mot de passe oublié : concept

Discussion dans 'Web, design' créé par alan, 31 Mai 2004.

Statut de la discussion:
Fermée.
  1. Offline
    alan Elite
    voila donc jbosse sur un site en php/mysql (pass en md5)

    mais au niveau de la partie oubli pass, si j'ai un membre qui a pommé son pass, comment faire pour qu'il le 'retrouve' ?

    Donc je lui fais une page, mais que fait cette page ?
    au niveau sécurité, quesqu'il ya de bien? quel principe est possible ?
    alan, 31 Mai 2004
    #1
  2. Offline
    BaKa Touriste
    si pass crypté en md5 et pass oublié c'est impossible a retrouver je pense ...

    le meilleur moyen est vérification par mail (envoi d'un mail avec un lien qui permet de modifier le pass)

    enfin c pas encore parfait car y en a qui se font voler leurs compte mails facilement :D
    BaKa, 31 Mai 2004
    #2
  3. Offline
    Xou I ♥ rien
    md5 permet de crypter et non décrypter

    donc conseil, qd qqun perd son mot de passe tu lui envoie un mail avec son nouveau mot de passer

    pour ça tu utilises la fonction rand :)
    Xou, 31 Mai 2004
    #3
  4. Offline
    PunkDeLuxe condom
    tu fais ton propre systeme de cryptage, et comme tu auras la clé, np :p
    PunkDeLuxe, 31 Mai 2004
    #4
  5. Offline
    Carambar He once forgot how to cry
    Tu fais un lien qui génère automatiquement un nouveau mot de passe (un mélange de lettres, caractéres et autre) qui est envoyé à l'addresse e-mail de l'utilisateur.
    Carambar, 31 Mai 2004
    #5
  6. Offline
    alan Elite
    vi ca je c bien ke md5 on c pas retrouver...
    et pas envie de faire mon propre système de cryptage

    voudrai faire un systeme secure avec envoi de mail
    mais si qqn connais le nom d'un utilisateur et son mail ben voila...
    et le gars va se demander pk son pass est changé (meme s'il la par mail sa devrait pas arriver!!)

    quelques concepts pour rendre ce risque plus faible!
    alan, 31 Mai 2004
    #6
  7. Offline
    Carambar He once forgot how to cry
    Oui, mais ici on suppose que l'addresse e-mail fournie est authentique. Si tu veut éviter que cela se produise à chaque fois que quelqu'un clique sur le lien, ajoute un système qui envois une addresse de confirmation par e-mail. Si le changement n'est pas voulu et que la procédure a été initié par quelqu'un d'autre, rien ne se passeras tant que le lien de confirmation n'as pas été visité.
    Carambar, 31 Mai 2004
    #7
  8. Offline
    alan Elite
    Fearless
    vi jpensait a un systeme de confirmation
    mais comment proceder, donc
    il va sur la page d'oubli de passe,
    il rempli un form avec son pseudo et son mail,
    il confirme le formulaire,
    le systeme vérifie le pseudo et le mail,
    le systeme envoye un mail avec du blabla et un lien
    mais quoi dans le lien?? aime pas trop faire passer des infos par un lien, c'est pas top :-s
    alan, 31 Mai 2004
    #8
  9. Offline
    Xou I ♥ rien
    tu fais passer un numéro unique d'identification

    un peu comme un numéro de session généré en php qd tu en ouvres une
    Xou, 31 Mai 2004
    #9
  10. Offline
    alan Elite
    vi oki
    mais jvois pas trop comment faire ...
    alan, 31 Mai 2004
    #10
  11. Offline
    Carambar He once forgot how to cry
    Ben pas besoin de passer des informations dans le lien. Tu auras juste un paramètre avec une série de chiffres qui indentifie la nature de la requête, genre :

    ?confirm=000351 => SQL => utilisateur un tel qui veut changer son mot de passe.

    Sur la page de confirmation, tu mets en place tout un questionnaire dont les réponses sont déterminées par celles données par l'utilisateur lors de son inscription.

