Il n'y a pas de moyen très rapide de le prouver, car le hachage est conçu pour ne pas être réversible .

Vous pouvez récupérer le mot de passe revendiqué et générer manuellement le hash comme @TechTreeDev suggéré. Vous devriez utiliser un hachage salé (c'est-à-dire BCrypt), alors assurez-vous d'utiliser le même sel.

• Si le hachage généré manuellement correspond, alors vous avez prouvé un problème dans la connexion code.

• Il est plus probable que le hachage généré soit différent, alors vous avez exclu les problèmes de code de connexion , mais il se peut que un problème avec la configuration du mot de passe , ou une erreur dans votre génération manuelle.

C'est à peu près tout ce que vous pouvez faire pour vérifier le mot de passe d'une seule personne . Au-delà de cela, nous passons au test du système.

• Si vous soupçonnez un cas de pointe intermittent / aléatoire, vous pouvez créer un script de test de singe pour configurer les mots de passe puis essayez-les. Cette approche est probablement exagérée.

• La meilleure chose à faire est de revoir votre code de connexion et tous les points qui réinitialisent le mot de passe . Le code doit être aussi court et concis que possible. D'après mon expérience, le meilleur moyen d'éliminer les problèmes de cas extrêmes est la révision du code, car ces cas limites ne sont souvent pas couverts par les tests manuels.

Quelques points à préciser recherchez:

• Assurez-vous que le paramètre maxlength est cohérent (ou mieux encore, absent) sur tout mot de passe <input> s. Vous recherchez une cohérence entre la configuration du mot de passe et le formulaire de connexion.

• Assurez-vous qu'il n'y a pas de troncature côté serveur.

• Assurez-vous que le codage est cohérent. Si un caractère non ASCII est utilisé dans le mot de passe, le formulaire de configuration du mot de passe et les formulaires de connexion doivent se comporter exactement de la même manière.

• De même, ne supprimez pas automatiquement les caractères espaces ou non ASCII du mot de passe. C'est le genre de chose que vous pouvez facilement saisir avec une révision de code si votre code est concis.

Enfin, quelques astuces humaines:

• Vérifiez d'abord qu'ils utilisent le nom d'utilisateur correct .

• Vérifiez que le paramètre de verrouillage des majuscules est correct.

• Donnez au service client un journal de chaque date / heure de connexion ou de réinitialisation du mot de passe. S'il y a eu au moins une connexion depuis la dernière réinitialisation alors ils savent que le système a fonctionné correctement.

  Tant que le code de connexion est inchangé, et que le hachage est inchangé depuis le dernier succès, alors vous pouvez être raisonnablement certain que le problème doit être un mot de passe mal saisi.

• Passez en revue l ' UX de l'erreur de mot de passe incorrect , en fournissant à l'utilisateur quelques conseils simples et des explications fiables sur les possibilités. Cela peut réduire les appels au service client.

• Il peut être utile d ' informer par e-mail le client lorsqu'un mot de passe est réinitialisé pour le rappeler. (ou un autre membre de la famille en cas de comptes partagés)

Il y a un moyen de le savoir avec certitude, c'est de calculer le hachage de ce que l'utilisateur a entré, en utilisant le même sel, et en le comparant avec ce que vous avez. Cependant, c'est ce que fait déjà le processus de connexion et l'utilisateur ne le croit pas. Pourquoi devraient-ils y croire quand vous le faites pour eux?

Au lieu de cela, vous pourriez faire ce que j'ai vu beaucoup ces derniers temps, dans Windows 10 par exemple, mais aussi sur des sites Web:

Donnez à l'utilisateur un moyen de vérifier ce qu'il a saisi.

Bien sûr, lors de la connexion, les caractères doivent être représentés par des points ou d'autres caractères, donc les snoopers ne peuvent pas voir le mot de passe en regardant par-dessus l'épaule de l'utilisateur.

Mais tant qu'il est dans le champ de saisie, il n'a pas encore été chiffré ou haché. Fournissez donc un bouton qui transforme ces points en caractères réels.
De cette façon, après avoir entré le mauvais mot de passe, ils peuvent le saisir à nouveau et voir ce qu'ils viennent de saisir. Ou ils peuvent s'enregistrer avant de se connecter.

