[Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Page 2 sur 2 Précédent  1, 2

Voir le sujet précédent Voir le sujet suivant Aller en bas

Êtes-vous pour ou contre ?

63% 63% 
[ 22 ]
37% 37% 
[ 13 ]
 
Total des votes : 35

[Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par azuky le Sam 11 Avr 2015 - 17:54

Rappel du premier message :

Bonjour,

Le sujet a déjà été abordé ici http://forum.forumactif.com/t359850-mot-de-passe-en-clair-dans-le-message-de-bienvenue mais marqué comme résolu et archivé, donc impossible d'y poster mon message.

Envoyer un mot de passe par email, sous forme de simple texte, n'est absolument pas sécurisé. Même si ce mail n'est envoyé qu'une seule fois à l'utilisateur concerné.
Certes il ne s'agit que du mot de passe d'un forum, mais beaucoup de personne utilisent le même mot de passe sur différents sites, potentiellement plus important. Au minimum, il faudrait donc savoir avant l'inscription que notre mot de passe nous sera envoyé en clair par mail.

Le comble, c'est que lorsqu'on choisit un mot de passe, on voit s'afficher "faible", "moyen" ou "fort". Ce mécanisme est censé inciter les gens à mettre des mots de passe sécurisés, tout ça pour qu'il soit envoyer en clair 5 secondes plus tard...

Un plus sur le sujet, en anglais : http://security.stackexchange.com/questions/17979/is-sending-password-to-user-email-secure

azuky
Nouveau membre

Messages : 1
Inscrit(e) le : 11/04/2015

http://terminusjeux.forumactif.fr/
azuky a été remercié(e) par l'auteur de ce sujet.

  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Chinelle le Lun 20 Avr 2015 - 16:01

Je viens un peu remonter les statistiques du POUR, et franchement, je n'aurais jamais cru que les votes tourneraient de cette manière. Je suis de façon générale entièrement d'accord avec Threax et ce qu'il propose.

Aujourd'hui, si vous utilisez plusieurs gros sites, applications, jeux en ligne, le changement de mot de passe se fait par un mail envoyé avec un lien qui ramène sur le site où on peut en direct changer de mot de passe avec vérification. Dans le cas où on se fait "voler" sa boite mail, au pire la personne pourra récupérer le compte en question, mais ça s'arrêtera là. Gmail propose même d'enregistrer son numéro de gsm afin d'avoir un système de sécurité supplémentaire qui permettra de prouver qu'on est bien qui l'on prétend être en cas de problème. Je ne dis pas qu'on doit toujours faire ce qui se fait, mais je ne pense pas que ce soit un effet de mode. Aujourd'hui, il existe des applications mobiles bancaires où on doit juste taper le numéro de compte et le mot de passe correspondant. Un petit oubli sur votre boite mail, un vol de téléphone portable, et boum, le voleur peut voir votre boite mail, le mail de forumactif et on se fait avoir.

Si vous reconnaissez vous même supprimer ce mail de bienvenue, c'est que vous reconnaissez l'existence du risque qu'on vous pirate et qu'on voit ce fameux mail. Mais bien sûr, il est préférable de rester dans l'existant et de supposer que tout le monde va penser faire cette systématique suppression. Ou alors supposer que tout le monde utilise un mot de passe différent pour chaque site, qu'on stockera je ne sais où. Alors bonne chance.

Je ne pense pas faire allusion à faible pourcentage de population quand j'affirme que certains ne supprimeront pas ce mail. Considérant cela, on ne peut pas dire que "parce que vous le faites, alors c'est bon".

Pour répondre à demeter1, il n'est justement pas nécessaire que le membre utilise sa mémoire, il doit juste avoir accès au forum concerné et à sa boite mail. Le changement se fera via un lien envoyé par mail.


Dernière édition par Chinelle le Lun 20 Avr 2015 - 16:05, édité 1 fois
avatar

Chinelle
**

Féminin
Messages : 64
Inscrit(e) le : 08/12/2009

http://kingdom-hearts2.kanak.fr/
Chinelle a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 16:04

A choisir entre sécurité ou flemmardise, je choisi la sécurité. Vous l'avez évoqué vous-même, il existe des dizaines d'applications qui se proposent de stocker de manière plus ou moins sécurisée les mots de passes enregistrés par le navigateur, c'est un exemple parmi d'autre.

