mot de passe oublié : concept

Statut
N'est pas ouverte pour d'autres réponses.

alan

Elite
voila donc jbosse sur un site en php/mysql (pass en md5)

mais au niveau de la partie oubli pass, si j'ai un membre qui a pommé son pass, comment faire pour qu'il le 'retrouve' ?

Donc je lui fais une page, mais que fait cette page ?
au niveau sécurité, quesqu'il ya de bien? quel principe est possible ?
 

BaKa

Touriste
si pass crypté en md5 et pass oublié c'est impossible a retrouver je pense ...

le meilleur moyen est vérification par mail (envoi d'un mail avec un lien qui permet de modifier le pass)

enfin c pas encore parfait car y en a qui se font voler leurs compte mails facilement :D
 

Xou

I ♥ rien
md5 permet de crypter et non décrypter

donc conseil, qd qqun perd son mot de passe tu lui envoie un mail avec son nouveau mot de passer

pour ça tu utilises la fonction rand :)
 
tu fais ton propre systeme de cryptage, et comme tu auras la clé, np :p
 

Carambar

Elite
Tu fais un lien qui génère automatiquement un nouveau mot de passe (un mélange de lettres, caractéres et autre) qui est envoyé à l'addresse e-mail de l'utilisateur.
 
1er
OP
alan

alan

Elite
vi ca je c bien ke md5 on c pas retrouver...
et pas envie de faire mon propre système de cryptage

voudrai faire un systeme secure avec envoi de mail
mais si qqn connais le nom d'un utilisateur et son mail ben voila...
et le gars va se demander pk son pass est changé (meme s'il la par mail sa devrait pas arriver!!)

quelques concepts pour rendre ce risque plus faible!
 

Carambar

Elite
Oui, mais ici on suppose que l'addresse e-mail fournie est authentique. Si tu veut éviter que cela se produise à chaque fois que quelqu'un clique sur le lien, ajoute un système qui envois une addresse de confirmation par e-mail. Si le changement n'est pas voulu et que la procédure a été initié par quelqu'un d'autre, rien ne se passeras tant que le lien de confirmation n'as pas été visité.
 
1er
OP
alan

alan

Elite
Fearless
vi jpensait a un systeme de confirmation
mais comment proceder, donc
il va sur la page d'oubli de passe,
il rempli un form avec son pseudo et son mail,
il confirme le formulaire,
le systeme vérifie le pseudo et le mail,
le systeme envoye un mail avec du blabla et un lien
mais quoi dans le lien?? aime pas trop faire passer des infos par un lien, c'est pas top :-s
 

Xou

I ♥ rien
tu fais passer un numéro unique d'identification

un peu comme un numéro de session généré en php qd tu en ouvres une
 
1er
OP
alan

alan

Elite
XyXy a dit:
tu fais passer un numéro unique d'identification

un peu comme un numéro de session généré en php qd tu en ouvres une
vi oki
mais jvois pas trop comment faire ...
 

Carambar

Elite
alan a dit:
Fearless
vi jpensait a un systeme de confirmation
mais comment proceder, donc
il va sur la page d'oubli de passe,
il rempli un form avec son pseudo et son mail,
il confirme le formulaire,
le systeme vérifie le pseudo et le mail,
le systeme envoye un mail avec du blabla et un lien
mais quoi dans le lien?? aime pas trop faire passer des infos par un lien, c'est pas top :-s
Ben pas besoin de passer des informations dans le lien. Tu auras juste un paramètre avec une série de chiffres qui indentifie la nature de la requête, genre :

?confirm=000351 => SQL => utilisateur un tel qui veut changer son mot de passe.

Sur la page de confirmation, tu mets en place tout un questionnaire dont les réponses sont déterminées par celles données par l'utilisateur lors de son inscription.

P.S: C'est juste des idées et on peut toujours améliorer ;) .
 

Jereck

Α & Ω
Staff
Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
 
1er
OP
alan

alan

Elite
Jereck @ 64Kbps a dit:
Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
ce genre de truc que je voudrai!!! ;)
jvais looker ...

edit : vla j'ai testé
j'ai cette url
profile.php?mode=activate&u=2738&act_key=e35125&s=alan&p=n2iwTIEV
 

Xou

I ♥ rien
Jereck @ 64Kbps a dit:
Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
le problème avec ça, c'est que le pass est ds l'url donc ça fait pas très sécurisé je trouve :-(
 

Carambar

Elite
Dans ca cas, il vaut mieux proposer à l'utilisateur d'entrer son ancien et nouveau pass en double à travers un formulaire (URL cachée).
 

k o D

Elite
XyXy a dit:
Jereck @ 64Kbps a dit:
Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
le problème avec ça, c'est que le pass est ds l'url donc ça fait pas très sécurisé je trouve :-(
Bah oui mais bon le gars il n'avait pas à le paumer son pass hein :D

Moi je ferais çà ainsi:

:arrow: Le gars paume son pass et clique sur un lien du site 'pass perdu'
:arrow: Il rentre l'adresse mail avec laquelle il s'est inscrit.
:arrow: Envoi d'un mail lui demandant de confirmer l'opération avec un lien (dans lequel se trouve son mail)
:arrow: Le gars clique sur ce lien
:arrow: La page génère un new pass et l'envoie directement au mail du type.

