Bonjour;
 
 
Mon application doit gèrer la perte d'un mot de passe : cas ou un user oublie son password.
Je cherche un moyen sécurisé pourqu'il puisse reinitialiser celui-ci par mail sans utiliser des phrases codées (date de naissnace,  nom de sa femme, etc..).
 
A+;

tu envois un lien par mail qui permet de re-iniitialisé le password, lien valide seulement 1h par exemple ( system OVH ) ( fourniture du login quand meme )

sinon, tu peux faire l'envois d'un password par mail directement.

 
Comment ca l'envois d'un password par mail directement ? je ne comprend pas ? tu vas envoyé par mail, un MdP en clair !

 
 
Ha ca c'est intéressant, mais comment tu fais cette initialisation ?
Tu peux me donner plus de détails sur ca.
 
Merci

c'est une application web ?? ( php ? )
 
c'est pas compliquer ca faire ...

 
Oui c'est une application web (en j2ee).

 
 
oki, la procedure n'es pas complexe, tu a une BD ?? ( sur le serveur avec les infos client ) ?

 
Si tu parles d'un login, ca veux dire qu'il faut construire une chaine cryptée composée d'une concaténation du login + d'autre chose !
 

non, mais avant d'afficher la page où le mot de passe t'es fournis, tu peux redemander le login ...

 
Oui, je suis d'accord avec toi, donc :
 
- Le user clique sur un lien "Oubli mot de passe"
- Une page lui demande de saisir son login, il le fait
- Ensuite tu récupéres ce login et tu construis une chaîne constituée de ce login + une var aléatoire tous ca cryptée
- tu compares cette chaine avec celle stockée ds une table  
6 Si ca match, tu lui affiches une page pour qu'il saisisse un new password;
 
C'est ca ou je me trompes ?

non, moi, j'enverais un mail avec une chaine crypter
- le lien renvoie vers une page ou le login est demander
- si ca fait moin d'une heure, le script redonne un nouveau MDP
 
bien sur il faut qu'il y ai une possibilité prealable de changement de MDP dejà prevu.

 
Désolé, mais je ne comprend pas ? Faisant un petit résumé :
 
Ds la page de login, il y'a un lien ou un bouton qui s'appelle " Vous avez oublié votre mot de passe". Le user clique sur ce bouton on lui envoi un mail avec une chaîne cryptée.  
Il ouvre son mail et clique sur le lien qui lui affiche un formulaire pour saisir son login. et ensuite ....
Ca sert à quoi d'envoyer la chaine cryptée ds le mail ?
 
A+;
 

ca permet de savoir qui a cliquer !!
 
( avant d'envoyer le mail, l'utilisateur saisi le mail, ensuite, verification dans la BD de la personne corespondante, desactivation temporaire du compte, creation d'une chaine MD5 stocker en BD, envoir du mail )
 
a la reception du mail, le lien contient la chaine MD5 ( former a partir du nom user + JJ/MM/AAA HMS ). Le cript verifie que la chaine existe bien dans la bd et pour ki, si c'est ok : creation d'un nouveau password etc ...
 
Mais ya plein d'autre facon de faire !
 
@+

 
Ha ca m'interesse, ou je peux trouver ces différentes facons de faire ?
 
A+;

en reflechissant ! lol !
 
serieusement, en regardans comment fait hardware par exemple, ou un phpbb, oubien encore n'importe quelle site ou il y a une inscription ...  
 
Dans tout les cas, ce n'es jamais secure à 100% mais yen a des moin pire que les autres ...