Je n'invente rien : c'est un fait, il est dépassé, déconseillé, inconscient d'envoyer en 2015 un mot de passe, en clair, par email. Partant de ce constat, soit on évolue avec les précautions que nos systèmes actuels exigent, soit on conserve un fonctionnement qui, en l'état actuel est issu de 2005...
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Chinelle le Lun 20 Avr 2015 - 16:15

Et sans vouloir blâmer qui que ce soit, j'estime qu'en matière de sécurité, il me parait finalement peu crédible de laisser le choix à des membres dont les connaissances en matière de sécurité et de web sont plutôt limitées. Je pense que quand bien même le vote tournerait négativement (très probable j'imagine), il serait intéressant que les administrateurs de forumactif remettent en question le système actuel. Nous ne parlons finalement pas ici d'ergonomie, d'accessibilité, ou que sais-je qui relèvent de l'expérience utilisateur, mais bien d'un problème de sécurité qui concerne avant tout un expert.
avatar

Chinelle
**

Féminin
Messages : 64
Inscrit(e) le : 08/12/2009

http://kingdom-hearts2.kanak.fr/
Chinelle a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par demeter1 le Lun 20 Avr 2015 - 16:25

Threax a écrit:A choisir entre sécurité ou flemmardise, je choisi la sécurité. Vous l'avez évoqué vous-même, il existe des dizaines d'applications qui se proposent de stocker de manière plus ou moins sécurisée les mots de passes enregistrés par le navigateur, c'est un exemple parmi d'autre.

Je n'invente rien : c'est un fait, il est dépassé, déconseillé, inconscient d'envoyer en 2015 un mot de passe, en clair, par email. Partant de ce constat, soit on évolue avec les précautions que nos systèmes actuels exigent, soit on conserve un fonctionnement qui, en l'état actuel est issu de 2005...

Et en cas de perte des identifiants ; par exemple en vidant intégralité des caches du navigateur. Le membre fait comment s'il ne peut recevoir ses identifiants en clair par le biais d'un mail ?
avatar

demeter1
Membre actif

Masculin
Messages : 8411
Inscrit(e) le : 23/01/2009

http://altitudetropicale.forums-actifs.com/index.forum
demeter1 a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 16:31

Comme Chinelle l'a très justement dit :

Chinelle a écrit:le changement de mot de passe se fait par un mail envoyé avec un lien qui ramène sur le site où on peut en direct changer de mot de passe

Vous recevez un lien faisant suite à une demande de changement de mot de passe, et sur ce lien vous pourrez modifier le mot de passe. Relisez son message pour comprendre la différence avec la réception directe du mot de passe, si ce n'est pas clair. Wink
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par demeter1 le Lun 20 Avr 2015 - 16:40

Votre message était parfaitement clair Threax (du moins il me semble).

Si l'on utilise comme postulat la demande initiale qui propose à ne pas envoyer le mot de passe en clair pour éviter que les identifiants ne soient subtilisés en cas de hack de la messagerie, je ne vois pas trop ce qui va faire la différence entre cliquer sur un lien et prendre connaissance des nouveaux identifiants si la messagerie a été piratée. L'un comme l'autre, le pirate aura accès au lien ou aux identifiants. Il aura tout loisir de subtiliser le compte de l'utilisateur ou d'en modifier les composants.
avatar

demeter1
Membre actif

Masculin
Messages : 8411
Inscrit(e) le : 23/01/2009

http://altitudetropicale.forums-actifs.com/index.forum
demeter1 a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 16:50

La fin de mon message était justement destinée à éviter cette réponse, et Chinelle a établie la nuance qu'il y avait entre les deux. Je ne ferai que répéter ce qu'elle a déjà dit, d'où mon invitation à relire son message. De plus, encore une fois, vous passez à côté de l'aspect peu sécurisé de l'envoi du mail en clair sur le réseau, qui est indépendant de tout accès à la boite mail, et qui lui est susceptible d'être intercepté.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par demeter1 le Lun 20 Avr 2015 - 17:20

Hormis la nuance de compter sur la sécurisation intégrée par certaines boites de messagerie je ne vois pas ce qui changerait en cas de hack sur des messageries n'ayant pas encore mis en place cette sécurité. S'il y a une autre nuance, il va falloir être un peu plus précis pour éviter une réponse incorrecte de ma part.

