Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

regénérer un mot de passe par email

https://forum.phpfrance.com/viewtopic.php?f=23&t=242344

Page 1 sur 1

regénérer un mot de passe par email

Posté : 17 août 2008, 17:51
par x@v
Bonjour,
je cherche à regénérer un mot de passe.
Si l'utilisateur à perdu sont mot de passe, j'aimerai qu'il en recrée 1.
Il rentre sont email puis sont nouveau mot de passe
Mais comment procéder au mieux pour la sécurité.
J'ai pensé, à envoyez le passe créé et si il clique il confirme que c'est bien sa boite email ?
Mais je manque de recul, n'ayant jamais fait cela ?
Comment faire ?
Merci
edit1
si j'envoie le mot de passe crypter dans l'email et l'utilisateur il clique sur le lien qui contient le mot de passe crypter en valeur et une autre variable qui contient l'email, je récupère ce lien puis je insère le mot de passe dans la base ?
Mais je sens que ce n'est pas très sécuriser ?

edit2
Je me suis fait un petit text
1/ l'utilisateur envoie sont mail et sont nouveau mot de passe

2/ j'envoie le tout dans un lien de cette forme crypter en SHA1 ou crypt
?page=renouvellementPasse&mail=2342342342sdfsffsdsfsddsf&passe=fsd43545SDKK433KFDS32KFrezrdfsdds

3/ il reçoit ce lien dans sa boite email, qu'il à renseigner, et pour valider il devra cliquer dessus sous 1h.

4/ je reçois le lien, et j'insère sont nouveau mot de passe dans la base

Est ce que c'est bien sécuriser ?

Posté : 17 août 2008, 18:10
par @rthur
Bonjour,

La solution couramment utilisé est la suivante:
1) l'utilisateur a perdu son mot de passe, il va sur une page "mot de passe perdu" qui lui demande son adresse e-mail
2) il reçoit par e-mail un lien unique qui le redirige vers une page lui permettant de changer son mot de passe

PS: Merci de faire attention à l'orthographe+grammaire de tes phrases

Posté : 17 août 2008, 18:58
par x@v
Pour plus de sécurité je vais stocker une clé crypter qui sera envoyé à l'email, ensuite je testerai que cette clé est bien la même que celle stocker temporairement dans la table, ensuite j'efface le champ de la table.

C'est un peu plus original, que ce qui se fait classiquement ?

Posté : 17 août 2008, 19:02
par @rthur
Pour plus de sécurité je vais stocker une clé crypter qui sera envoyé à l'email, ensuite je testerai que cette clé est bien la même que celle stocker temporairement dans la table, ensuite j'efface le champ de la table.

C'est un peu plus original, que ce qui se fait classiquement ?
Bah, quand je parlais de lien unique, c'est effectivement qu'il fallait passer une variable unique en paramètre (que tu appelles clé), par conséquent ce n'est pas un peu plus original, c'est comme ça que tout le monde fait déjà :D

Posté : 17 août 2008, 19:22
par x@v
En faite j'ajoute, dans une table temporaire l'id du client crypter, que je récupère dans le lien puis je test l'id puis le passe crypter, donc sa fait deux test (deux vaut mieux qu'un).
Si un curieux passe, mes défenses (d'éléphant :)).
je lui aurrai stocker sont ip.
J'espère avoir des défenses d'éléphant php, assez impressionnante pour casser toutes véellitées de me craquer.
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/