Transmission mot de passe par courriel !

WRInaute discret
Bonjour,

Je suis septique, la plupart des annuaires demandent une confirmation de l'inscription par courriel et, ensuite, envoi un courriel de confirmation de l'inscription avec le mot de passe écrit distinctement.

N'y-a-t-il pas un risque que ces courriels soient interceptés et qu'ainsi un tiers connaisse votre mot de passe ?

Question que je me pose bien souvent, étant un fana de la sécurité.

Qu'en pensez-vous ?

Merci à tous pour vos réponses.

Cordialement

Pierre
 
WRInaute accro
Le risque d'interception des courriels est faible, voir nul à l'instant où tu reçois le courriel (en gros le même que lorsque tu saisis ton mot de passe dans un navigateur)

En revanche, il ne faut pas garder ces messages

Et surtout il ne faut pas utiliser de mot de passe sensible pour ces annuaires. Car tu ne sais pas si le proprio de l'annuaire n'a pas accès en clair à ton mot de passe... le vrai risque est plutôt là
 
WRInaute accro
déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...
 
WRInaute discret
e-kiwi a dit:
déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...
Pas sûr. Je peux bien envoyer son mot de passe par mail à un utilisateur au moment de son inscription puis le sauvegarder crypté dans ma base!!

Par contre, si le mail est envoyé après la validation du lien et non directement après l'inscription, là c'est sûr que le mot de passe a été sauvegardé en clair au moins entre le moment de l'inscription et la validation du lien. Et pour ce genre de sites, je dis court forrest court...
 
WRInaute passionné
c'est pas pire que de marquer ses mots de passe sur un post it collé sur l'écran comme j'en ai vu beaucoup en entreprise.
 
WRInaute accro
e-kiwi a dit:
déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...
+1

le mot de passé doit être hashé à la création, et seule le résultat doit être stocké. Si bien qu'il n'est pas possible de restituer le mot d epasse mais seulement d'en recréer un (envoi d'un mail avec un lien temporaire de connexion)
 
WRInaute passionné
La gestion des mots de passe est un vrai casse tête. Le juste équilibre en sécurité et facilité d'utilisation n'est pas évidente a trouver. Pour les failles éventuelles il y a aussi les cookie d'autologon qui contiennent souvent tout ce qu'il faut pour se connecter pour celui qui arrive à le récupérer.
 
WRInaute accro
e-kiwi a dit:
déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress
 
WRInaute accro
pinrolland a dit:
Par principe, un mot de passe ça se change régulièrement.
C'est pas LA solution, mais ça aide...
Dans le cas dont on parle, ça veut dire se reconnecter régulièrement sur des dizaines, voir des centaines de sites, juste pour changer son mot de passe
 
WRInaute passionné
A priori tu ne met rien de super confidentiel dans un annuaire, vu qu'une bonne partie (voir tous) ce que tu écris va être publié (à part ton mail). Et comme de toute façon tu as peu de chance de revenir dans l'annuaire, tu peux toujours mettre des mots de passe bidon (voir même un email temporaire comme certains le font).

C'est quand même plus inquiétant quand c'est une banque qui est capable de renvoyer le mot de passe par mail.
 
WRInaute accro
Marie-Aude a dit:
e-kiwi a dit:
déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress

ce n'est pas ce qui est décris dans ce post. il envoi le mail de confirmation d'inscription, et ensuite il renvoi le mot de passe. il a donc été stocké dans la base
 
Discussions similaires
Haut