A titre perso, changer mon vote ne me pose pas de soucis; encore faut-il que j'appréhende correctement tous les aspects de la demande.

avatar

demeter1
Membre actif

Masculin
Messages : 8411
Inscrit(e) le : 23/01/2009

http://altitudetropicale.forums-actifs.com/index.forum
demeter1 a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 17:28

Et bien par exemple pour une personne qui réutilise son mot de passe sur plusieurs sites - c'est certes déconseillé, mais tout le monde le fait -, la personne mal intentionnée pourra effectivement se connecter au compte, mais n'aura pas lu le mot de passe choisi, et ne pourra pas le tester sur d'autres sites, qu'elle trouverait dans d'autres emails. C'est un exemple parmi d'autres.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par demeter1 le Lun 20 Avr 2015 - 17:45

Effectivement,ceci dit, cela ne l'empêchera d'accéder aux identifiants de sites sensibles en épluchant la messagerie pour trouver les messages étant les plus susceptibles de l'intéresser. Hormis compliquer légèrement le travail de recherche du hackeur, cela n'aura pas d'autre incidence.

En prévision d'une généralisation du système de sécurité évoqué par Chinelle, je vais modifier mon vote en pour . A défaut de sécuriser à 100% les identifiants de connexion, cela aura au moins le mérite de compliquer la tache des hackeurs. Ce temps permettra peu être au détenteur du compte de reprendre la gestion de son compte à temps.
avatar

demeter1
Membre actif

Masculin
Messages : 8411
Inscrit(e) le : 23/01/2009

http://altitudetropicale.forums-actifs.com/index.forum
demeter1 a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par kiwi14637 le Lun 20 Avr 2015 - 18:44

Threax a écrit:
demeter1 a écrit:Si votre proposition vise à conserver les identifiants sur une base de données liée au forum qui permettrait à tout utilisateur de redemander ses identifiants et d'avoir la réponse dans l'immédiat et ce, sans envoi par mp, ma foi pourquoi pas.
Ce serait encore pire. J'imagine (j'espère) que les mots de passe sont stockés de manière illisible (cryptés / hashés) dans les bases de données, donc le stocker pour le rendre à l'utilisateur serait un risque incommensurable. Celui que la BDD soit un jour atteinte, et que l'ensemble des mots de passe soient dérobés.

Non, l'usage normal et idéal serait un mail du type :
Nom d'utilisateur : Marsupilami
Mot de passe : celui choisi à l'inscription

Ça évite d'avoir un mot de passe dans sa boite mail, et ça évite qu'il transite en clair sur le réseau.
Bonjour,

Je me demande si ce n'est pas ce mail que l'on reçoit à la création d'un forum reflexion

Bonne journée !
avatar

kiwi14637
Membre habitué(e)

Masculin
Messages : 1388
Inscrit(e) le : 19/05/2010

kiwi14637 a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Kinotto le Lun 20 Avr 2015 - 20:13

Bonsoir,

Au vu des arguments — chose que j'attendais dans mon premier message — proposés par Threax et Chinelle, je fais de même que demeter1 en modifiant mon vote en pour.

Le problème était pour moi de n'avoir aucune autre alternative, supprimer simplement cette méthode me paraissait néfaste car à moins d'avoir le réflexe peu répandu de noter son mot de passe dès l'inscription, on n'en avait plus aucune trace cette inscription achevée.

Merci d'avoir poussé la réflexion plus loin, je pense d'ailleurs que c'est un sujet qui le mérite par les temps qui courent. Surprised
avatar

Kinotto
Membre actif

Masculin
Messages : 2177
Inscrit(e) le : 12/09/2012

http://test-nightmare.superforum.fr/
Kinotto a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Kallindra le Lun 20 Avr 2015 - 21:21

Honnêtement, si vous vous faites pirater votre messagerie, c'est un peu votre problème et pas celui de FA si j'ose dire.
Je trouve le système actuel très bien.
Nous sommes sur des forums, pas un site bancaire.

Faut arrêter la parano et l'ultra sécurisation débile et inutile.

J'ai déjà changer le mdp d'un membre car il ne pouvait plus se connecter en lui indiquant qu'il devrait le changer tout de suite après. Je n'ai pas vérifié si ledit l'a fait car après c'est son problème, pas le mien.

Partout on explique qu'il faut sécuriser les mdps, en mettre des différents sur chaque chose, si le membre met le même mdp sur tous ses trucs, c'est son problème. La prévention sur les dangers d'internet a largement été fait et est faite constamment.

