zone membre : mot de passe automatique ou forcé avec masque

[psychoreflex]

Bonjour,

Je réalise une zone membre pour mon site, c'est la première fois que je m'occupe de ça.
Pour la zone de mot de passe, je retiens deux options :
- j'envoie un mot de passe généré automatiquement : auquel cas comment faire ?
- Je laisse l'utilisateur choisir son mot de passe, mais en forçant un masque. Par exemple le mot de passe doit forcément compter 6 lettres, plus 2 majuscules et deux chiffres.

Quelle solution préférez-vous ? (NB je m'en fiche du coup de celui qui note son mot de passe sur un bout de papier, la question porte sur le plan technique et celui du piratage)


Merci d'avance pour vos réponses (si vous avez une solution privilégiée autre que celles-ci, allez-y).

 

[e-kiwi]

moi ça m'ennerve que l'on ne me laisse pas choisir mon mot de passe donc je prévilie l'utilisateur avant le code. donc moi je te répond : le masque

 

[psychoreflex]

oui je préfère aussi cette solution, moi c'est parce que sinon on s'en souvient jamais, faut aller r'ouvrir les emais avant de s'inscrire et tout...

Mais n'est ce pas un peu cadeau pour le pirate éventuel que de lui faire savoir à l'avance le masque de tous les mots de passe ?

 

[gomoz]

un truc de 8 caractères, je lui souhaite bien du plaisir au pirate pour brute forcer. Au pire tu fais une limitation du nombre d'essais/heures à la connexion.

 

[psychoreflex]

Donc Gomoz, tu dis que le fait que le pirate connaisse le masque ne lui facilite en rien la tâche ?

Au pire tu fais une limitation du nombre d'essais/heures à la connexion.

Oui ça c'est prévu aussi de toute façon.

 

[psychoreflex]

Quelqu'un a l'expression régulière pour le masque de controle ?

 

[gomoz]

non, si ton mot de passe comporte obligatoirement 2 majuscules et 2 chiffres par exemple, il sera obligé de testez ceux-ci dans toutes les positions possibles. J'ai un peu la fleme de calculer mais je suis certain que le nombre d'arrangements possibles offre la possibilité de tous les tester pour trouver la bonne solution dans un delay résonable.

c'est pour quoi ta zone membre ? Si c'est vraiment important, tu peux obliger le changement de mot de passe tous les x mois.

 

[guicara]

le masque également, par contre pour forecer les majuscules, sa ne va pas plaire à tous le monde ^^

 

[psychoreflex]

6 lettres plus 2 majuscules et 2 chiffres, normalement c'est solide.
Il y a aussi un controle sur IP au bout de trois ratages elle est bloquée.

C'est pour un forum.

contre pour forecer les majuscules, sa ne va pas plaire à tous le monde

c'est à dire ?

 

[reglysse]

Pourquoi imposer un masque de saisie ?

Il ne vaut mieux pas faire comme la majorité des sites, tu laisses l'utilisateur choisir le mot de passe qu'il veut avec comme seule règle un nombre minimum de caracteres ?

8 par exemple.

 

[psychoreflex]

C'est pour que ça soit plus sur. Mais c'est vrai qu'avec une limitation à trois des essais d'inscription le risque est peut être restreint.
Déjà là je vais lutter pour le masque je sens.

 

[jeroen]

La meilleure solution reste encore de générer automatiquement le mot de passe, et d'en permettre la modification dans son profil :wink:
L'avantage est que l'inscription "de base" est plus rapide pour l'internaute : email (qui peut servir de login) et zou, c'est envoyé :wink:

 

[guicara]

6 lettres plus 2 majuscules et 2 chiffres, normalement c'est solide.
Il y a aussi un controle sur IP au bout de trois ratages elle est bloquée.

C'est pour un forum.

contre pour forecer les majuscules, sa ne va pas plaire à tous le monde

c'est à dire ?

Pour faire simple, les visiteurs (certains) ne vont pas apprésier choissir un mot de passe avec des majuscules obligatoires... enfin sa c'est mon avis personnel

 

[psychoreflex]

La meilleure solution reste encore de générer automatiquement le mot de passe, et d'en permettre la modification dans son profil
L'avantage est que l'inscription "de base" est plus rapide pour l'internaute : email (qui peut servir de login) et zou, c'est envoyé

Oui j'ai pensé à cela et puis la zone membre est plus simple à construire.

