D'autant que (admettons) 99% des sites par mot de passe enregistrent le hashage du mot de passe dans la BDD, donc qu'est-ce qu'on en a a faire de la chaine d'octets en entrée? O.o
Perso, je suis adepte de la non-contrainte du mot de passe, si jamais le site web estime le mdp "non sécurisé", alors on dit à l'utilisateur
"Votre mot de passe est faible, il est conseillé de le changer. Comme vous êtes avertis, si vous vous faites voler votre mot de passe, vous ne pourrez pas dire qu'on ne vous a pas prévenu" (bon, c'est l'idée, les mots sont pas géniaux).
Si l'utilisateur décide de se moquer de l'avertissement, tant pis pour lui, il est prévenu.
La seule condition pourrait être d'interdire un mdp trop simple pour ceux qui ont des droits étendus (modérateurs, administrateurs etc) car une perte de mot de passe engendrerai des conséquences qui dépassent le compte de l'utilisateur.
Et non, l'IP, c'est pas du tout fiable.
Après, tu peux envisager un système où le cookie de session sert de "login": aucune inscription, mais aucune certitude non plus de la persistance de ce cookie et l'utilisateur peut perdre tout accès à son compte si jamais ce cookie est effacé soit par mégarde, soit par expiration.
Perso, je suis adepte de la non-contrainte du mot de passe, si jamais le site web estime le mdp "non sécurisé", alors on dit à l'utilisateur
"Votre mot de passe est faible, il est conseillé de le changer. Comme vous êtes avertis, si vous vous faites voler votre mot de passe, vous ne pourrez pas dire qu'on ne vous a pas prévenu" (bon, c'est l'idée, les mots sont pas géniaux).
Si l'utilisateur décide de se moquer de l'avertissement, tant pis pour lui, il est prévenu.
La seule condition pourrait être d'interdire un mdp trop simple pour ceux qui ont des droits étendus (modérateurs, administrateurs etc) car une perte de mot de passe engendrerai des conséquences qui dépassent le compte de l'utilisateur.
Et non, l'IP, c'est pas du tout fiable.
Après, tu peux envisager un système où le cookie de session sert de "login": aucune inscription, mais aucune certitude non plus de la persistance de ce cookie et l'utilisateur peut perdre tout accès à son compte si jamais ce cookie est effacé soit par mégarde, soit par expiration.