    P.S: C'est juste des idées et on peut toujours améliorer ;) .
    Carambar, 31 Mai 2004
    #11
  12. Online
    Jereck Procrastinateur
    Equipe GamerZ.be
    Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
    Jereck, 31 Mai 2004
    #12
  13. Offline
    alan Elite
    ce genre de truc que je voudrai!!! ;)
    jvais looker ...

    edit : vla j'ai testé
    j'ai cette url
    profile.php?mode=activate&u=2738&act_key=e35125&s=alan&p=n2iwTIEV
    alan, 31 Mai 2004
    #13
  14. Offline
    Xou I ♥ rien
    le problème avec ça, c'est que le pass est ds l'url donc ça fait pas très sécurisé je trouve :-(
    Xou, 31 Mai 2004
    #14
  15. Offline
    Carambar He once forgot how to cry
    Dans ca cas, il vaut mieux proposer à l'utilisateur d'entrer son ancien et nouveau pass en double à travers un formulaire (URL cachée).
    Carambar, 31 Mai 2004
    #15
  16. Offline
    k o D Belge !
    Bah oui mais bon le gars il n'avait pas à le paumer son pass hein :D

    Moi je ferais çà ainsi:

    :arrow: Le gars paume son pass et clique sur un lien du site 'pass perdu'
    :arrow: Il rentre l'adresse mail avec laquelle il s'est inscrit.
    :arrow: Envoi d'un mail lui demandant de confirmer l'opération avec un lien (dans lequel se trouve son mail)
    :arrow: Le gars clique sur ce lien
    :arrow: La page génère un new pass et l'envoie directement au mail du type.

    Ce n'est pas indispensable de faire tout çà mais çà fatigue les éventuels hackers
    k o D, 31 Mai 2004
    #16
  17. Online
    Jereck Procrastinateur
    Equipe GamerZ.be
    Heuuu, justement, le gars a paumé son ancien pass
    Jereck, 31 Mai 2004
    #17
  18. Offline
    titloup Elite
    C'est vrai que si tu changes le mot de passe de quelqu'un et que c'est pas lui, ça va arriver dans le bon email mais ça risque d'emmerder le monde si ce n'est pas la bonne personne qui le demande! :?

    Mais bon, le gens qui s'amusent à faire ça n'ont aucun intérêt vu qu'ils ne savent pas récupérer le mdp sauf s'ils savent se connecter à l'adresse email de la personne, et là c'est la personne qui est en cause.

    Sinon, le lien est en quelque sorte la façon que le type a pour se connecter direct. Au lieu de tapper son login et son nouveau de passe, tu mets tout ça déjà dans le lien que t'envoies à son email (ex: http://robert:passealeatoire@www.monsite.com/members)

    Mais t'es pas obligé de faire cela, suffit juste que tu l'envoies pas email son nouveau mdp et il fera ça manuellement.
    titloup, 31 Mai 2004
    #18
  19. Offline
    titloup Elite
    Ben faut que le serveur génére un "NumeroComplexeTemporaire" pour que l'utilisateur sache activer le service de renvoi d'un nouveau de passe. Ce "NumeroComplexeTemporaire" sera attribué à l'utilisateur qui a fait la demande et utilisé seulement pour changer le mot de passe courant. Par la même occasion, valide pour seulement 24h par exemple.

    Si l'utilisateur active ce "NumeroComplexeTemporaire", ben le serveur lui renvoi cette fois le nouveau mot de passe aléatoire d'accés à son compte.

    Le but est juste d'identifier la personne qui a fait la demande et rien d'autre, et si la personne en question a le bon "NumeroComplexeTemporaire" c'est que c'est bien elle. :wink:

    Il doit y avoir plus simple comme truc, faut dire que je ne me suis pas encore arrivé à ce stade :D
    titloup, 31 Mai 2004
    #19
  20. Offline
    Carambar He once forgot how to cry
    Heu oui c'est vrai :p . Je pensais à totalement autre chose :oops:. Le questionnaire serviras à déterminer s'il s'agit de la bonne personne comme sur certains webmail. Et l'idée du formulaire tiens toujours car on ne vois pas les variables utilisées dans l'addresse lors d'une soumission.
    Carambar, 31 Mai 2004
    #20
Statut de la discussion:
Fermée.