mot de passe admin oublié...
Bonjour,
Me voici bien ennuyé...
J'ai oublié le mot de passe administration de mon PluXml...
J'ai retrouvé dans le fichier "users.xml" le login, mais le mot de passe est crypté (ce qui est généralement une bonne chose, mais là, ça m'embête) :-))
Comment faire, donc, pour récupérer ce mot de passe ?
merci à vous !
Me voici bien ennuyé...
J'ai oublié le mot de passe administration de mon PluXml...
J'ai retrouvé dans le fichier "users.xml" le login, mais le mot de passe est crypté (ce qui est généralement une bonne chose, mais là, ça m'embête) :-))
Comment faire, donc, pour récupérer ce mot de passe ?
merci à vous !
Connectez-vous ou Inscrivez-vous pour répondre.
Réponses
Edite: faut aussi le salt comme tu le notifie...
Bon, ça ne marche pas...
j'avais déjà un peu essayé en mettant un nouveau mot de passe + cryptage md5, mais non...
A quoi sert le noeud "salt" juste en-dessous de celui du mot de passe ? Peut-être que ça vient de là...
Merci beaucoup. Promis, je noterai le mot de passe...
Refait une installation en locale dans un coin et recupere le contenu des balises password et salt du fichier parametres.xml pour le copier dans le meme fichier de ton site.
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Merci beaucoup à zakar! et Stéphane !
Le salt est le cryptage sha1 du md5 ?
Quelqu'un peut m'expliquer ce code ?
Le salt est une chaine aléatoire(10) ou bien du sha1/md5 ?
password = sha1(salt + md5($content)) ?
Edit: ok, résolu
Le Salt (grain de sel) et en fait une chaine de 10 caractères a qui on lui applique le mot de passe crypter en md5.
Le tout et crypter en sha1.
L'intérêt du salt et de passer a travers les bases de donnée en ligne que beaucoup d'hackers utilisent.
Donc pour résumer ta demande on fait un Sha1{Salt + Md5 => Mot de passe}
Donc un gros plus pour la sécurité de son mot de passe
password = sha1(salt + md5(le mot de passe))
http://forum.pluxml.org/viewtopic.php?id=4334
password = rot13(sha1(salt + md5(le mot de passe)))
]:D
Aujourd'hui md5 n'est pas suffisant car il peut être facilement cracké.
On est donc passé à un encodage sha1 + salt sur 10 caractères.
Si md5 est encore présent dans la formule de codage, c'était pour garder la compatibilité avec les anciens cryptage des mots de passe lors de la mise à jour de la nouvelle version de PluXml. Le passage d'une formule à une autre a été transparente pour les utilisateurs. Comme les mots de passe ne sont pas stockés en clair dans PluXml, il était impossible de passer en sha1 de façon automatique par le script de mise à jour. L'astuce a donc été de garder le md5.
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
J'avais crée un sujet mais je l'ai effacé, autant continuer sur ce post :
J'ai crée un petit script qui génére les infos pour récupérer un nouvel accès admin, ce qui évite d'avoir à installer un autre pluxml.
Est-ce qu'on peut inclure du code php dans le wiki pour mettre ce formulaire ?
Non ce n'est pas possible pour des raisons de sécurité.
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)
- il faut retenir son mot de passe
- copier le password
- remplacer le password dans le fichier users
- re-afficher la page du blog
- copier le salt
- remplacer le salt dans le fichier users
- et se rappeler de son mot de passe :8
Alors j'ai modifié un peu le script pour afficher directement le code à remplacer.
Comme ca on peut se rappeler de son mot de passe
Très bonne idée de pouvoir re-généré son mot de passe, faudrait voir par contre avec Stéphane pour en faire une page dédié directement sur le site officiel, ou l'intégrer à PluXml pour éviter toute ambigüité O:)
genre copier le password et le salt pour retrouver le mot de passe en clair ..?
perso vu la fréquence avec lesquelles je vais sur mes sites,
je ne me rappelle d'aucun ]:D
et alors ceux des clients, n'en parlons pas ...
@ danielsan : ça revient au même, tu crois pas ? puis pour la méthode inverse, c'est pas une équation lol, c'est du sha1+md5+salt, c'est à dire indéchiffrable ]:D
Non, on ne peut pas faire du reverse, et heureusement sinon bonjour la sécurité...
Consultant PluXml
Ancien responsable et développeur de PluXml (2010 à 2018)