Transmission mot de passe par courriel !

**le Mer Sep 21, 2011 3:06**

Bonjour,

Je suis septique, la plupart des annuaires demandent une confirmation de l'inscription par courriel et, ensuite, envoi un courriel de confirmation de l'inscription avec le mot de passe écrit distinctement.

N'y-a-t-il pas un risque que ces courriels soient interceptés et qu'ainsi un tiers connaisse votre mot de passe ?

Question que je me pose bien souvent, étant un fana de la sécurité.

Qu'en pensez-vous ?

Merci à tous pour vos réponses.

Cordialement

Pierre

**le Mer Sep 21, 2011 3:42**

Le risque d'interception des courriels est faible, voir nul à l'instant où tu reçois le courriel (en gros le même que lorsque tu saisis ton mot de passe dans un navigateur)

En revanche, il ne faut pas garder ces messages

Et surtout il ne faut pas utiliser de mot de passe sensible pour ces annuaires. Car tu ne sais pas si le proprio de l'annuaire n'a pas accès en clair à ton mot de passe... le vrai risque est plutôt là

**le Mer Sep 21, 2011 7:05**

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

**le Mer Sep 21, 2011 8:54**

e-kiwi a écrit:déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas sûr. Je peux bien envoyer son mot de passe par mail à un utilisateur au moment de son inscription puis le sauvegarder crypté dans ma base!!

Par contre, si le mail est envoyé après la validation du lien et non directement après l'inscription, là c'est sûr que le mot de passe a été sauvegardé en clair au moins entre le moment de l'inscription et la validation du lien. Et pour ce genre de sites, je dis court forrest court...

**le Mer Sep 21, 2011 8:55**

c'est pas pire que de marquer ses mots de passe sur un post it collé sur l'écran comme j'en ai vu beaucoup en entreprise.

**le Mer Sep 21, 2011 10:14**

e-kiwi a écrit:déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

+1

le mot de passé doit être hashé à la création, et seule le résultat doit être stocké. Si bien qu'il n'est pas possible de restituer le mot d epasse mais seulement d'en recréer un (envoi d'un mail avec un lien temporaire de connexion)

**le Mer Sep 21, 2011 10:28**

La gestion des mots de passe est un vrai casse tête. Le juste équilibre en sécurité et facilité d'utilisation n'est pas évidente a trouver. Pour les failles éventuelles il y a aussi les cookie d'autologon qui contiennent souvent tout ce qu'il faut pour se connecter pour celui qui arrive à le récupérer.

**le Mer Sep 21, 2011 11:15**

e-kiwi a écrit:déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress

**le Mer Sep 21, 2011 11:27**

c'est pas pour cela que c'est sécurisé... !

**le Mer Sep 21, 2011 11:38**

Par principe, un mot de passe ça se change régulièrement.
C'est pas LA solution, mais ça aide...

**le Mer Sep 21, 2011 11:42**

pinrolland a écrit:Par principe, un mot de passe ça se change régulièrement.
C'est pas LA solution, mais ça aide...

Dans le cas dont on parle, ça veut dire se reconnecter régulièrement sur des dizaines, voir des centaines de sites, juste pour changer son mot de passe

**le Mer Sep 21, 2011 12:01**

A priori tu ne met rien de super confidentiel dans un annuaire, vu qu'une bonne partie (voir tous) ce que tu écris va être publié (à part ton mail). Et comme de toute façon tu as peu de chance de revenir dans l'annuaire, tu peux toujours mettre des mots de passe bidon (voir même un email temporaire comme certains le font).

C'est quand même plus inquiétant quand c'est une banque qui est capable de renvoyer le mot de passe par mail.

**le Mer Sep 21, 2011 12:17**

Marie-Aude a écrit:
e-kiwi a écrit:déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress

ce n'est pas ce qui est décris dans ce post. il envoi le mail de confirmation d'inscription, et ensuite il renvoi le mot de passe. il a donc été stocké dans la base

**le Mer Sep 21, 2011 12:20**

C'est vrai. Sauf si le mot de passe est généré aléatoirement

Transmission mot de passe par courriel !

Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Re: Transmission mot de passe par courriel !

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne