Des sites et des mots de passe

Disponible sur l'AppStore

Des sites et des mots de passe

Page 1 sur les 2 pages de cette note  1 2 > 

Votre mot de passe est secret, point ! C'est un dogme simple mais il est étonnant de voir combien il est peu respecté.

Or la mauvaise réputation du commerce électronique est largement, très largement, due au non-respect de ce dogme simple. Certes il y a des fraudes plus sophistiquées, certes il y a de faux sites marchands mais la plupart des fraudes sont possibles parce qu'un acheteur n'a pas respecté le dogme du secret.

Ainsi je reçois régulièrement des messages d'auditeurs qui me demandent de vérifier un élément sur leur compte et me donnent leur mot de passe ! C'est inutile, c'est dangereux et c'est nuisible. C'est inutile parce que le logiciel d'administration d'Expression Engine me permet de gérer complètement le site et de résoudre les problèmes sans avoir besoin de votre mot de passe. Je n'aurais d'ailleurs pas retenu un produit qui fonctionne différemment.

C'est dangereux parce qu'il y a beaucoup de chances que vous ayez utilisé ce même mot de passe (ou un dérivé proche) sur d'autres sites. Vous me donnez donc une information qui ouvre la porte de tous ces sites. Vous avez peut-être confiance (merci) mais comme l'information transite par diverses infrastructures, vous exposez également votre mot de passe à mon hébergeur et à son personnel. Enfin c'est nuisible parce que, en cas de fraude sur votre compte, vous jetez la suspicion sur moi et mon hébergeur... puisque nous sommes maintenant censés connaître votre mot de passe.

Mais peut-être pensez-vous que je le connais déjà ? Non, les mots de passe sont encodés dans la base de données, personne, ni moi, ni mon hébergeur, ni les développeurs du logiciel ne pouvons les lire ou les relire. C'est un secret, rappelez-vous et nous le traitons comme tel. C'est aussi pourquoi il n'est pas possible de vous communiquer votre mot de passe si vous l'avez oublié. Dans ce cas, il vous faut en créer un nouveau avec une vérification automatique de votre identité par email. A aucun moment votre ancien mot de passe n'est divulgué puisqu'il est encodé dans la base de données.

Page 1 sur les 2 pages de cette note  1 2 > 

Par Benoît Marchal, le Mardi 31 Août 2010
Dans : Déclencheur | Site et webmestre

Votre actualité sur Déclencheur

Déclencheur partenaire de “La Photographie”
Déclencheur est maintenant partenaire de "La Photographie" sur Facebook. Le lieu de partage de photo convivial sur Facebook.

Nouvelle boutique plus conviviale
Achetez une émission, pendant un mois, elle sera déduite si vous passez à une adhésion trimestrielle ou annuelle. Essayez Déclencheur Gold !

Déclencheur Gold à partir de 3,75 euros/mois
Plus de trois fois plus de temps d'antenne, uniquement pour les membres Déclencheur Gold. Pourquoi s'en priver ?

Un jour, ma femme a fait un retour d'un produit défectueux dans un point retrait d'un site de vente en ligne. Sauf que pour faire le retour il faut d'abord remplir un formulaire en ligne.
Le vendeur propose alors gentiment à ma femme de remplir ce formulaire sur un de leurs ordinateurs. Sauf que ma femme ne connait pas mon mot de passe. Le vendeur lui a simplement donné. Quand elle m'a raconté ça j'était vraiment en colère. Pour moi ça s'apparente à une trahison du consommateur.
Depuis le site a modifié la sécurité vu qu'il a demandé à ses clients un nouveau mot de passe.
Par Romain le Mardi 31 Août 2010 at 03:53 APRES MIDI
En sécurité, la faille est toujours humaine (négligence personnelle ou négligence dans le code).

Par contre, pour le principe "D", je serais plus nuancé. On peut très bien utiliser la méthode Vernam pour renvoyer un mot de passe à un utilisateur. On n'est alors pas face à une méthode d'encodage, mais face à une méthode de cryptage.

- http://www.siteduzero.com/tutoriel-3-158277-renvoyer-un-mot-de-passe-par-e-mail-la-methode-vernam.html
- http://fr.wikipedia.org/wiki/Masque_jetable

Certes, la méthode comporte quelques faiblesses mais les hash MD5 peuvent l'être tout autant avec les rainbow tables. wink

Bref, Méfiance est mère de surêté.
Par Gaetan le Mardi 31 Août 2010 at 05:39 APRES MIDI
Moi ça ne me rassure pas qu'il soit possible de récupérer le mot de passe. De même je n'aime pas quand un site envoi en clair le mot de passe par mail à la création (même si par la suite il est encodé dans la base de données).
Par Romain le Mardi 31 Août 2010 at 05:57 APRES MIDI
@Gaëtan merci de cette information, je n'était pas familier de la technique de Vernam
Comme tu le dis, la négligence est humaine et souvent là où on ne l'attends pas. J'ai bossé dans une boîte avec un gros investissement en sécurité MAIS pour former les utilisateurs ils utilisaient des comptes avec un cycle de mots de passe (toujours les mêmes, plus facile à gérer pour l'équipe de formation) et la formation était mal écrite aussi les utilisateurs apprenaient le cycle, souvent sans comprendre qu'ils devaient utiliser *d'autres mots* pour leur compte.
Donc, malgré toute la sécurité, tu te connectais sur les 3/4 des comptes en utilisant les 3 mots repris dans le syllabus… Oups.
@Romain certainement quand le vendeur peut le fournir sans info, c'est qu'on prends la sécurité par dessus la jambe
Par Benoît Marchal le Mardi 31 Août 2010 at 06:38 APRES MIDI

Nom :

Courriel:

Ville:

Site web:

M'avertir par courriel d'autres commentaires

Anti-spam, saisissez le texte ci-dessous (astuce : pour l'éviter à l'avenir enregistrez-vous) :

Note précédante : Les médias sociaux et le droit d’auteur
Note suivante : Le freemium appliqué aux livres
<< La home de Déclencheur

Contacts

Les rubriques

Dernières notes Carnet