :lol: !
[*] :arrow: Faut le renvoyer au membre par mail[/list]
[list][b]Probleme 2 : que doit il saisir pour qu'on lui renvoie ses identifiants ?[/b]
[*]login .... et si il sais plus
[*]mail .... mais avec quelle adresse me suis-je inscrit ?
(perso je jongle avec 5 + des adresses mail jetables ;))
[*] :arrow: l'un ou l'autre et, si c'est pas trop lourd, permettre une recherche avec le caractère *
(ben oui, mon pseudo c'est cerber, mais si c'est déjà pris, ben faut trouver une variante style [GRMP]Cerber, et si les [] sont pas permis, .....)[/list]
[list][b]Probleme 3 : qu'est-ce qu'on lui renvoie ?[/b]
[*]son pass en clair, comme ca il sait qu'on est un site sérieux et que si on se fait piquer notre BDD, le pirate aura le mail, le login et le pass de notre utilisateur, bof, pas grave, ca change quoi : notre site est un petit site de m3rd3 .....
LE probleme c'est que 90% des gens utilisent les mêmes " mail+login+pass" pour tout les sites où ils sont inscrits et que dans certains cas, le pass est aussi le pass du mail :shock:
[*]on regénère un nouveau pass ....
Et si Adrien (pour ne pas le citer) mon meilleur pote, ce grand blageur :axe:, demande un nouveau pass pour me casser les pieds ? Ben je peux plus me connecter alors que mon login et mon pass sont correctement tapés ! sans CAPS-LOCK !!!
Enfin, je fini par demander un nouveau pass et là, en ouvrant ma boite mail j'ai 50 mail de changements de mot de passe qui m'attendent ! (expérience vécue ](*,) )
[*] :arrow: la technique des clés !
On ne change rien au pass du membre, mais on génère une [i]clé[/i] aléatoire :
[php]//clé aléatoire de 32 caractères alphanumerique
$cle=md5(uniqid(rand()));[/php]
qu'on va stocker dans la base de donnée avec les info de l'utilisateur qui désire changer de pass.
Ensuite, on envoie cette clé par mail (si personne ne l'utilise, [url=http://www.phpfrance.com/forums/voir_sujet-3981.php]on la détruit automatiquement au bout de 48h[/url], par exemple)
Ensuite l'utilisateur *ramène* cette clé sur le site, soit par saisie dans un formulaire, soit en paramètre dans un lien style :
http://www.monsite.fr/changement_mdp.php?cle=md5c174fds2fds41fds1f1
Et on lui affiche alors le formulaire de changement de mot de passe.
On change son mot de passe et on supprime la clé
[size=150][b][color=red]V[/color][color=darkblue]O[/color][color=brown]I[/color][color=green]L[/color]A[/b][/size][/list]
Le seul hic avec cette technique c'est qu'elle oblige a bien *tracer* les changements de mail de l'utilisateur (erreur de frappe par exemple).
Certain le savent déjà, mais on peut aussi utiliser cette technique pour controler qu'une mail est valide.
Enfin, si t'a des questions, hésite pas (même si je sais qu'ils sont peu nombreux, ceux qui ont osés me suivre dans mes délires :lol:)
