07-04-2012, 01:57 PM
(07-04-2012, 01:06 PM)supermeganono a écrit :Citation :un site qui refuse certains caractère dans un mot de passe est forcément un site de merde.
Actuellement mon site n'accepte que les caractère alphanumérique. Car je dois encore faire évoluer mon script
Faut dire que ça date de l'époque ou c'était le seul moyen viable et surtout simple ( quel flemmard ) que j'avais trouvé ( et surtout compris ) pour sécuriser les enregistrements dans la BDD contre les injections SQL.
Pourtant, le plus simple est encore de ne faire aucun contrôle : tu insères directement le hash du mot de passe, sans aucun risque.
(07-04-2012, 01:06 PM)supermeganono a écrit : Faut pas être si dur avec les noobs :$
Ça va évoluer, ne t'inquiète pas
Bien sûr qu'on peut passer ce genre d'erreurs à un débutant en phase d'apprentissage, mais pas d'un site sérieux en production.
(07-04-2012, 01:33 PM)quentin01 a écrit :(07-04-2012, 12:39 PM)Sephi-Chan a écrit : ceux qui t'envoient ton ancien mot de passe quand tu dis que tu as oublié le tiens (ça veut dire qu'ils le stockaient en clair ou — mais c'est improbable — de manière réversible) et ceux qui interdisent certains caractères dans les mots de passes.
Je voudrais pas dire mais il y a des méthodes qui permettent ce genre de système en stockant quand même le mot de passe pas en clair en BDD. Par exemple la méthode de Vernam
D'où mon bémol sur les méthodes réversibles. Mais le plus souvent je gage que c'est bien un stockage en clair (pour l'avoir déjà vu de sociétés a priori respectables).
À ce jour, c'est le hashage via Bcrypt qui a l'air de tirer son épingle du jeu.