Des sites et des mots de passe

Disponible sur l'AppStore

Des sites et des mots de passe

Page 2 sur les 2 pages de cette note  < 1 2

Ce dernier point est tout sauf anodin. Je fuis comme la peste les sites qui sont capables de retourner mon mot de passe : c'est la violation du B.A.BA de la sécurité. Imaginons que leur serveur soit piraté, tous les mots de passe deviennent immédiatement accessibles... vous exposant comme je l'indiquais ci-dessus. Et ce n'est pas un risque théorique, puisque ce site ne respecte pas les principes de base de la sécurité, le risque d'un piratage est plus élevé que la moyenne.

Oui ce n'est pas facile de protéger les mots de passe de ses membres. Oui il est tentant pour un webmestre de passer outre ce principe... mais c'est un risque tellement énorme que le faire est un vrai manque de professionnalisme. Nombre d'affaires de piratage que vous lisez dans la presse sont dues à des webmestres qui violent ainsi, consciemment ou non, les règles les plus élémentaires de la sécurité.

Hors ligne, ce serait le genre de personne qui ouvre votre portefeuille (pas le sien) et en distribue le contenu à tous ses amis. A vous de décider si vous voulez faire affaire avec une telle personne.

Si vous êtes néanmoins obligé de fréquenter un tel site (pour le boulot, par exemple), et bien choisissez un mot de passe (très) différent de tous les autres et surtout ne leur communiquez aucune information importante, comme votre numéro de carte bleue.

Bref, pour votre sécurité et la sécurité de tous, il est bon de rappeler ces quelques principes :

  1. votre mot de passe est secret
  2. il est inutile de communiquer votre mot de passe quand vous discutez avec le webmestre d'un site (Déclencheur ou autre)
  3. fuyez les webmestres (ou autre) qui vous demandent votre mot de passe. Il n'y a en effet que deux solutions : soit ce sont des escrocs qui cherchent à abuser de votre crédulité, soit ils prennent la sécurité par-dessus la jambe et donc ne méritent pas votre confiance
  4. fuyez les sites qui ne protègent pas votre mot de passe, un indice (à nuancer, voir le commentaire de Gaëtan sur la question secrète) peut être que le site peut vous communiquer votre ancien mot de passe... ce qui implique qu'ils le stockent sans encodage
  5. si vous achetez, faites développer ou gérez un site, vérifiez qu'il respecte ce dogme élémentaire de sécurité. Sinon il est temps d'avoir une conversation sérieuse avec votre équipe technique... votre responsabilité est engagée.

Page 2 sur les 2 pages de cette note  < 1 2

Par Benoît Marchal, le Mardi 31 Août 2010
Dans : Déclencheur | Site et webmestre

Votre actualité sur Déclencheur

Déclencheur partenaire de “La Photographie”
Déclencheur est maintenant partenaire de "La Photographie" sur Facebook. Le lieu de partage de photo convivial sur Facebook.

Nouvelle boutique plus conviviale
Achetez une émission, pendant un mois, elle sera déduite si vous passez à une adhésion trimestrielle ou annuelle. Essayez Déclencheur Gold !

Déclencheur Gold à moins de 5 euros/mois
Plus de trois fois plus de temps d'antenne, uniquement pour les membres Déclencheur Gold. Pourquoi s'en priver ?

Un jour, ma femme a fait un retour d'un produit défectueux dans un point retrait d'un site de vente en ligne. Sauf que pour faire le retour il faut d'abord remplir un formulaire en ligne.
Le vendeur propose alors gentiment à ma femme de remplir ce formulaire sur un de leurs ordinateurs. Sauf que ma femme ne connait pas mon mot de passe. Le vendeur lui a simplement donné. Quand elle m'a raconté ça j'était vraiment en colère. Pour moi ça s'apparente à une trahison du consommateur.
Depuis le site a modifié la sécurité vu qu'il a demandé à ses clients un nouveau mot de passe.
Par Romain le Mardi 31 Août 2010 at 03:53 APRES MIDI
En sécurité, la faille est toujours humaine (négligence personnelle ou négligence dans le code).

Par contre, pour le principe "D", je serais plus nuancé. On peut très bien utiliser la méthode Vernam pour renvoyer un mot de passe à un utilisateur. On n'est alors pas face à une méthode d'encodage, mais face à une méthode de cryptage.

- http://www.siteduzero.com/tutoriel-3-158277-renvoyer-un-mot-de-passe-par-e-mail-la-methode-vernam.html
- http://fr.wikipedia.org/wiki/Masque_jetable

Certes, la méthode comporte quelques faiblesses mais les hash MD5 peuvent l'être tout autant avec les rainbow tables. wink

Bref, Méfiance est mère de surêté.
Par Gaetan le Mardi 31 Août 2010 at 05:39 APRES MIDI
Moi ça ne me rassure pas qu'il soit possible de récupérer le mot de passe. De même je n'aime pas quand un site envoi en clair le mot de passe par mail à la création (même si par la suite il est encodé dans la base de données).
Par Romain le Mardi 31 Août 2010 at 05:57 APRES MIDI
@Gaëtan merci de cette information, je n'était pas familier de la technique de Vernam
Comme tu le dis, la négligence est humaine et souvent là où on ne l'attends pas. J'ai bossé dans une boîte avec un gros investissement en sécurité MAIS pour former les utilisateurs ils utilisaient des comptes avec un cycle de mots de passe (toujours les mêmes, plus facile à gérer pour l'équipe de formation) et la formation était mal écrite aussi les utilisateurs apprenaient le cycle, souvent sans comprendre qu'ils devaient utiliser *d'autres mots* pour leur compte.
Donc, malgré toute la sécurité, tu te connectais sur les 3/4 des comptes en utilisant les 3 mots repris dans le syllabus… Oups.
@Romain certainement quand le vendeur peut le fournir sans info, c'est qu'on prends la sécurité par dessus la jambe
Par Benoît Marchal le Mardi 31 Août 2010 at 06:38 APRES MIDI

Nom :

Courriel:

Ville:

Site web:

M'avertir par courriel d'autres commentaires

Anti-spam, saisissez le texte ci-dessous (astuce : pour l'éviter à l'avenir enregistrez-vous) :

Note précédante : Les médias sociaux et le droit d’auteur
Note suivante : Le freemium appliqué aux livres
<< La home de Déclencheur

Contacts

Les rubriques

Dernières notes Carnet