Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Bonsoir,
Je me developpe mon propre site e-comerce et je reflechi en ce moment à la manière de crypter un mot de passe utilisateur ?
Le problème avec le hashage c'est que lorsque l'utilisateur à oublié son mot de passe, on doit en génerer un et lui envoyer, il pourra par la suite le changer. Mais je trouve que c'est trop de manip pour la menagère de -50 ans. Je vise un peu ce public, donc j'aimerais privilégié l'accessibilité.
Le cryptage lui me pose un problème de sécurité. En gros si je développe en équipe par la suite, il se peut qu'un membre de l'equipe récupère la clef et dechiffre les mot de passe.
J'utilise pour le moent le cryptage par AES_ENCRYPT avec mysql, d'après ce que j'ai pu lire c'est une fonction de cryptographie les plus sûre.
Voilà qu'en pensez vous ?
Merci
++
Dernière modification par alien7 (16-11-2008 19:00:17)
Hors ligne
salut,
pour ma part je préfère le hashage.
Si générer un mot de passe pour l'utilisateur te gène, une méthode pas mal, est de lui envoyer un lien vers une page de modification de son mot de passe (tu mets une clef en param dans l'url, qui est présente dans une table pour faire la correspondance avec le user).
au fait connais-tu magento (http://www.magentocommerce.com/) ? un outil ecommerce open source puissant qui utilise le ZF
Hors ligne
Ok très bien mais que se passera-t-il si un jour le sha1 aussi devient vulnerable, il sera difficile de changer le mot de passe pour un autre moyen de cryptage ?
nick ->
Oui je connais magento, mais il ne me convient pas, je le trouve deja un peu bordelique dans son organisation des fichiers et je n'ai pas envie de me plonger dans leur codes, je pense pas que ce que je fais, je puisse le réaliser avec magento, sinon j'aurai beaucoup à toucher au code et à la base de donnée.
De plus je n'apprendrai pas grand chose.
Hors ligne
http://www.openwall.com/phpass/
Est ce que vous connaissez ?
A lire également :
http://www.mieuxcoder.com/2008/01/05/st … e-en-2008/
Hors ligne
Je cumule les 2
sha1(md5());
sinon, dans le cas ou je dois pouvoir récupérer le mot de passe, j'utilise le triple DES
Hors ligne
nORKy a écrit:
sinon, dans le cas ou je dois pouvoir récupérer le mot de passe, j'utilise le triple DES
Comment sécurises-tu la clef de cryptage ?
Et phpass, vous en pensez quoi ?
Hors ligne