Sécurit des mots de passe
Publié : 24 juin 2014, 15:41
Bonjour,
Je m'excuse de commencer mon premier post non pas pas ma présentation mais par un post sur un bug, mais je l'ai trouvé plutôt important.
Je suis (vraiment) tout nouveau ici, et je viens de m'inscrire sur le site principal et sur le forum. Hors sur le site principal, après m'être connecté, il y a un truc qui m'a interpelé. Bon, j'ai pas eu de message m'indiquant que mon compte avait été créé mais c'est pas ça le pire.
Après avoir cliqué sur le bouton inscription, je suis resté sur le formulaire d'inscription qui est restée identique à un détail près. Tout en haut de la page, on peut voir la requête SQL qui insère les données dans la base. Là en l'occurrence je connais le nom de la table à cause de l'affichage de la requête, mais il y a encore autre chose.
Dans la partie values, je vois mon pseudo, mon mail, et mon mot de passe ... stocké en clair tel quel. Si quelqu'un arrive à accéder à la table (dont je vais taire le nom) qui contient les gens inscrits, il pourrait récupérer beaucoup d'infos et potentiellement avoir accès aux emails des personnes à cause du mot de passe non chiffré.
La bonne pratique voudrait que l'on applique un hashage de type sha256. En php, ça prend 1 minute à faire : http://php.net/manual/en/function.hash.php et rien que ça augmenterait énormément la sécurité pour tout le monde.
C'est pas pour ennuyer mon monde que je dis ça, c'est important. Après il y a peut-être d'autres traitements qui sont faits sur le mot de passe, j'ai pas les sources, mais il faut rester vigilant, on ne sait jamais.
Dernier point, j'ai voulu changer mon mot de passe, mais je n'ai pas trouvé où le faire.
Merci pour votre lecture.
Je m'excuse de commencer mon premier post non pas pas ma présentation mais par un post sur un bug, mais je l'ai trouvé plutôt important.
Je suis (vraiment) tout nouveau ici, et je viens de m'inscrire sur le site principal et sur le forum. Hors sur le site principal, après m'être connecté, il y a un truc qui m'a interpelé. Bon, j'ai pas eu de message m'indiquant que mon compte avait été créé mais c'est pas ça le pire.
Après avoir cliqué sur le bouton inscription, je suis resté sur le formulaire d'inscription qui est restée identique à un détail près. Tout en haut de la page, on peut voir la requête SQL qui insère les données dans la base. Là en l'occurrence je connais le nom de la table à cause de l'affichage de la requête, mais il y a encore autre chose.
Dans la partie values, je vois mon pseudo, mon mail, et mon mot de passe ... stocké en clair tel quel. Si quelqu'un arrive à accéder à la table (dont je vais taire le nom) qui contient les gens inscrits, il pourrait récupérer beaucoup d'infos et potentiellement avoir accès aux emails des personnes à cause du mot de passe non chiffré.
La bonne pratique voudrait que l'on applique un hashage de type sha256. En php, ça prend 1 minute à faire : http://php.net/manual/en/function.hash.php et rien que ça augmenterait énormément la sécurité pour tout le monde.
C'est pas pour ennuyer mon monde que je dis ça, c'est important. Après il y a peut-être d'autres traitements qui sont faits sur le mot de passe, j'ai pas les sources, mais il faut rester vigilant, on ne sait jamais.
Dernier point, j'ai voulu changer mon mot de passe, mais je n'ai pas trouvé où le faire.
Merci pour votre lecture.