.env.example

@@ -62,9 +62,9 @@ SESSION_NAME=WAKDO_SID                   # nom du cookie (evite PHPSESSID)
 # Doit correspondre exactement a APP_URL_KIOSK (pas de wildcard).
 CORS_ALLOWED_ORIGIN=https://kiosk.example.com
 
-# Algorithme de hashage mot de passe (password_hash PHP).
-# argon2id recommande depuis PHP 7.3 pour les nouveaux projets.
-PASSWORD_ALGO=argon2id
+# Algorithme de hashage : argon2id, FIXE dans le code (App\Auth\PasswordHasher),
+# choix security-by-design non configurable (pas de bascule runtime vers un algo
+# plus faible). Seuls les COUTS ci-dessous sont reglables.
 
 # Parametres de cout argon2id (password_hash options).
 # Defauts alignes sur les recommandations OWASP Password Storage Cheat Sheet

docker-compose.yml

@@ -138,7 +138,6 @@ services:
       SESSION_LIFETIME_ABSOLUTE: ${SESSION_LIFETIME_ABSOLUTE}
       SESSION_NAME: ${SESSION_NAME}
       CORS_ALLOWED_ORIGIN: ${CORS_ALLOWED_ORIGIN}
-      PASSWORD_ALGO: ${PASSWORD_ALGO}
       # Cout argon2id (password_hash) : aligne sur .env.example / OWASP. Sert au
       # hash du mot de passe ET du PIN equipier (actions sensibles, P3).
       ARGON2_MEMORY_COST: ${ARGON2_MEMORY_COST}

src/app/Auth/PasswordHasher.php

@@ -24,6 +24,9 @@ final class PasswordHasher
 
     public function hash(string $plain): string
     {
+        // argon2id en dur : choix security-by-design non configurable (pas de
+        // bascule runtime vers un algo plus faible). Seuls les couts sont lus de
+        // l'environnement (options()) ; il n'existe donc pas de var PASSWORD_ALGO.
         return password_hash($plain, PASSWORD_ARGON2ID, $this->options());
     }