NB : si le pirate veut vous pirater, il enverra directement un troian sur le PC pour récupérer l'intégralité des mdps. Donc en clair ou pas, du moment que c'est pré-enregistrer c'est mort. Vous voulez pas demander à Mozilla, Chrome et IE de supprimer la save auto des mdp non plus ?
avatar

Kallindra
Membre habitué(e)

Féminin
Messages : 1382
Inscrit(e) le : 04/03/2013

http://forumtestpo.forumactif.com
Kallindra a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 23:12

Je suis content de voir que certains entendent nos arguments !

kiwi14637 a écrit:Je me demande si ce n'est pas ce mail que l'on reçoit à la création d'un forum reflexion
Il me semble que c'est effectivement déjà le comportement adopté pour la création d'un forum.

AdminSL, partout on explique qu'il ne faut pas téléphoner au volant, pourtant force est de constater que la pratique perdure. Partout on explique que l'usage de drogues est néfaste pour la santé (notamment), pourtant cet usage perdure. Partout on explique qu'il faut choisir un mot de passe un peu plus complexe que password ou 123456, pourtant c'est encore deux mot de passe parmi les plus utilisés en 2014.

Oui, la pédagogie joue un rôle, non, elle ne doit pas jouer l'unique rôle. A suivre ce raisonnement, on autoriserait les drogues et le téléphone au volant. Certes les conséquences ne sont pas les mêmes, mais le cheminement est identique.

S'agissant du mot de passe enregistré par le navigateur, appelez-moi parano si vous voulez mais je ne l'ai jamais utilisé. Et si je devais le faire, j'utiliserai des systèmes tels que Dashlane, Lastpass,... qui me semble un peu plus sécurisés.

Quant au trojan, c'est hors-sujet.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Kallindra le Lun 20 Avr 2015 - 23:50

Pourquoi c'est HS ?
Le trojan peut tout autant servir à récupérer tes mdps que ta messagerie.
Je ne fais que pousser ton raisonnement à l’extrême et encore je pourrais aller plus loin.

En tout cas ce que je comprend de ton discours c'est : les gens sont irresponsables donc légiférons dans leurs sens pour les irresponsabiliser (neologisme excusez moi) encore plus au lieu de les tirer vers le haut en essayant de les rendre responsables et autonome.

Désolée le nivellement par le bas, ce n'est pas ma tasse de thé.
avatar

Kallindra
Membre habitué(e)

Féminin
Messages : 1382
Inscrit(e) le : 04/03/2013

http://forumtestpo.forumactif.com
Kallindra a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Lun 20 Avr 2015 - 23:57

C'est HS parce que quand j'évoquais un transit en clair sur le réseau, je ne parlais pas d'une compromission de l'ordinateur de l'utilisateur, je parlais du fait que les emails envoyés par FA (comme par la plupart des sites) ne sont pas envoyés de manière sécurisés, et sont donc lisibles pour les plus déterminés. Certes, on ne parle pas d'un site bancaire, mais la sécurité n'est pas hiérarchisée. Un mot de passe est un mot de passe, d'autant plus quand il est susceptible d'être réutilisé sur d'autres supports.

Après si vous estimez qu'il faut être négligent pour responsabiliser, j'imagine que dans la même veine pour souhaiter la dépénalisation des drogues et l'autorisation de l'usage du téléphone au volant ? Là pour le coup j'assume mon hors-sujet, mais il rejoint mon exemple précédent, et l'esprit de votre propos. Ce n'est pas niveler par le bas que de prendre ses responsabilités d'éditeur de contenus.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Crepuskul le Mar 21 Avr 2015 - 1:15

J'ai l'impression que le problème est plus profond que ça. On ne sait pas si les mots de passe sont stockés en clair du côté de FA. Pour avoir côtoyé quelques ingé sécu, on m'a toujours mis en garde contre les envois de mots de passe par mails parce qu'ils impliquaient la plupart du temps un stockage des mêmes mots de passe en clair. Un système réellement clean à mes yeux serait celui où le mot de passe est chiffré dès son entrée dans les bases de données de sorte que personne, même le staff, ne puisse y avoir accès. Derrière, on peut mettre en place des procédures de récupération pour faciliter la vie des gens mais un mot de passe ne devrait jamais avoir à s'afficher clairement où que ce soit. Les mots de passe ne sont jamais vraiment durables, un bon internaute change son mot de passe régulièrement quand il fait face à une faille (soit dit en passant, pour être safe, c'est une bon idée de créer de petits algorithmes persos qui permettront de générer des mots de passe différents selon les services mais liés à une X logique (mathématique, linguistique, etc) qui, une fois qu'on la connait, permet de retrouver facilement le mot de passe). Ainsi, les mots de passe qui changent souvent sont à préférer à ceux qu'on connait bien tout comme les outils de récupération fiables sont à préférer aux mots de passe envoyés par mail pour être sûr de ne pas l'oublier. J'ai conscience que tous les utilisateurs n'ont pas ces inquiétudes, mais c'est avec ce genre de mesures qu'on peut sensibiliser les gens au problème, qui touche la plupart des gens aujourd'hui.

