Zend FR
Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
#1 16-11-2008 18:56:04
- alien7
- Membre
- Date d'inscription: 29-04-2007
- Messages: 447
hachage ou cryptage d'un mot de passe ?
Bonsoir,
Je me developpe mon propre site e-comerce et je reflechi en ce moment à la manière de crypter un mot de passe utilisateur ?
Le problème avec le hashage c'est que lorsque l'utilisateur à oublié son mot de passe, on doit en génerer un et lui envoyer, il pourra par la suite le changer. Mais je trouve que c'est trop de manip pour la menagère de -50 ans. Je vise un peu ce public, donc j'aimerais privilégié l'accessibilité.
Le cryptage lui me pose un problème de sécurité. En gros si je développe en équipe par la suite, il se peut qu'un membre de l'equipe récupère la clef et dechiffre les mot de passe.
J'utilise pour le moent le cryptage par AES_ENCRYPT avec mysql, d'après ce que j'ai pu lire c'est une fonction de cryptographie les plus sûre.
Voilà qu'en pensez vous ?
Merci
++
Dernière modification par alien7 (16-11-2008 19:00:17)
ZF 2.3 - Twitter Bootstrap 3.2
Local: Ubuntu -> Apache2 2.4 - MariaDB 10 - PHP 5.6
Hors ligne
#2 16-11-2008 20:43:00
- nick
- Membre
- Date d'inscription: 31-05-2008
- Messages: 84
Re: hachage ou cryptage d'un mot de passe ?
salut,
pour ma part je préfère le hashage.
Si générer un mot de passe pour l'utilisateur te gène, une méthode pas mal, est de lui envoyer un lien vers une page de modification de son mot de passe (tu mets une clef en param dans l'url, qui est présente dans une table pour faire la correspondance avec le user).
au fait connais-tu magento (http://www.magentocommerce.com/) ? un outil ecommerce open source puissant qui utilise le ZF
Hors ligne
#4 17-11-2008 11:42:15
- alien7
- Membre
- Date d'inscription: 29-04-2007
- Messages: 447
Re: hachage ou cryptage d'un mot de passe ?
Ok très bien mais que se passera-t-il si un jour le sha1 aussi devient vulnerable, il sera difficile de changer le mot de passe pour un autre moyen de cryptage ?
nick ->
Oui je connais magento, mais il ne me convient pas, je le trouve deja un peu bordelique dans son organisation des fichiers et je n'ai pas envie de me plonger dans leur codes, je pense pas que ce que je fais, je puisse le réaliser avec magento, sinon j'aurai beaucoup à toucher au code et à la base de donnée.
De plus je n'apprendrai pas grand chose.
ZF 2.3 - Twitter Bootstrap 3.2
Local: Ubuntu -> Apache2 2.4 - MariaDB 10 - PHP 5.6
Hors ligne
#5 17-11-2008 13:36:57
- alien7
- Membre
- Date d'inscription: 29-04-2007
- Messages: 447
Re: hachage ou cryptage d'un mot de passe ?
http://www.openwall.com/phpass/
Est ce que vous connaissez ?
A lire également :
http://www.mieuxcoder.com/2008/01/05/st … e-en-2008/
ZF 2.3 - Twitter Bootstrap 3.2
Local: Ubuntu -> Apache2 2.4 - MariaDB 10 - PHP 5.6
Hors ligne
#6 17-11-2008 14:30:35
- nORKy
- Membre
- Date d'inscription: 06-03-2008
- Messages: 1098
Re: hachage ou cryptage d'un mot de passe ?
Je cumule les 2
sha1(md5());
sinon, dans le cas ou je dois pouvoir récupérer le mot de passe, j'utilise le triple DES
----
Gruiiik !
Hors ligne
#7 17-11-2008 17:37:36
- alien7
- Membre
- Date d'inscription: 29-04-2007
- Messages: 447
Re: hachage ou cryptage d'un mot de passe ?
nORKy a écrit:
sinon, dans le cas ou je dois pouvoir récupérer le mot de passe, j'utilise le triple DES
Comment sécurises-tu la clef de cryptage ?
Et phpass, vous en pensez quoi ?
ZF 2.3 - Twitter Bootstrap 3.2
Local: Ubuntu -> Apache2 2.4 - MariaDB 10 - PHP 5.6
Hors ligne
Développement par Kitpages