Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1409 connectés 

  FORUM HardWare.fr
  Programmation
  Java

  [MySQL][MD5][Java] Fonction de "déhashage"

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[MySQL][MD5][Java] Fonction de "déhashage"

n°1177179
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 16:18:42  profilanswer
 

Bonjour,
 
J'ai une petite question à vous poser [:backfire] Voila, je voulais savoir s'il était possible de "décrypter" un mot de passe stocké dans une table mySQL. Plus précisement, j'ai une fonction de hashage en java qui permet de hasher un texte clair (le mot de passe), et de stocker le résultat du hashage dans ma base. Par contre, j'aurais besoin, dans le cadre de mon projet, de récupérer le mot de passe en clair, pour l'envoyer à l'utilisateur qui a perdu son compte.
 
Est ce possible et facilement réalisable? J'ai entendu parler d'une fonctionnalité mysql sur le MD5, mais je n'en suis pas sûr  [:paysan]  
 
Merci d'avance  :jap:
 
edit: oubli du titre  [:mlc]


Message édité par nookonee le 16-08-2005 à 16:25:44
mood
Publicité
Posté le 16-08-2005 à 16:18:42  profilanswer
 

n°1177190
Eniac
Da Mourfis' King
Posté le 16-08-2005 à 16:26:24  profilanswer
 

Salut,
 
Avec des moyens simples, il n'est pas possible de retrouver le message original lorsque celui-ci a été hashé.  C'est justement pour ça (entre autres) qu'on hashe le mot de passe des utilisateurs, afin que même l'adiministrateur de la base de données ne puisse pas les lire...
 
A+

n°1177209
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 16:36:52  profilanswer
 

Merci eniac  :jap:  
Je m'en doutais un peu :) C'est dommage, il me reste plus qu'à mettre le mot de passe en clair dans ma base  [:zoutte]  
 
Mais sinon, en retournant le problème autrement: dans mon projet, lorsqu'un utilisateur perd ses identifiants de connexion, il saisi son adresse email et valide via un bouton. Il recoit ensuite un email avec son identifiant et son mot de passe. Est ce que vous auriez une idée pour pouvoir utiliser le MD5? même en changeant complètement la méthode, ca me dérange pas.
 
Et oui je veux à tout prix l'utiliser :D
 
Dans le pire des cas, je stockerai le mot de passe en clair et en crypté dans ma base. Dans le cadre de mon projet d'école, ca passera :)
 

n°1177212
sircam
I Like Trains
Posté le 16-08-2005 à 16:37:30  profilanswer
 

Si TU pouvais le récupérer, n'importe qui pourrait, non ? Ou serait la sécurité, alors ? :)
 

Citation :

Par contre, j'aurais besoin, dans le cadre de mon projet, de récupérer le mot de passe en clair, pour l'envoyer à l'utilisateur qui a perdu son compte.


Mauvais design. Ca veut dire un email en clair, qui transite on ne sait où... Et un mot de passe qui, une fois récupéré, ne sera probablement pas changé alors qu'il a pu être facilement lu.
 
Privilégie un token à usage unique, avec court délai d'expiration, qui oblige l'utilisateur à choisir un nouveau mot de passe.
 
Bon, tu me diras, c'est pas forcément pour des données sensibles, mais prenons de bonnes habitudes et respectons les bonnes pratiques.
 
[:pingouino]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
n°1177217
sircam
I Like Trains
Posté le 16-08-2005 à 16:39:13  profilanswer
 

Stocke le mot de passe crypté, c'est nettement plus classe et mets ça en avant dans ton rapport. [:crosscrusher]  
 
Pour savoir si le mot de passe entré est correct, tu le hashes et tu compares à la valeur dans la DB.
 
Ca te donne une probabilité mirobolante que les deux valeurs originales soient les mêmes.


Message édité par sircam le 16-08-2005 à 16:39:40

---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
n°1177225
Eniac
Da Mourfis' King
Posté le 16-08-2005 à 16:47:01  profilanswer
 

nookonee a écrit :

Merci eniac  :jap:  
Je m'en doutais un peu :) C'est dommage, il me reste plus qu'à mettre le mot de passe en clair dans ma base  [:zoutte]  
 
Mais sinon, en retournant le problème autrement: dans mon projet, lorsqu'un utilisateur perd ses identifiants de connexion, il saisi son adresse email et valide via un bouton. Il recoit ensuite un email avec son identifiant et son mot de passe. Est ce que vous auriez une idée pour pouvoir utiliser le MD5? même en changeant complètement la méthode, ca me dérange pas.
 
Et oui je veux à tout prix l'utiliser :D
 
Dans le pire des cas, je stockerai le mot de passe en clair et en crypté dans ma base. Dans le cadre de mon projet d'école, ca passera :)


 
 
Prq tu ne procèdes pas de la manière habituelle ?
 
A l'inscription, quand l'utilisateur saisit son mot de passe, tu le hashes et tu ne stocke que cette valeur hashée (et pas le password en clair !).
 
A l'authentification, tu compares le hash du mot de passe que l'utilisateur vient de saisir, et son password hashé que tu as enregistré.  
 
Lors de l'oubli de son mot de passe, tu peux générer toi-même un mot de passe aléatoire, l'envoyer en clair par email à l'utilisateur, et contraindre ce dernier à le changer au prochain login.
 
A+

n°1177236
sircam
I Like Trains
Posté le 16-08-2005 à 16:51:43  profilanswer
 

Eniac > Grilled for less than 8 seconds :sol:


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
n°1177260
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 17:08:33  profilanswer
 

sircam a écrit :


Citation :

Par contre, j'aurais besoin, dans le cadre de mon projet, de récupérer le mot de passe en clair, pour l'envoyer à l'utilisateur qui a perdu son compte.


