Ne pas cliquer
Parrain-Linux
mais pourquoi tu lis ça ?
Page : 1
[Verrouillé] Passer le hachage des mots de passe à bcrypt
Avatar
Magissia
administrateur
Marraine
Inscrit le : 28/08/2013
Messages : 720
Point(s) : 5109
Distribution : ArchLinux
Localisation :
localhost (pour de vrai), Autre pays, Autre pays
Posté le 02/09/2013 à 21:34:11
Citer

Bonjour.

Pour renforcer la sécurité des mots de passe, un passage à bcrypt peut être envisagé.

Le temps de la transition, la base de donnée aura deux colonnes, une pour le mot de passe haché actuel, l'autre pour celui haché avec bcrypt.

Lors de la connexion d'un utilisateur, le script vérifiera si une valeur est présente dans la case bcrypt associé à l'utilisateur, si ce n'est pas le cas, l'ancienne case sera utilisée. En cas de mot de passe incorrecte, l'erreur habituel se produira, en cas de bon mot de passe, le script devra hacher le mot de passe donné en bcrypt dans la nouvelle case et vider l'ancienne.

L'utilisation de "mot de passe oublié" devra automatiquement générer le mot de passe haché en bcrypt et vider l'ancienne case.

On pourrait instaurer un délais de connexion (une année) pour convertir le mot de passe, après une année tous les utilisateurs sans mot de passe haché en bcrypt seront forcés de passer par "mot de passe oublié". (le une année peut être remplacé par n'importe quelle autre durée)

Cordialement.

Dernière édition le 02/09/2013 à 21:43:27
_________________
http://s3.archive-host.com/membres/images/1228019761111749/magissiaf.png
Remonter Descendre Permalien du message
Avatar
Qid
utilisateur
Parrain
Inscrit le : 10/01/2010
Messages : 1000
Point(s) : 4164
Distribution : Ubuntu ou dérivée
Localisation :
Montpellier, Hérault, France
Posté le 03/09/2013 à 10:28:21
Citer

Eh bah pour moi ça n'a pas marché mais même pire :
J'ai d'une part été obligé de demander la réinitialisation de mon pass
Mais en plus maintenant je ne peux plus le remodifier ou toucher à quoique ce soit sur mon profil
Puisque dès que je valide j'ai le droit à une belle erreur... snif

_________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée
Remonter Descendre Permalien du message
Avatar
Magissia
administrateur
Marraine
Inscrit le : 28/08/2013
Messages : 720
Point(s) : 5109
Distribution : ArchLinux
Localisation :
localhost (pour de vrai), Autre pays, Autre pays
Posté le 03/09/2013 à 15:36:01
Citer

Salut, rien n'a encore été fait à priori, en cas de soucis, peu de chance que ça soit causé par bcrypt, la colone pour le mot de passé haché en bcrypt n'existe même pas dans la base de donnée à ce moment tire-langue

_________________
http://s3.archive-host.com/membres/images/1228019761111749/magissiaf.png
Remonter Descendre Permalien du message
Avatar
Guillaume
utilisateur
Neutre
Inscrit le : 12/08/2008
Messages : 1111
Point(s) : 9159
Localisation :
Montpellier, Hérault, France
Posté le 03/09/2013 à 22:25:00
Citer

Effectivement, il ne s'agit que d'une proposition. Tu as simplement dû oublier ton mot de passe.

Quant à la modification du profil, cela doit être un bug suite au changement d'hébergement. Peux-tu ré-essayer et me donner plus de détails ?

_________________
Guillaume
https://www.parrain-linux.com/promotion.php?image=PL-user.png
https://www.speedtest.net/result/5276746678.png
Remonter Descendre Permalien du message
Avatar
compte supprimé
utilisateur supprimé
supprimé
Inscrit le : inconnu
Messages : inconnu
Point(s) : 0
Localisation :

Posté le 04/09/2013 à 22:43:18
Citer

Salut,

réponse basique : ce qui ne nous tue pas nous rend plus fort, donc, un surcroît de sécurité ne peut certainement pas être considéré comme négatif...

++

Sat

Remonter Descendre Permalien du message
Avatar
Qid
utilisateur
Parrain
Inscrit le : 10/01/2010
Messages : 1000
Point(s) : 4164
Distribution : Ubuntu ou dérivée
Localisation :
Montpellier, Hérault, France
Posté le 06/09/2013 à 11:43:03
Citer

Citation de Guillaume:
Tu as simplement dû oublier ton mot de passe.

Quant à la modification du profil, cela doit être un bug suite au changement d'hébergement. Peux-tu ré-essayer et me donner plus de détails ?

C'est possible puisque je suis en phase de changement général de mot de passe
Mais j'avais essayé toutes les combinaisons possibles et aucune ne marchait

Et plus drôle que ça : le précédent reçu donc par mail n'a pas marché ce matin...
En fait après réflexion je me demande dans quelle mesure
même si le retour une fois la fiche membre validée c'est:
"Erreur lors du tranfsert" (note le petit coup de dyslexie au passage : c'est pas moi)
Je soupçonne le site d'avoir quand même fait la modif'

En passant il y a une autre bizarrerie sur la modif' de fiche :
Pourquoi il y a 2 bouton valider ? L'autre renvoie carrément keudal
À part les info serveur...

_________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée
Remonter Descendre Permalien du message
Avatar
Guillaume
utilisateur
Neutre
Inscrit le : 12/08/2008
Messages : 1111
Point(s) : 9159
Localisation :
Montpellier, Hérault, France
Posté le 06/09/2013 à 20:24:41
Citer

mdr "tranfsert"

Je déduis de ton message que tu as juste cliqué sur le mauvais bouton "valider". Le premier sert à la validation du premier formulaire (profil) et le second à la validation du second formulaire, spécifique à la réalisation du transfert du fichier de l'avatar.

_________________
Guillaume
https://www.parrain-linux.com/promotion.php?image=PL-user.png
https://www.speedtest.net/result/5276746678.png
Remonter Descendre Permalien du message
Avatar
Magissia
administrateur
Marraine
Inscrit le : 28/08/2013
Messages : 720
Point(s) : 5109
Distribution : ArchLinux
Localisation :
localhost (pour de vrai), Autre pays, Autre pays
Posté le 07/09/2013 à 01:15:53
Citer

On pourrait mettre le changement d'avatar sur une autre page si ça peut éviter la confusion (c'est ce qui est fait sur phpbb3 / SMF par exemple, de tête)

_________________
http://s3.archive-host.com/membres/images/1228019761111749/magissiaf.png
Remonter Descendre Permalien du message
Avatar
Qid
utilisateur
Parrain
Inscrit le : 10/01/2010
Messages : 1000
Point(s) : 4164
Distribution : Ubuntu ou dérivée
Localisation :
Montpellier, Hérault, France
Posté le 07/09/2013 à 22:26:44
Citer

Bah en tous cas en l'état c'est pas logique
À part ça ma tentative de ce soir pour changer mon pass semble avoir marché
On verra si ma prochaine connexion se passera sans encombre

ÉDIT: je confirme que le problème est clos...

Dernière édition le 08/09/2013 à 08:38:45
_________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée
Remonter Descendre Permalien du message
Page : 1
Page générée en 0.0761 seconde(s).