TL;DR : Pour
avatar

Crepuskul
**

Messages : 99
Inscrit(e) le : 03/07/2009

http://zikael.fra.co
Crepuskul a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Mar 21 Avr 2015 - 10:06

Bonjour,

Je pense plutôt que le mot de passe qui est envoyé par mail est celui tapé dans le formulaire d'inscription par l'utilisateur, et non celui effectivement stocké en bdd. Il est fort peu probable que les MDP soient enregistrés en clair sur un service comme FA, à mon avis. Pour preuve, la demande de récupération de mot de passe perdu ne vous renvoie pas votre mot de passe, mais en génère un nouveau... Mais c'est effectivement une question légitime.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Oïa le Mar 21 Avr 2015 - 10:09

bonjour,

bon j'ai tout lu mais j'ai pas toout compris, je comprends pas votre débat !
on vous demande pour ou contre "ne pas envoyer de mot de passe en clair sur les mails ..."
enfin ça devrait être simple à voter ça non ?

moi je dirait POUR, puisqu'il s'agit de sécurité..
Mais une question vient à moi : on l'envois comment le mot de passe du coup ?
on l'envois pas ?

perso j'ai un carnet je note tout, le mail de ForumActif que je reçois à la création de mon forum je l'ouvre même pas !
mais jle jète !

* a écrit: il me parait finalement peu crédible de laisser le choix à des membres dont les connaissances en matière de sécurité et de web sont plutôt limitées
ne sous éstimez pas les capacités de vos membres, rien ne vous permet d'affirmer ça !
chaque sondages c'est pareil !!

bonne journée
avatar

Oïa
*

Messages : 48
Inscrit(e) le : 27/10/2014

http://forum.forumactif.com/
Oïa a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Michel F Reims. le Mar 21 Avr 2015 - 10:13

Bonjour,

Personnellement ça ne me pose aucun problème de changer mon vote, car d'une part il y a des arguments forts développés par Threax que je considère comme remuant l'ancienne garde, et d'autre part comme disait Brassens " quand on est c.n on est c.n, et il n'y a que les c.ns qui ne changent jamais d'avis; ce qui personnellement me pose problème, c'est ce que m'a dit un ami ingénieur informatique : À savoir que lorsqu'un hacker doué veut prendre le contrôle d'un compte, il y arrive toujours, il n'y a aucun système d'après lui complétement infaillible, alors oui dans le système proposé il semble que ce soit plus difficile, mais est-ce qu'à la fin le résultat ne sera pas le même pour quelqu'un de déterminé qui veut hacker un compte? Si c'est le cas, cette suggestion ne ferait que retarder le contrôle du compte...

avatar

Michel F Reims.
Membre habitué(e)

Masculin
Messages : 1303
Inscrit(e) le : 14/02/2011

http://passion51.forumgratuit.org
Michel F Reims. a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Threax le Mar 21 Avr 2015 - 10:18

Oïa a écrit:Mais une question vient à moi : on l'envois comment le mot de passe du coup ?
on l'envois pas ?
Non effectivement on ne l'envoie pas, à charge pour l'utilisateur de s'en souvenir ou de l'enregistrer (via un module du navigateur, ou un carnet comme vous).

Michel F Reims. a écrit:ce qui personnellement me pose problème, c'est ce que m'a dit un ami ingénieur informatique : À savoir que lorsqu'un hacker doué veut prendre le contrôle d'un compte, il y arrive toujours, il n'y a aucun système d'après lui complétement infaillible, alors oui dans le système proposé il semble que ce soit plus difficile, mais est-ce qu'à la fin le résultat ne sera pas le même pour quelqu'un de déterminé qui veut hacker un compte? Si c'est le cas, cette suggestion ne ferait que retarder le contrôle du compte...
Son affirmation est malheureusement vraie, un hackeur déterminé et doué pourra arriver à ses fins. Il est évident qu'il ne s'agit pas ici de développer une armure infranchissable. La NASA ou la NSA en ont fait les frais, et je pense qu'ils mettent davantage de moyens que Forumactif sur la sécurité Smile Néanmoins ce ne sont pas ce genre de pirate qui vont s'attaquer à des forums. Pour l'avoir connu en tant que membre du staff de ce forum, en général les comptes "détournés" qui nous sont rapportés le sont par des néophytes dans le domaine. Des personnes qui ont eu l'opportunité et qui l'ont saisie. Le but c'est justement de ne plus donner cette opportunité-là, ou en tout cas pas dans les mails.
avatar

