zone membre : mot de passe automatique ou forcé avec masque

[psychoreflex]

Bonjour,

Je réalise une zone membre pour mon site, c'est la première fois que je m'occupe de ça.
Pour la zone de mot de passe, je retiens deux options :
- j'envoie un mot de passe généré automatiquement : auquel cas comment faire ?
- Je laisse l'utilisateur choisir son mot de passe, mais en forçant un masque. Par exemple le mot de passe doit forcément compter 6 lettres, plus 2 majuscules et deux chiffres.

Quelle solution préférez-vous ? (NB je m'en fiche du coup de celui qui note son mot de passe sur un bout de papier, la question porte sur le plan technique et celui du piratage)


Merci d'avance pour vos réponses (si vous avez une solution privilégiée autre que celles-ci, allez-y).

[e-kiwi]

moi ça m'ennerve que l'on ne me laisse pas choisir mon mot de passe donc je prévilie l'utilisateur avant le code. donc moi je te répond : le masque

[psychoreflex]

oui je préfère aussi cette solution, moi c'est parce que sinon on s'en souvient jamais, faut aller r'ouvrir les emais avant de s'inscrire et tout...

Mais n'est ce pas un peu cadeau pour le pirate éventuel que de lui faire savoir à l'avance le masque de tous les mots de passe ?

[gomoz]

un truc de 8 caractères, je lui souhaite bien du plaisir au pirate pour brute forcer. Au pire tu fais une limitation du nombre d'essais/heures à la connexion.

[psychoreflex]

Donc Gomoz, tu dis que le fait que le pirate connaisse le masque ne lui facilite en rien la tâche ?

Au pire tu fais une limitation du nombre d'essais/heures à la connexion.

Oui ça c'est prévu aussi de toute façon.

[psychoreflex]

Quelqu'un a l'expression régulière pour le masque de controle ?

[gomoz]

non, si ton mot de passe comporte obligatoirement 2 majuscules et 2 chiffres par exemple, il sera obligé de testez ceux-ci dans toutes les positions possibles. J'ai un peu la fleme de calculer mais je suis certain que le nombre d'arrangements possibles offre la possibilité de tous les tester pour trouver la bonne solution dans un delay résonable.

c'est pour quoi ta zone membre ? Si c'est vraiment important, tu peux obliger le changement de mot de passe tous les x mois.

[guicara]

le masque également, par contre pour forecer les majuscules, sa ne va pas plaire à tous le monde ^^

[psychoreflex]

6 lettres plus 2 majuscules et 2 chiffres, normalement c'est solide.
Il y a aussi un controle sur IP au bout de trois ratages elle est bloquée.

C'est pour un forum.

contre pour forecer les majuscules, sa ne va pas plaire à tous le monde

c'est à dire ?

[reglysse]

Pourquoi imposer un masque de saisie ?

Il ne vaut mieux pas faire comme la majorité des sites, tu laisses l'utilisateur choisir le mot de passe qu'il veut avec comme seule règle un nombre minimum de caracteres ?

8 par exemple.

[psychoreflex]

C'est pour que ça soit plus sur. Mais c'est vrai qu'avec une limitation à trois des essais d'inscription le risque est peut être restreint.
Déjà là je vais lutter pour le masque je sens.

[jeroen]

La meilleure solution reste encore de générer automatiquement le mot de passe, et d'en permettre la modification dans son profil
L'avantage est que l'inscription "de base" est plus rapide pour l'internaute : email (qui peut servir de login) et zou, c'est envoyé

[guicara]

6 lettres plus 2 majuscules et 2 chiffres, normalement c'est solide.
Il y a aussi un controle sur IP au bout de trois ratages elle est bloquée.

C'est pour un forum.

contre pour forecer les majuscules, sa ne va pas plaire à tous le monde

c'est à dire ?

Pour faire simple, les visiteurs (certains) ne vont pas apprésier choissir un mot de passe avec des majuscules obligatoires... enfin sa c'est mon avis personnel

[psychoreflex]

La meilleure solution reste encore de générer automatiquement le mot de passe, et d'en permettre la modification dans son profil
L'avantage est que l'inscription "de base" est plus rapide pour l'internaute : email (qui peut servir de login) et zou, c'est envoyé

Oui j'ai pensé à cela et puis la zone membre est plus simple à construire.

Comment je génère alétoirement le mot de passe déjà ?

Rq au final, c'est pareil, quand le gars veut modifier son mot de passe, il faut bien que je recrée un masque.
Ou je fais simple et je force simplement un mot de passe de 8 caractères au choix ?

[jeroen]

Comment je génère alétoirement le mot de passe déjà ?

Rq au final, c'est pareil, quand le gars veut modifier son mot de passe, il faut bien que je recrée un masque.
Ou je fais simple et je force simplement un mot de passe de 8 caractères au choix ?

Code: Tout sélectionner

function passgen($max=10,$min=8)
{
srand ((double) microtime() * 1000000);
$nbchar = rand($min, $max);
$chars = array("a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z", "A", "B", "C", "D", "E", "F", "G", "H", "I", "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V", "W", "X", "Y", "Z", 0, 1, 2, 3, 4, 5, 6, 7, 8, 9);
for ($i=0;$i<$nbchar;$i++)
        $pass.=$chars[rand(0, count($chars) - 1)];
return $pass;
}

Perso un masque avec pass d'au moins 6 charactères.