JUserHelper::hashPassword() inversé

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • JUserHelper::hashPassword() inversé

    Bonjour,

    je créer en ce moment une plate forme communautaire pour un client, ils vont être plusieurs admin, et il est prévu qu'un admin puisse envoyer un message formaté à un utilisateur ayant perdu ses identifiants. Ce mail doit contenir le mot de passe de l'utilisateur pour qu'il puisse se reconnecter.

    A la création d'un utilisateur par un admin, je pars d'une chaîne random et j'utilise la fonction JUserHelper::hashPassword($temp_password) il est donc facile, ayant encore dans mes variables "$temp_password", d'envoyer le mot de passe à l'utilisateur, par contre les fois suivantes, (l'utilisateur ayant même changé son mot de passe provisoire depuis) je n'arrive plus à le récupérer.

    En gros je cherche une façon d'inverser UserHelper::hashPassword() pour envoyer le mot de passe utilisateur dans un mail sans utiliser la fonction mot de passe oublié. Je sais que ce n'est pas la solution la plus sécurisée mais c'est celle souhaitée par le client qui paye le site.

    Merci d'avance pour vos idées

  • #2
    Bonjour,

    Nous avons déjà eu ce type de discussion il y a pas mal de temps et, malheureusement, il n'est pas possible d'inverser le cryptage du mot de passe.

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Pour info: https://stackoverflow.com/questions/...rieve-password

      Pascal
      If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

      Commentaire


      • #4
        Merci, je redoutais cette réponse, je vais devoir faire autrement. Du coup je rebondi sur une autre question / solution, la page de réinitialisation de mot de passe est malheureusement hors d'accès pour un site hors ligne (cette plateforme communautaire sera privée et donc toujours hors ligne). Mais le lien "mot de passe oublié" n’apparaît pas dans ce cas sur la page de connexion, et n'est pas non plus accessible directement puisqu'elle fait partie du site hors ligne. Comment un utilisateur ayant oublié son mot de passe peut t'il se reconnecter dans ce cas ?

        Commentaire


        • #5
          Bonjour,

          On ne peut pas décoder un mot de passe car le hachage est à sens unique (indéchiffrable), donc si l'utilisateur a oublié son code, il faudra absolument le remplacer.
          https://forum.joomla.fr/node/227074?...88#post1772588

          Dans le cas d'un site hors ligne, un admin change le mot de passe et transmet l'info à l'utilisateur qui pourra le conserver ou changer depuis son profil.

          Note : Pour un cas similaire, j'ai généré les mots de passe pour des utilisateurs que j'ai importé directement en csv. J'ai ajouté un plugin qui oblige à changer le mot de passe à la 1ère connexion puis tous les 60 jours.
          Dernière édition par daneel à 17/01/2018, 12h59
          Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

          Commentaire


          • #6
            Bonjour

            Brrrrrr

            Si une technique de hashage permettait de revenir sur la chaîne d'origine, la sécurité de nos données sur internet serait nulle.

            Je pense qu'il faut juste éduquer ton client; non pas en lui disant qu'il est stupide d'avoir pensé à ça mais de lui dire qu'il doit garantir la sécurité des données de ses utilisateurs (il devrait se renseigner sur la bombe à venir GDPR (https://fr.wikipedia.org/wiki/R%C3%A...s_donn%C3%A9es). Il doit garantir la confidentialité; c'est son obligation et la CNIL va lui tomber dessus s'il y a des failles (bon, ceci dit je ne suis pas le pro GDPR). Sa question est juste à l'exact opposé de ce qu'il devait demander.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              +1 avec Cavo
              ... et je m'interroge aussi sur le fait de mettre un site hors ligne parce qu'il est "privé" .... comme c'est pas vraiment fait pour ça .. tu te heurtes a des trucs pas prévus
              Je pense que le mieux c'est encore de se servir des ACL de Joomla! qui sont très puissant pour rendre le site totalement privé
              Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
              Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

              Commentaire


              • #8
                Envoyé par manu93fr Voir le message
                +1 avec Cavo
                ... et je m'interroge aussi sur le fait de mettre un site hors ligne parce qu'il est "privé" .... comme c'est pas vraiment fait pour ça .. tu te heurtes a des trucs pas prévus
                Je pense que le mieux c'est encore de se servir des ACL de Joomla! qui sont très puissant pour rendre le site totalement privé
                En fait, hors ligne serait plutôt interprété comme non relié à internet comme c'est le cas pour des réseaux internes dans les entreprises.
                Joomla a une place prépondérante pour la réalisation de site intranet par exemple mais dans la plupart des cas, on relie l'authentification à un serveur ldap ou un ad (active directory).



                Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                Commentaire


                • #9
                  Envoyé par daneel Voir le message

                  En fait, hors ligne serait plutôt interprété comme non relié à internet comme c'est le cas pour des réseaux internes dans les entreprises.
                  Joomla a une place prépondérante pour la réalisation de site intranet par exemple mais dans la plupart des cas, on relie l'authentification à un serveur ldap ou un ad (active directory).
                  Bonjour Yann ... je pense plutot qu'on parle d'un site bien connecté a internet mais hors ligne (config Joomla!) en permanence ... d'ou l'impossibilité d'avoir le lien "mot de passe oublié" pour les utilisateurs qui ont perdus leur mot de passe

                  ... mais je peux me tromper !
                  Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer
                  Cette année, le JoomlaDay FR a lieu à Bruxelles, les 20 et 21 mai 2022, plus d'infos et inscriptions : www.joomladay.fr

                  Commentaire


                  • #10
                    ah ok, merci manu !

                    oui ce serait une erreur car le mode hors ligne permet à l'origine de basculer le site en maintenance temporaire

                    On peut très bien proposer une page de connexion comme page d'accueil.

                    exemple sur l'un de mes sites (il est à jour en version de joomla mais date de plusieurs années) :

                    la première page contient l'article suivant (en code source) :

                    Code HTML:
                    {loadmodule mod_login}
                    <br ><br >
                    <a href="index.php?option=com_users&amp;view=reset&amp;Itemid=506">Mot de passe oubli&eacute; ?</a>
                    <br><br>
                    <a href="index.php?option=com_users&amp;view=remind&amp;Itemid=507">Identifiant oubli&eacute; ?</a>
                    - le module d'authentification est appelé via le "loadmodule"
                    - j'ai ajouté une redirection vers une page "dashboard" qui indique les dernieres infos et un choix de liens accessible suivant le groupe auquel on appartient... dont l'édition du profil... etc.
                    - Les liens de menu autre que la page d'accueil, page identifiant ou mot de passe oublié sont accessibles via le groupe "enregistrés" de façon à protéger l'accès.
                    - il n'y a pas de création de nouveaux membres en front (seul les admins peuvent créer les comptes)
                    - recaptcha, protection contre deni de service et autres complètent la protection du site.
                    - itemid des urls correspondent au id de lien de menu

                    Les menus peuvent afficher les liens suivant les droits, j'ai aussi réalisé des surcharges pour soigner la présentation et utiliser l'assignation de template pour proposer des mises en forme spécifique. Pratiquement tout est natif donc pas de problème de mise à jour.

                    Yann
                    Dernière édition par daneel à 17/01/2018, 17h02
                    Joomla User Group (JUG) Lille : https://www.facebook.com/groups/JUGLille/

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X