CapsLocks oubliés, Shifts suspendus, fautes de frappe; ils peuvent tous être détectés par l'utilisateur de cette façon.

Pour améliorer votre expérience utilisateur, vous devez tout d'abord ajouter une interface utilisateur pour informer les utilisateurs des conditions suivantes:

• Verrouillage des majuscules activé
• Avertissement s'il y a des espaces à la fin dans le nom d'utilisateur
• Attention s'il y a des espaces à la fin du mot de passe
• évitez d'utiliser des espaces dans les e-mails (si vous utilisez l'e-mail au lieu du nom d'utilisateur)
• empêche l'utilisation et supprime automatiquement les nouvelles lignes (il existe plusieurs nouvelles variantes de ligne)
• empêcher l'utilisation et supprimer automatiquement les caractères de contrôle
• si vous utilisez Javascript, certains navigateurs l'ont désactivé, vous devez donc déplacer ces étapes sur le serveur

Également lorsque le mot de passe inséré est incorrect, affichez le message suivant:

Le mot de passe ou le nom d'utilisateur / mail est incorrect, veuillez taper en faisant attention aux lettres minuscules ou majuscules et à tous les nombres de symboles, ils doivent correspondre parfaitement . Évitez de faire du copier-coller, car la copie de texte peut parfois ajouter des espaces et / ou des retours à la ligne supplémentaires indésirables.

Gardez à l'esprit que vos utilisateurs ont peut-être raison ! Une fois, j'ai eu un vieux téléphone qui ne me permettait pas de me connecter à une page Web, je ne sais pas si c'était un problème d'encodage de texte mais mon mot de passe était alphanumérique et fonctionnait parfaitement sur un PC.

La réponse acceptée en couvre vraiment la majeure partie. Mais en supposant que j'aie essayé toutes les suggestions et que je ne puisse toujours pas trouver le problème, j'essaierais alors de détecter l'erreur quand cela se produit. Pour ce faire, vous pouvez ajouter un code qui enregistre le mot de passe en clair reçu si un utilisateur ne parvient pas à se connecter deux fois de suite (afin de filtrer tous les utilisateurs qui viennent de faire une erreur stupide et de la corriger lors du deuxième essai).

Afin de ne pas affaiblir la sécurité de votre système, vous ne pouviez activer la connexion par mot de passe que lorsqu'il y avait effectivement un utilisateur sur le téléphone qui avait des difficultés à se connecter, et ne connecter que son mot de passe, avec son / son consentement.

La journalisation du mot de passe réel que votre application voit présente l'avantage que vous voyez exactement ce que voit votre application. Après quelques appels d'utilisateurs désespérés, vous pourriez commencer à trouver un modèle dans leurs mots de passe (par exemple, espace de fin, caractères spéciaux, etc.) qui indiquait un problème dans votre code de connexion, ou vous pourriez voir qu'ils voulaient dire pour taper "mysweetheart" mais tapez "myseetheart" à la place, ce qui signifierait que les problèmes de connexion étaient très probablement des erreurs de l'utilisateur.

Je ne pense pas que l'exécution manuelle des étapes de hachage de mot de passe serait la solution. Si vous avez détecté que cela échoue, bien sûr, vous pouvez le faire à bas niveau pour déboguer, mais vos clients l'oublieront presque immédiatement.

Ici, le problème est qu'ils utilisent un mauvais mot de passe , soit parce qu'ils l'ont mal saisi, soit parce qu'ils pensent vraiment en avoir utilisé un autre que celui qu'ils ont utilisé.

