Re: [Dolibarr-dev] Encryption de mots de passe et rappel par e-mail

[zcp]

Yannick Warnier a écrit :
> Salut,
>
> Lors de l'utilisation de mots de passe encryptés, l'envoi du mot de
> passe ne semble pas fonctionner du tout. Je dois encore procéder à
> quelques vérifications, mais ça me semble possible puisque l'ajout de
> l'encryption s'est fait récemment.
>
> Enfin, si quelqu'un peut confirmer que c'est toujours le cas avec la
> dernière version CVS, je rajoute ça dans les feature requests.
>
> Dans le cas de l'encryption, les autres applications qui font ce genre
> de choses utilisent généralement un lien contenant un hash md5 ou un
> truc du genre qui permet d'identifier directement l'utilisateur et de
> lui générer un nouveau mot de passe qu'on lui envoie par e-mail. Ça
> reste dangereux mais apparemment c'est ce qu'on fait dans ce genre de
> cas.

Bonsoir

Personnellement, j'aime bien la méthode employée par Spip.

Déjà, c'est basé sur un ticket qui change à chaque session, et, le mot de passe 
saisi par l'utilisateur subie un premier hachage MD5 (avec le ticket aléatoire) 
et ensuite le serveur refait un hachage md5, puis fait les comparaisons.

Dans le cas d'un oublie de mot de passe, l'utilisateur fait une demande avec 
son e-mail et reçois par e-mail un lien qui va lui permettre de changer son mot 
de passe.

A bientôt
Grégoire