Mauvais design. Ca veut dire un email en clair, qui transite on ne sait où... Et un mot de passe qui, une fois récupéré, ne sera probablement pas changé alors qu'il a pu être facilement lu.
 
Privilégie un token à usage unique, avec court délai d'expiration, qui oblige l'utilisateur à choisir un nouveau mot de passe.


 
Je n'ai pas tout compris.  
 
Dans mon projet, quand un utilisateur perd son identifiant et/ou son mot de passe, il a juste à saisir son adresse mail dans un formulaire. Il recoit ensuite un message avec ses identifiants de connexion.

n°1177261
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 17:09:35  profilanswer
 

sircam a écrit :

Stocke le mot de passe crypté, c'est nettement plus classe et mets ça en avant dans ton rapport. [:crosscrusher]  
 
Pour savoir si le mot de passe entré est correct, tu le hashes et tu compares à la valeur dans la DB.
 
Ca te donne une probabilité mirobolante que les deux valeurs originales soient les mêmes.


 
Oui c'est exactement ce que je fais, je compare la valeur hashée du mot de passe saisie lors de la connexion avec le mot de passe hashé qui est stocké dans ma base.  :jap:

n°1177263
sircam
I Like Trains
Posté le 16-08-2005 à 17:10:24  profilanswer
 

nookonee a écrit :

Il recoit ensuite un message avec ses identifiants de connexion.


Dont le mot de passe. En clair. Non ?


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
mood
Publicité
Posté le 16-08-2005 à 17:10:24  profilanswer
 

n°1177265
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 17:11:14  profilanswer
 

Eniac a écrit :

Prq tu ne procèdes pas de la manière habituelle ?
 
A l'inscription, quand l'utilisateur saisit son mot de passe, tu le hashes et tu ne stocke que cette valeur hashée (et pas le password en clair !).
 
A l'authentification, tu compares le hash du mot de passe que l'utilisateur vient de saisir, et son password hashé que tu as enregistré.  
 
Lors de l'oubli de son mot de passe, tu peux générer toi-même un mot de passe aléatoire, l'envoyer en clair par email à l'utilisateur, et contraindre ce dernier à le changer au prochain login.
 
A+


 
Oui,c'est exactement ce que je fais pour l'inscription et l'authentification.  :)
 
Par contre, c'est une excellente idée de générer un nouveau mot de passe :jap: Je pense que je vais faire comme ca  [:backfire]

n°1177266
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 17:11:41  profilanswer
 

sircam a écrit :

Dont le mot de passe. En clair. Non ?


 
oui c'est ce que je voulais au tout début

n°1177272
sircam
I Like Trains
Posté le 16-08-2005 à 17:20:36  profilanswer
 

nookonee a écrit :

oui c'est ce que je voulais au tout début


OK. Génère un nouveau mot de passe, mais avec obligation de le changer, sans quoi celui-ci risque de ne pas être changé alors qu'il a transité sur les eaux troubles du nainternet.
 
Mieux encore : génère une URL (avec un token) qui expire après un court délai et qui permet d'introduire un nouveau mot de passe.  [:suomi]


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
n°1177276
nookonee
Hummm... Delicious!!!! :D
Posté le 16-08-2005 à 17:26:15  profilanswer
 

sircam a écrit :

OK. Génère un nouveau mot de passe, mais avec obligation de le changer, sans quoi celui-ci risque de ne pas être changé alors qu'il a transité sur les eaux troubles du nainternet.
 
Mieux encore : génère une URL (avec un token) qui expire après un court délai et qui permet d'introduire un nouveau mot de passe.  [:suomi]


 
Merci pour ton aide, je vais faire ca  [:gm_superstar]  
 
Ca sera beaucoup plus propre comme ca :o

n°1177289
sircam
I Like Trains
Posté le 16-08-2005 à 17:43:12  profilanswer
 

:jap:


---------------
Now Playing: {SYNTAX ERROR AT LINE 1210}
n°1177371
the real m​oins moins
Posté le 16-08-2005 à 19:25:48  profilanswer
 

http://berkano.codehaus.org fait tout ça pour vous, et plus :whistle:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°1177656
nookonee
Hummm... Delicious!!!! :D
Posté le 17-08-2005 à 10:47:00  profilanswer
 


 
Merci pour le lien  :jap: j'ai parcouru rapidement le site et le module berkano user à l'air de me convenir (génération, encodage et récupération du mot de passe :D ).
 
Je lirai plus attentivement quand j'aurais fini ce que je suis en train de faire.  
 
Sinon je n'ai pas vu de tuto, ex. pour expliquer l'utilisation des modules  :??:

n°1177793
the real m​oins moins
Posté le 17-08-2005 à 12:19:26  profilanswer
 

ué, je sais, ça vient, ça vient :whistle:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  Java

  [MySQL][MD5][Java] Fonction de "déhashage"

 

Sujets relatifs
Deplacer fichier d'index des tables mysqlWeb Services et transaction ? (JAVA)
Quel est la syntaxe pour utiliser les variables dans une fonctionJava et keylistener
récupérer du contenu XML d'une fonction PHP dans une feuille XSLT ?[MySQL] Requête sur 2 tables un peu tordue
Comment on converti un prog flash en java pour mettre sur un mobile?Comment faire pour lancer un script à une date donnée sur MYSQL???
Galerie photos avec mysql ?[résolu]Probleme PHP/Mysql bizzarre
Plus de sujets relatifs à : [MySQL][MD5][Java] Fonction de "déhashage"


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR