Pseudos et mdp limites ... votre avis

[raljx]

Bonjour à tous,

Je me pose une question depuis ce matin suite à la découverte de certains des pseudos de mes clients (et des mots de passe aussi).

quelques exemples vite fait:
------------------------

Relation avec la politique :
-taliban21
-benladen44

Relation avec le Sexe :
-petitecochone
-grossesu***euse (bon je censure là)

Cela marche aussi avec les mots de passe choisis par les clients ...

Certaines pages de mon site affichent les pseudos tandis que les mots de passe sont bien entendu strictement personnel.

Alors que faire, bon une petite phrase dans les CGU pour interdire les pseudos mais pour les mots de passe ?

ca craint quelque chose ?

[forummp3]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?!

les pseudos, tu interdit tout simplement ...

A moins que ca soit un forum ou site pour adulte, ou tu peux accepter les pseudo.

Enfin bon, tant que c'est pas diffamatoir,raciste ou illegal, c'est a toi de mettre les limites.

[dorian53]

Question intéressante dont je n'ai la réponse mais je veux suivre ce topic.

[polweb]

Et bien les pseudos tu modère en fonction du site les mots de passes tu laisse.

Mais au fait comment les a tu vu ? Sur quel CMS ?

[raljx]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

A moins que ca soit un forum ou site pour adulte, ou tu peux accepter les pseudo.

Il y a des parties adultes et d'autres, un client peut se ballader à sa convenance dans toutes les parties du site.

Enfin bon, tant que c'est pas diffamatoir,raciste ou illegal, c'est a toi de mettre les limites.

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

[raljx]

Et bien les pseudos tu modère en fonction du site les mots de passes tu laisse.

Mais au fait comment les a tu vu ? Sur quel CMS ?

tu veux venir y faire un tour

[darkjukka]

C'est vachement pro de pouvoir décrypter le pass de ses clients quand même ... lol Ils sont au courant au moins ?

[raljx]

C'est vachement pro de pouvoir décrypter le pass de ses clients quand même ... lol Ils sont au courant au moins ?

oh eh arretez dans 99% des cas c'est les clients eux-mêmes qui me le demande.
Puis apres ? si je dois regarder certaines données j'ouvre ma bdd et je regarde, pas besoin de mot de passe.

[dadovb]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

A voir pour bisounours -> http://www.webrankinfo.com/forums/viewtopic_98902.htm

[raljx]

a part pour 2, 3 cas bien particulier, le reste est purement subjectif. De plus dans une partie adulte un pseudo "petitecochone" aura plus de chance d'etre vu que ""bisounours"

A voir pour bisounours -> http://www.webrankinfo.com/forums/viewtopic_98902.htm

J'avais en effet fait cette comparaison aux vues du post d'hier

[forummp3]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

on s'en fou de l'algo, le fait de pouvoir voir les mdp en clair ce n'est pas tres securisé et pas tres confidentiel non plus, surtout que la plupart des gens utilisent le meme mdp pour tout leur service internet (mail, msn, ftp, etc).

En plus en affichant le mdp en clair, il a circulé en clair sur le réseau pas tres secure non plus.

Puis si un jour on arrive a trouver le mdp de l'admin, facile de recuperer tous les mdp au final...

Aprés chacun libre de prendre des risques, mais mieux vaut generer un nouveau mdp en cas de mot de passe perdu, ca revient au meme, le client peut de nouveau acceder a son compte.

Puis j'ai utilisé le mot crypté, j'aurai plus dire "haché" (non réversible).

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

[Vince100]

oh eh arretez dans 99% des cas c'est les clients eux-mêmes qui me le demande.
Puis apres ? si je dois regarder certaines données j'ouvre ma bdd et je regarde, pas besoin de mot de passe.

Théoriquement tu ne devrais pas voir ou rendre les mots de passe à tes clients, mais simplement les réinitialiser en cas d'oubli.
Principalement parce que connaitre les mots de passe permet des usurpations d'identité sans que le client s'en aperçoive.

Pour répondre à la question initiale: pour les mots de passe vu que tu n'es pas censé les connaitre tu ignores, pour les pseudo tu peux rajouter un avertissement dans les CGU et ensuite juger au cas par cas.

[Vince100]

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

J'irais même plus loin: aucun admin ne doit connaître le mot de passe des gens

[raljx]

les mdp, t'es censé les crypter dans ta bdd ... md5, tu connais?

MD5 n'est pas la methode ultime pour crypter
J'utilise un cryptage maison bijectif ce qui me permet de décrypter si l'envie me dit.

+1, il suffit de faire une recherche sur google pour trouver n'importe quel mdp md5 jusqu'à 4 caractères et pour plus de caractères, quelques connaissances et une vingtaine de minutes suffisent à le décrypter.

on s'en fou de l'algo, le fait de pouvoir voir les mdp en clair ce n'est pas tres securisé et pas tres confidentiel non plus, surtout que la plupart des gens utilisent le meme mdp pour tout leur service internet (mail, msn, ftp, etc).

En plus en affichant le mdp en clair, il a circulé en clair sur le réseau pas tres secure non plus.

Puis si un jour on arrive a trouver le mdp de l'admin, facile de recuperer tous les mdp au final...

Aprés chacun libre de prendre des risques, mais mieux vaut generer un nouveau mdp en cas de mot de passe perdu, ca revient au meme, le client peut de nouveau acceder a son compte.

Puis j'ai utilisé le mot crypté, j'aurai plus dire "haché" (non réversible).

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

On ne voit pas les mots de passe en clair, on peut seulement les décrypter si l'envie ou la demande s'en fait sentir. Et si un jour on trouve le pass de l'admin ca n'avancera pas plus car ils sont cryptés dans la base, ou alors il faut me prendre en otage et me torturer pour que je divulgue ma clé à 64 caractère qui me permets de les décrypter.

[raljx]

Enfin voilà, juste pour dire qu'aucun admin n'a besoin de connaitre le mdp des gens.

J'irais même plus loin: aucun admin ne doit connaître le mot de passe des gens

Quant à cela, on peut en debattre longtemps ^par exemple quand la justice te demande de leur fournir les informations relatives à un compte (mot de passe compris) oui oui j'en ai tous les jours