Threax
Membre actif

Masculin
Messages : 17276
Inscrit(e) le : 27/08/2005

http://lesforumsde.forumactif.com
Threax a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Michel F Reims. le Mar 21 Avr 2015 - 10:23

Threax a écrit:
Oïa a écrit:Mais une question vient à moi : on l'envois comment le mot de passe du coup ?
on l'envois pas ?
Non effectivement on ne l'envoie pas, à charge pour l'utilisateur de s'en souvenir ou de l'enregistrer (via un module du navigateur, ou un carnet comme vous).

Michel F Reims. a écrit:ce qui personnellement me pose problème, c'est ce que m'a dit un ami ingénieur informatique : À savoir que lorsqu'un hacker doué veut prendre le contrôle d'un compte, il y arrive toujours, il n'y a aucun système d'après lui complétement infaillible, alors oui dans le système proposé il semble que ce soit plus difficile, mais est-ce qu'à la fin le résultat ne sera pas le même pour quelqu'un de déterminé qui veut hacker un compte? Si c'est le cas, cette suggestion ne ferait que retarder le contrôle du compte...
Son affirmation est malheureusement vraie, un hackeur déterminé et doué pourra arriver à ses fins. Il est évident qu'il ne s'agit pas ici de développer une armure infranchissable. La NASA ou la NSA en ont fait les frais, et je pense qu'ils mettent davantage de moyens que Forumactif sur la sécurité Smile Néanmoins ce ne sont pas ce genre de pirate qui vont s'attaquer à des forums. Pour l'avoir connu en tant que membre du staff de ce forum, en général les comptes "détournés" qui nous sont rapportés le sont par des néophytes dans le domaine. Des personnes qui ont eu l'opportunité et qui l'ont saisie. Le but c'est justement de ne plus donner cette opportunité-là, ou en tout cas pas dans les mails.

Ok Threax,

Si ça peut aider à ne pas se faire spolier nos comptes je change mon vote en POUR.
avatar

Michel F Reims.
Membre habitué(e)

Masculin
Messages : 1303
Inscrit(e) le : 14/02/2011

http://passion51.forumgratuit.org
Michel F Reims. a été remercié(e) par l'auteur de ce sujet.

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Crepuskul le Mar 21 Avr 2015 - 13:19

Le meilleur moyen d'éviter les attaques, c'est de garder son système à jour. Un système n'est jamais infaillible, certes, mais ses failles sont corrigées au fil des mises-à-jour (et d'autres sont découvertes petit à petit).

L'envoi de mot de passe perdu serait effectivement également un problème. C'est mieux d'adopter un système de changement de mot de passe une fois avoir authentifié la personne comme réel propriétaire du compte, ainsi nul besoin de garder les mots de passe en clair (mais apparemment, c'est déjà ce que fait FA). Ainsi, les utilisateurs ne sont jamais sans ressources.
avatar

Crepuskul
**

Messages : 99
Inscrit(e) le : 03/07/2009

http://zikael.fra.co
Crepuskul a été remercié(e) par l'auteur de ce sujet.
  • 0

Re: [Administration] Ne pas envoyer de mot de passe en clair dans l'email de bienvenue

Message par Green Apple le Mar 21 Avr 2015 - 14:39

Bonjour,

Ce sujet faisant grand bruit, je viens ajouter mon vote qui est... évidemment POUR !

Je ne développerai pas étant donné que Threax a déjà donné tous les arguments. (I love you)

N'oubliez pas que pratique ne rime pas avec sécurité ! What a Face

À bon entendeur,
Green Apple. Wink
avatar

Green Apple
**

Masculin
Messages : 57
Inscrit(e) le : 06/11/2012

http://www.forumsdeforumactif.com
Green Apple a été remercié(e) par l'auteur de ce sujet.

Page 2 sur 2 Précédent  1, 2

Voir le sujet précédent Voir le sujet suivant Revenir en haut


Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum