Aller au contenu

Dissimuler un mot de passe


Sujets conseillés

Posté

Bonsoir, 

 

Pour un formulaire de contact, je suis passée par le smtp de Google en utilisant la librairie PHPMailer. Mais seulement, pour cela, il faut s'authentifier avec son adresse mail ainsi que son mot de passe...

 

J'avoue que ça ne me branche juste pas d'écrire mon mot de passe en dur dans mon code... Est-ce que vous auriez une solution à me proposer pour éviter ça ? Je voudrais éviter une base de données pour juste un mot de passe et un mot de passe dans un fichier à part, je ne suis pas sûre que ce soit bien différent... Le sha1, j'y ai pensé, mais quand je vois qu'on peut le décrypter et le crypter sur des sites en lignes, je me demande ce que je ferai quand je créerai un site communautaire... XD (J'ai halluciné, ça sert à rien, en fait, le sha1 ? x3). 

 

Enfin, voilà, si vous avez des propositions pour mon mot de passe, ça me serait d'une grande aide car mes mots-clé ne m'ont pas retourné quelque chose d'intéressant lors de mes recherches... 

 

Je vous remercie pour vos réponses, une bonne soirée. :3 

Posté

Bonsoir,

 

Dans tous les projets PHP, il y a des mots de passe écrit en dur: Base de données, serveurs SMTP, clés secrètes d'API, et j'en passe. Ton  code source, a moins que tu ne tripatouille fortement ton serveur web, ne sera pas accessible par n'importe qui le visitant, donc je peut te dire que cela ne pose pas de soucis :)

 

Concernant le SHA1, c'est utile dans une certaine mesure. Du moins, le système de cryptage en soi. Tu as différents algorithmes de Cryptage (avec ajout d'un "sel", et décryptable si l'on a le sel) OU de hashage (indécodable par après). Tu aura des bases en ligne de plein de mots traduits de crypto à normal, mais également de mots hashés. C'est pour cela qu'utiliser un mot de passe fort (lettres Min/Maj, nombres, caractères spéciaux, ...) t'éloignera du dictionnaire et donc d'un éventuel mot de passe déjà encodé. Pour ton SMTP cela ne sert à rien d'hasher, car ton serveur SMTP recevrait une valeur hashée et dira "oui mais zee1g5re1ge563rg1erheh13 c'est pas motDePasseDeMamieGateaux ! je refuse la connexion tiens. Hop. A la trappe.".

 

Tu devra donc l'envoyer "en clair" (lisible dans le code) mais cela ne posera pas de souci crois moi. Par contre, vérifie bien que le protocole utilisé emploie le TLS/SSL sinon la transaction entre ton serveur et le serveur SMTP, lui, ne sera pas sécurisé et un logiciel "man in the middle" pourrait récupérer ses informations et les exploiter.

 

 

Posté

Merci pour la réponse, tout d'abord. 

 

D'accord, ça me rassure. Je n'étais pas sûre que le fait que ce soit côté serveur protège forcément de l'extérieur. :/ Avec un petit Wireshark, on ne voit rien non plus... ? 

 

Merci aussi pour l'éclaircissement, il faudra que je me renseigne davantage sur le sujet, je suis pas au topou niveau sécurité. Je devrai donc forcer mes utilisateurs à rentrer des mots de passe bien casse-pieds. x3 

 

Je passe par le port 587 (tls) pour faire la transaction. (C'est justement dans le cas contraire où Wireshark peut intercepter, du coup... ?). 

 

Je creuse encore un petit peu ici, puis j'arrête. Thank you 

  • 5 semaines plus tard...
Posté

Si tu te connectes en smtps, ce qui est le cas pour un serveur gmail, wireshark ne captera que des paquets cryptés, c'est tout l'intérêt des protocoles sécurisés :)

 

Juste une remarque avec gmail pour en avoir fait les frais (et si ça n'a pas changé), tu es limité à 450 envois avec un compte classique et 2000 envois avec un compte Gapps entreprise (ou office s ou je ne sais plus comment ça s'appelle), c'est à prendre avec des pincettes mais c'était vrai il y a 1 an, et ça doit toujours être à peu près ça.

Posté

Utilisant G Suite (nouveau nom pour G-apps) le quota d'email journalier est uniformisé avec gmail classique désormais, c'est 200 mails par jour max

Posté

Que 200 (avec l'offre payante à 8€ / compte j'entends) ??? certains jours le les dépasse allègrement, c'est un peu du foutage de gueule là quand même ...

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...