[Verrouillé] Passer le hachage des mots de passe à bcrypt |
|
Posté le 02/09/2013 à 21:34:11
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Bonjour.
Pour renforcer la sécurité des mots de passe, un passage à bcrypt peut être envisagé.
Le temps de la transition, la base de donnée aura deux colonnes, une pour le mot de passe haché actuel, l'autre pour celui haché avec bcrypt.
Lors de la connexion d'un utilisateur, le script vérifiera si une valeur est présente dans la case bcrypt associé à l'utilisateur, si ce n'est pas le cas, l'ancienne case sera utilisée. En cas de mot de passe incorrecte, l'erreur habituel se produira, en cas de bon mot de passe, le script devra hacher le mot de passe donné en bcrypt dans la nouvelle case et vider l'ancienne.
L'utilisation de "mot de passe oublié" devra automatiquement générer le mot de passe haché en bcrypt et vider l'ancienne case.
On pourrait instaurer un délais de connexion (une année) pour convertir le mot de passe, après une année tous les utilisateurs sans mot de passe haché en bcrypt seront forcés de passer par "mot de passe oublié". (le une année peut être remplacé par n'importe quelle autre durée)
Cordialement.
|
Dernière édition le 02/09/2013 à 21:43:27 _________________
|
|
|
|
|
Posté le 03/09/2013 à 10:28:21
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Eh bah pour moi ça n'a pas marché mais même pire :
J'ai d'une part été obligé de demander la réinitialisation de mon pass
Mais en plus maintenant je ne peux plus le remodifier ou toucher à quoique ce soit sur mon profil
Puisque dès que je valide j'ai le droit à une belle erreur... snif
|
_________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée |
|
|
|
|
Posté le 03/09/2013 à 15:36:01
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Salut, rien n'a encore été fait à priori, en cas de soucis, peu de chance que ça soit causé par bcrypt, la colone pour le mot de passé haché en bcrypt n'existe même pas dans la base de donnée à ce moment
|
_________________
|
|
|
|
|
|
|
Inscrit le : inconnu
Messages : inconnu
Point(s) : 0
Localisation :
|
Posté le 04/09/2013 à 22:43:18
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Salut,
réponse basique : ce qui ne nous tue pas nous rend plus fort, donc, un surcroît de sécurité ne peut certainement pas être considéré comme négatif...
++
Sat
|
|
|
|
|
|
Posté le 06/09/2013 à 11:43:03
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Citation de Guillaume: | Tu as simplement dû oublier ton mot de passe.
Quant à la modification du profil, cela doit être un bug suite au changement d'hébergement. Peux-tu ré-essayer et me donner plus de détails ? |
C'est possible puisque je suis en phase de changement général de mot de passe
Mais j'avais essayé toutes les combinaisons possibles et aucune ne marchait
Et plus drôle que ça : le précédent reçu donc par mail n'a pas marché ce matin...
En fait après réflexion je me demande dans quelle mesure
même si le retour une fois la fiche membre validée c'est:
"Erreur lors du tranfsert" (note le petit coup de dyslexie au passage : c'est pas moi)
Je soupçonne le site d'avoir quand même fait la modif'
En passant il y a une autre bizarrerie sur la modif' de fiche :
Pourquoi il y a 2 bouton valider ? L'autre renvoie carrément keudal
À part les info serveur...
|
_________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée |
|
|
|
|
Posté le 06/09/2013 à 20:24:41
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
"tranfsert"
Je déduis de ton message que tu as juste cliqué sur le mauvais bouton "valider". Le premier sert à la validation du premier formulaire (profil) et le second à la validation du second formulaire, spécifique à la réalisation du transfert du fichier de l'avatar.
|
_________________
Guillaume
|
|
|
|
|
Posté le 07/09/2013 à 01:15:53
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
On pourrait mettre le changement d'avatar sur une autre page si ça peut éviter la confusion (c'est ce qui est fait sur phpbb3 / SMF par exemple, de tête)
|
_________________
|
|
|
|
|
Posté le 07/09/2013 à 22:26:44
|
if(isset($_SESSION['pseudo'])) { ?>Citer } ?>
|
|
Bah en tous cas en l'état c'est pas logique
À part ça ma tentative de ce soir pour changer mon pass semble avoir marché
On verra si ma prochaine connexion se passera sans encombre
ÉDIT: je confirme que le problème est clos...
|
Dernière édition le 08/09/2013 à 08:38:45 _________________
Pour des Dépannages Informatiques en toute convivialité sur Montpellier Méditerranée Métropole (Hérault, 34)
Merci d'éviter les MP directs à l'aveugle : Le forum est toujours plus adapté pour un 1ier contact et permettra une mutualisation des réponses avant l'action physique adaptée |
|
|
|