Ce n'est pas indispensable de faire tout çà mais çà fatigue les éventuels hackers
 

Jereck

Α & Ω
Staff
Fearless a dit:
Dans ca cas, il vaut mieux proposer à l'utilisateur d'entrer son ancien et nouveau pass en double à travers un formulaire (URL cachée).
Heuuu, justement, le gars a paumé son ancien pass
 

titloup

Elite
alan a dit:
Fearless
vi jpensait a un systeme de confirmation
mais comment proceder, donc
il va sur la page d'oubli de passe,
il rempli un form avec son pseudo et son mail,
il confirme le formulaire,
le systeme vérifie le pseudo et le mail,
le systeme envoye un mail avec du blabla et un lien
mais quoi dans le lien?? aime pas trop faire passer des infos par un lien, c'est pas top :-s
C'est vrai que si tu changes le mot de passe de quelqu'un et que c'est pas lui, ça va arriver dans le bon email mais ça risque d'emmerder le monde si ce n'est pas la bonne personne qui le demande! :?

Mais bon, le gens qui s'amusent à faire ça n'ont aucun intérêt vu qu'ils ne savent pas récupérer le mdp sauf s'ils savent se connecter à l'adresse email de la personne, et là c'est la personne qui est en cause.

Sinon, le lien est en quelque sorte la façon que le type a pour se connecter direct. Au lieu de tapper son login et son nouveau de passe, tu mets tout ça déjà dans le lien que t'envoies à son email (ex: http://robert:passealeatoire@www.monsite.com/members)

Mais t'es pas obligé de faire cela, suffit juste que tu l'envoies pas email son nouveau mdp et il fera ça manuellement.
 

titloup

Elite
k 0 DiaK a dit:
XyXy a dit:
Jereck @ 64Kbps a dit:
Et si tu fait un système comme ici, sur GamerZ, ou le login est lié à une adresse mail (valide). Quand tu veux un nouveau mot de passe, il est envoyé sur le mail de l'user. Si l'user clique sur le lien, le nouveau mot de passe est activé, si il ne clique pas dessus (le cas où, par exemple, qqu'un a tenté de lui choper son pass sans savoir que le nouveau serait envoyé par mail) c'est tjs l'ancien qui est valide
le problème avec ça, c'est que le pass est ds l'url donc ça fait pas très sécurisé je trouve :-(
Bah oui mais bon le gars il n'avait pas à le paumer son pass hein :D

Moi je ferais çà ainsi:

:arrow: Le gars paume son pass et clique sur un lien du site 'pass perdu'
:arrow: Il rentre l'adresse mail avec laquelle il s'est inscrit.
:arrow: Envoi d'un mail lui demandant de confirmer l'opération avec un lien (dans lequel se trouve son mail)
:arrow: Le gars clique sur ce lien
:arrow: La page génère un new pass et l'envoie directement au mail du type.

Ce n'est pas indispensable de faire tout çà mais çà fatigue les éventuels hackers
Ben faut que le serveur génére un "NumeroComplexeTemporaire" pour que l'utilisateur sache activer le service de renvoi d'un nouveau de passe. Ce "NumeroComplexeTemporaire" sera attribué à l'utilisateur qui a fait la demande et utilisé seulement pour changer le mot de passe courant. Par la même occasion, valide pour seulement 24h par exemple.

Si l'utilisateur active ce "NumeroComplexeTemporaire", ben le serveur lui renvoi cette fois le nouveau mot de passe aléatoire d'accés à son compte.

Le but est juste d'identifier la personne qui a fait la demande et rien d'autre, et si la personne en question a le bon "NumeroComplexeTemporaire" c'est que c'est bien elle. :wink:

Il doit y avoir plus simple comme truc, faut dire que je ne me suis pas encore arrivé à ce stade :D
 

Carambar

Elite
Jereck @ 64Kbps a dit:
Fearless a dit:
Dans ca cas, il vaut mieux proposer à l'utilisateur d'entrer son ancien et nouveau pass en double à travers un formulaire (URL cachée).
Heuuu, justement, le gars a paumé son ancien pass
Heu oui c'est vrai :p . Je pensais à totalement autre chose :oops:. Le questionnaire serviras à déterminer s'il s'agit de la bonne personne comme sur certains webmail. Et l'idée du formulaire tiens toujours car on ne vois pas les variables utilisées dans l'addresse lors d'une soumission.
 
Statut
N'est pas ouverte pour d'autres réponses.
Haut