PHPfrance

la communauté d'entraide francophone dédiée au PHP

Gestionnaire de mots de passe personnalisé

4 messages   •   Page 1 sur 1
   Outils de sujet
TerryM
Invité n'ayant pas de compte PHPfrance

19 sept. 2021, 19:14

Bonjour à tous,
J'ai dans l'idée de développer mon propre gestionnaire de mots de passe qui sera hébergé sur mon serveur mutualisé.

- Le gestionnaire sera extrêmement simple (génération, modification, et suppression de mots de passe, rien de plus)
- L'authentification se fera avec une adresse e-mail ainsi qu'un mot de passe maître
- L'e-mail et le mot de passe maître seront inscrits en dur dans le code PHP (pas de comparaison PHP <-> BDD)
- Si l'authentification est faite à partir d'un appareil inconnu (absence du fichier cookie), un deuxième MDP maître sera demandé
- Les mots de passe générés au fur et à mesure seront stockés en clair dans une BDD MySQL, car s'ils sont cryptés je ne pourrais pas les afficher dans le front-office de mon gestionnaire

Je souhaiterais avoir des avis uniquement techniques sur le sujet SVP. L'idée ce n'est pas de savoir quel gestionnaire de MDP existant sur le marché prendre, mais de savoir si créer son propre gestionnaire est intéressant et plus sécurisé.

Merci ! :wink:

Terry.
Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9782 Messages

20 sept. 2021, 08:45

En terme de sécurité, c'est très rarement bon de redévelopper quelque chose from scratch, car tu n'auras pas l'expertise ni l'expérience acquise par d'autres équipes. Par ailleurs, il est possible que tu mettes des failles de sécurité dans ton code sans t'en rendre compte, donc généralement les systèmes opensource sont plus robustes car relus par plusieurs contributeurs, voir même parfois testé par des sociétés spécialisées.

A minima, si tu veux poursuivre dans cette branche, étudie le fonctionnement des solutions opensource existantes, c'est l'avantage de l'opensource, car tu y trouveras peut-être des bonnes pratiques dont tu pourrais t'inspirer.
Voici 2 exemples de gestionnaire de mots de passe en PHP :
https://www.syspass.org
https://teampass.net
Quand tout le reste a échoué, lisez le mode d'emploi...
TerryM
Invité n'ayant pas de compte PHPfrance

22 sept. 2021, 20:37

Bonjour Arthur et merci pour ta réponse avec laquelle je suis tout à fait d'accord.
Est-ce que développer sa propre solution permet entre autre d'échapper aux failles de sécurité qui pourrait subsister dans les outils connus justement ?
Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9782 Messages

26 sept. 2021, 00:48

Le 100% home-made en terme de sécurité c'est quasi-jamais une bonne idée, car tu auras forcément + de failles que les outils existants.
Quand tout le reste a échoué, lisez le mode d'emploi...
   Répondre
4 messages   •   Page 1 sur 1
   Outils de sujet