FS#35 : [BDD] Conservation des mots de passe

Présentation

Le projet Geocoucou ChatMail désigne un service de messagerie instantané basé sur le protocole XMPP et construit autour d'un serveur Ejabberd.

Suivi du développement

Ce portail vous permet de suivre le développement du site web à l'aide des rapports publiés par les développeurs du site web.

Remarques, suggestions et bugs

Merci de rapporter les dysfonctionnements sur :

forum de discussion dédié : https://https://forums.ncad.info/viewforum.php?f=10.

Le salon de discussion XMPP : support@conference.geocoucou.im.

Vous pouvez également nous faire part de vos remarques et suggestions sur le forum de discussion.

Actions rapides

Consulter le graphique des dépendances

État Terminé
Pourcentage achevé
100%
Type Mise à jour
Catégorie Espace membre
Assignée à

cach3ln
Système d'exploitation All
Sévérité Haute
Priorité Haute
Basée sur la version 1.0
Due pour la version Non décidée
Échéance Non décidée
Votes
Privée

Concerne le projet: Geocoucou ChatMail
Ouverte par cach3ln - 16.09.2025
Dernière modification par cach3ln - 16.09.2025

FS#35 - [BDD] Conservation des mots de passe

Actuellement, les mots de passe sont enregistrés crypté en base de données.

Le cryptage utilise un SALT commun à tous les mots de passe.

Cette méthode de cryptage présente également l'inconvénient d'être réversible.

En privilégiant l'utilisation de password_hash() pour l'enregistrement des mots de passe, le SALT est directement géré par PHP et durcit. Les HASHS créés sont irréversibles.

(!) Remarques :

Dans les deux cas, les mots de passe enregistrés en base de données ne sont pas visible en clair : il s'agit de leur HASH.

Le HASH du mot de passe ne peut pas être joué pour s'authentifier : dans tous les cas la connaissance du mot de passe est nécessaire.

Néanmoins, avec password_hash() il devient encore plus difficile de casser les HASH des mots de passe : le HASH est généré dynamiquement et pour un même mot de passe, il peut changer.

(!) Dans tous les cas :

Malgré les précautions prises, il est vivement recommandé :

D'utiliser un mot de passe fort : composé d'une suite de caractères aléatoires incluant des caractères spéciaux, des chiffres, des lettres minuscules/majuscule et d'avoir au moins une longueur de 12 caractères.

De changer au moins une fois par an son mot de passe.

De ne pas utiliser le même mot de passe pour tous ses comptes.

Commentaires (1)
Tâches liées (0/0)

cach3ln a commenté le 16.09.2025 21:22

Bonjour,

Le patch a été appliqué :

Application de la nouvelle méthode de hashage des mots de passe.

Mise à jour du moteur de requête pour l'authentification.

Prise en charge des mot de passe complexes avec caractères spéciaux.

Cordialement.

	Tâches associées à cette tâche (0)

Chargement...

Raccourcis clavier

Activer les raccourcis clavier

Alt + ⇧ Shift + l Se connecter/Se déconnecter
Alt + ⇧ Shift + a Ouvrir une tâche
Alt + ⇧ Shift + m Mes recherches
Alt + ⇧ Shift + t Rechercher par ID de tâche

Liste des tâches

o Ouvrir la tâche sélectionnée
j Déplacer le curseur vers le bas
k Déplacer le curseur vers le haut

Détails de la tâche

n Tâche suivante
p Tâche précédente
Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
Alt + ⇧ Shift + w Surveiller
Alt + ⇧ Shift + y Fermer cette tâche

Édition de la tâche

Alt + ⇧ Shift + s Enregistrer la tâche