Re: [Dolibarr-dev] Encryption de mots de passe et rappel par e-mail

[Yannick Warnier]

Le lundi 12 février 2007 à 18:49 +0100, zcp a écrit :
> Yannick Warnier a écrit :
> > Salut,
> > 
> > Lors de l'utilisation de mots de passe encryptés, l'envoi du mot de
> > passe ne semble pas fonctionner du tout. Je dois encore procéder à
> > quelques vérifications, mais ça me semble possible puisque l'ajout de
> > l'encryption s'est fait récemment.
> > 
> > Enfin, si quelqu'un peut confirmer que c'est toujours le cas avec la
> > dernière version CVS, je rajoute ça dans les feature requests.
> > 
> > Dans le cas de l'encryption, les autres applications qui font ce genre
> > de choses utilisent généralement un lien contenant un hash md5 ou un
> > truc du genre qui permet d'identifier directement l'utilisateur et de
> > lui générer un nouveau mot de passe qu'on lui envoie par e-mail. Ça
> > reste dangereux mais apparemment c'est ce qu'on fait dans ce genre de
> > cas.
> > 
> 
> Bonsoir
> 
> Personnellement, j'aime bien la méthode employée par Spip.
> 
> Déjà, c'est basé sur un ticket qui change à chaque session, et, le mot
> de passe saisi par l'utilisateur subie un premier hachage MD5 (avec le
> ticket aléatoire) et ensuite le serveur refait un hachage md5, puis
> fait les comparaisons.

> Dans le cas d'un oublie de mot de passe, l'utilisateur fait une
> demande avec son e-mail et reçois par e-mail un lien qui va lui
> permettre de changer son mot de passe.

Je ne vois pas bien ce que tu veux dire par ticket unique (qui m'a fort
l'air d'être un simple identifiant de session), ni par premier hachage
MD5 et hachage MD5 par le serveur, mais je comprends ce que tu décris
comme le système qu'on a actuellement dans Dolibarr. L'ajout de
l'encryption au niveau de la base de données se fait uniquement pour
éviter le vol (volontaire ou involontaire) de mots de passe par des
utilisateurs qui n'ont pas "besoin" de les voir.

Yannick