18073 sujets

Questions générales et questions de débutants

[Résolu] Regénération de mot de passe sans email

J'ai réfléchi des heures, j'ai tourné la situation dans tous les sens et j'ai pas trouvé la bonne méthode (si elle existe)

Je souhaite envoyé par mail un nouveau mot de passe à un visiteur de mon site qui le demande mais je ne connais pas son adresse mail
Si je lui demande de le saisir ainsi que son login, une personne mal intentionnée peut essayer un login au hasard et mettre son email et il recevra le nouveau mot de passe.
Pas du tout sécurisée cette méthode.
Y en a t'il une autre?
Ou alors je dois récolter tous les emails des utilisateurs? Smiley fache
Modifié par Pops83 (11 Aug 2005 - 08:49)
Pops83 a écrit :

Je souhaite envoyé par mail un nouveau mot de passe à un visiteur de mon site qui le demande mais je ne connais pas son adresse mail


Smiley sweatdrop c'est un petit peu impossible...

ton probleme est de pouvoir identifier celui qui demande un nouveau mot de passe... tu peux soit demander son email lors de l'inscription, soit les systemes de question secrete (truc où je mets tjrs une question et une réponse au pif, et je me fais toujours avoir...)
La procédure courante est la suivante:

- l'utilisateur qui a oublié son mot de passe saisit son adresse email
- tu génères un mot de passe temporaire qui n'est pas actif
- tu génrèes une clé d'activation secrète
- tu envoi un mail avec un lien vers un script permettant de valider ce changement de mot de passe

Ce script ne fonctionnera que pour un login donné et une clé donnée donc pas de risque. De plus tu peux inclure un message dans ton mail spécifiant de quoi il est question et si la personne n'a jamais demandé de nouveau mot de passe, d'oublier le mail ...
Administrateur
yoh a écrit :


Smiley sweatdrop c'est un petit peu impossible...

ton probleme est de pouvoir identifier celui qui demande un nouveau mot de passe... tu peux soit demander son email lors de l'inscription, soit les systemes de question secrete (truc où je mets tjrs une question et une réponse au pif, et je me fais toujours avoir...)

Avec le système de question secrète, je pourrais hacker la moitié des comptes de Raphael et inversement: je sais dans quel lycée il est allé, quel est son sport favori, etc Smiley lol Beaucoup de monde autour de nous connait les réponses à ce genre de question, alors à moins de les écrire avec une casse "MiXeD CaSe" ou dans ce goût-là, c'est pas très sécurisé ... Pas autant que le bout de papier pour tout noter. (je parle pas de CB hu)
Bonjour,
$sansEnregistrerLEmailCImpossible++;

Je pense que sans enregistrer l'e-mail de tes utilisateurs, c'est impossible d'avoir un truc sécurisé. Perso moi je demande le login de celui qui a perdu le mot de passe et un nouveau lui est envoyé à l'adresse mail qu'il avait indiquée à son inscription.
Le truc qui n'est pas sur c'est que si j'ai envie de t'embêter, je peux mettre ton login et tu recevras un mail avec un nouveau mdp que tu n'avais pas demandé.
Le meilleur moyen de faire un truc sécurisé est de dire : "vous avez perdu votre mot de passe ? Adressez-vous au webmaster en précisant votre login". Mais bon là aussi il faut enregistrer le mail de la personne pour vérifier que c'est bien la bonne personne.
Sinon il y a aussi la technique du "petit commentaire qui aide à retrouver son mot de passe" mais bon le problème c'est que ce commentaire aide les hackers.

Voilà @+.QC
Est ce que tu pourrais un peu mieux expliquer ta méthode avec une clé Solo S'il te plait?

Je crois que je vais envoyer une lettre ou un fax à tous les clients et leur demander à leur première connexion d'enregistrer une adresse mail.
QuentinC a écrit :
Sinon il y a aussi la technique du "petit commentaire qui aide à retrouver son mot de passe" mais bon le problème c'est que ce commentaire aide les hackers.


Suffit alors de faire comme moi...

Se tromper de commentaire/de valeur réponse pour avoir un truc sécurisé...

Genre quelle est la cylindrée de la Cobra 289 en attendant celle de la cobra 427 Smiley cligne
Sujet clos
Aller à