Comment je génère alétoirement le mot de passe déjà ?

Rq au final, c'est pareil, quand le gars veut modifier son mot de passe, il faut bien que je recrée un masque.
Ou je fais simple et je force simplement un mot de passe de 8 caractères au choix ?

 

[jeroen]

Comment je génère alétoirement le mot de passe déjà ?

Rq au final, c'est pareil, quand le gars veut modifier son mot de passe, il faut bien que je recrée un masque.
Ou je fais simple et je force simplement un mot de passe de 8 caractères au choix ?

function passgen($max=10,$min=8)
{
srand ((double) microtime() * 1000000);
$nbchar = rand($min, $max);
$chars = array("a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z", 0, 1, 2, 3, 4, 5, 6, 7, 8, 9);
for ($i=0;$i<$nbchar;$i++)
        $pass.=$chars[rand(0, count($chars) - 1)];
return $pass;
}

Perso un masque avec pass d'au moins 6 charactères.

 

[psychoreflex]

Tiens bah je viens de trouver ce code :

 <?
$chaine = "abBDEFcdefghijkmnPQRSTUVWXYpqrst23456789"; //String valid
srand((double)microtime()*1000000); 
for($i=0; $i<8; $i++) { //mot de passe de 8 caractères
    $pass .= $chaine[rand()%strlen($chaine)]; 
}  
?>

Bon si je vous suis il suffit d'un nombre minimum de caractère dans le mot de passe, sans masque particulier, plus un controle sur IP pour limiter le nombre de tentative d'inscription et donc empêcher les attaques par force brute, afin de garantir qu'un espace membre est sécurisé convenablement ?
(en cryptant le mot de passe dans la BD bien sur, mais c'est un autre sujet)

**edit**
Si ce n'est pour simplifier la procédure d'inscription, je ne crois pas que le fait de générer au départ un mot de passe aléatoire ait un autre intérêt, notamment pour la sécurité. J'ai raison ou pas ?

 

[finstreet]

oui enfin j'aimerais bien connaitre le rapport : temps perdu à faire ca, et la possibilité éventuelle qu'un pirate souhaite pirater un compte qui n'est rien d'autre qu'un compte de forum

Bref, je laisserais choisir le mot de passe que le visiteur souhaite (même hotmail fait ca)

 

[psychoreflex]

Hotmail indique quand même la solidité du mot de passe et recommande ceux qui sont complexes.

Le rapport entre quoi et quoi finstreet au fait ?


Une autre question : pour le mot de passe est-ce que j'autorise les caractères spéciaux, à défaut d'imposer un masque ?

Autre question aussi : pour le pseudo, je n'ai prévu aucune contrainte (si ce n'est une vérification des mots grossiers et n caractères. Il peut y avoir des espaces, des accents etc... vous y voyez un problème technique ? Parce que peu de sites font cela.

 

[jerome347]

Un pti lien interessant (trouvé chez ¥€$ je crois) :

http://www.lockdown.co.uk/?pg=combi

 

[psychoreflex]

En anglais, mais intéressant. Merci

Pour mes question juste au dessus, quelqu'un ?

 

[jeroen]

caractères spéciaux, oui, espaces, non.

 

[psychoreflex]

Pourquoi pas d'espace ?

accents $ £ + = ?;- etc.... mais pas d'espace ?

 

[finstreet]

Hotmail t'indique le niveau de sécurité, mais t'empeche pas de créer un mot de passe bidon... et là il s'agit d'un email où tu peux recevoir des emails importants... les mp dans un forum, ouais bof... y'a trop rien de perso la plupart du temps

sinon je disais que je vois pas l'intéret d'un "pirate" de venir piquer le mot de passe d'un membre sur un forum...

 

[psychoreflex]

Ouaip

et pourquoi Jeroen dit pas d'espace dans le pseudo ?

Si un membre veut s'appeler Bob Denard, qu'est ce qui gène ?

 

[jeroen]

et pourquoi Jeroen dit pas d'espace dans le pseudo ?

Oups, j'avais lu "login".

 

[psychoreflex]

Pour le login j'ai choisi l'email. ça pose un problème selon vous ?

Et pourquoi pas d'espace dans le login en fait ?