Pour écarter le premier cas, faites-leur écrire le mot de passe prévu dans un éditeur de texte (par exemple, le bloc-notes ), coupez-le dans le presse-papiers et collez-le dans le champ du mot de passe. Le mot de passe est montré au client pendant le processus, ce qui supprime les cas où une mauvaise lettre est pressée, le verrouillage des majuscules a été défini ... (bien sûr, nous nous attendons à ce qu'ils le fassent à un moment où personne d'autre ne regarde leur écran )

Le deuxième cas est plus difficile, car nous ne voulons pas inciter les clients à conserver un fichier texte avec leurs mots de passe. Idéalement, vous convaincriez vos clients d'utiliser un gestionnaire de mots de passe comme KeePass. Ensuite, si le mot de passe - le même qui fonctionnait auparavant - est correctement copié depuis le gestionnaire de mots de passe, vous pouvez être tout à fait certain qu'il s'agit bien du bon mot de passe.

Autre que cela, qui nécessite vraiment un changement de l'esprit de vos clients, vous pouvez demander à vos clients de:

• créer un nouveau mot de passe
• changer leur mot de passe en le collant
• essayer de vous connecter avec le même mot de passe qu'ils ont dans le presse-papiers

autant de fois qu'ils le souhaitent, afin d'essayer de le reproduire.

En supposant que vous vous connectiez chaque fois qu'un utilisateur se connecte, vous pourrez peut-être montrer qu'il a pu se connecter depuis la dernière modification de son mot de passe, ce serait au moins suffisant pour écarter certains problèmes potentiels.

En rencontrant quatre systèmes d'authentification différents avec cette propriété réelle, il est assez facile de vérifier dans chaque cas.

Cas n ° 1: le système échoue de manière aléatoire. En cas d'échec, le compteur de connexion incorrect n'est pas incrémenté. (Je n'ai pas pu inspecter l'intérieur, mais je suis presque sûr que ce qui se passe, c'est qu'il perd parfois la connexion avec un autre serveur et signale simplement un mot de passe incorrect lorsque cela se produit.)

Cas n ° 2: Le système a explosé lorsque je mets une apostrophe dans mon mot de passe. Démontrer que le champ du mot de passe était soumis à une injection SQL était trivial.

Cas n ° 3: Un mot de passe valide a été rejeté par un filtre de caractères sur l'écran de connexion que l'écran de mot de passe n'avait pas. C'était aussi simple de démontrer le problème.

Cas n ° 4: Le système ne me laissait pas me connecter car il interprétait le signe arobase comme une ligne d'arrêt. Booo. La connexion par telnetting au port FTP a prouvé que j'avais le bon mot de passe.

Vous pouvez stocker les derniers mots de passe (hachés) de chaque utilisateur dans votre base de données. Si le mot de passe entré ne correspond pas au mot de passe actuel, comparez-le aux anciens. S'il y a une correspondance, présentez un message «Vous avez entré un ancien mot de passe - réessayez», ou un code d'erreur à cet effet (ainsi, lorsqu'ils vous contactent, vous pouvez demander «Voyez-vous le code d'erreur 47? Cela signifie que vous avez utilisé un ancien mot de passe. ")

De cette façon, vous pouvez être assez sûr que le système de connexion fonctionne car il a effectué au moins quelques recherches de mot de passe et l'utilisateur reçoit des informations indiquant qu'il a oublié son nouveau mot de passe.

Je publie une deuxième réponse à laquelle j'ai pensé hier, mais je n'étais pas sûr que ce soit souhaitable.

Vous pouvez créer un journal temporaire des mots de passe définis / réinitialisés et tentés sous une forme cryptée. Les experts en sécurité (moi y compris) frémiraient à cette idée de crypter (au lieu de hacher) les mots de passe (ou même de tentatives de mot de passe incorrectes), je vous suggère donc trois précautions si vous décidez que vous devez commencer à enregistrer ces informations.

1. Soumettez les informations à un ordinateur séparé / isolé afin que si le serveur principal est compromis, le journal des mots de passe est toujours sécurisé.
2. Utilisez la clé publique (asymétrique ) cryptage pour les informations enregistrées. La clé privée (décryptage) n'est stockée que dans un environnement isolé pour que le développeur puisse examiner les données enregistrées.
3. Planifiez une tâche (ou codez-la) afin que ce journal temporaire soit désactivé à une date donnée ou lorsqu'un nombre suffisant de tests a réussi.