Mots de passe et prestataires externes

[hp_angel]

Bonjour à tous,

En charge de plusieurs sites internet, je suis en train de mettre en place des procédures de sécurité, notamment concernant la mise à jour et la gestion des mots de passe.
La question que je me pose actuellement est la suivante : comment procéder pour permettre aux prestataires externes d'être au courant des derniers mots de passe modifiés en toute sécurité ? Il est bien entendu évident que je ne peux pas leur envoyer les accès modifiés par mail, alors comment procéder ?

Merci d'avance pour vos réponses

 

[spout]

Mots de passe pour quoi ? FTP ? Login site Web ?

Tous les X tu envois un mail pour demander changement de mot de passe car il va expirer. C'est eux qui changent le mot de passe selon une règle définie, même l'administrateur ne devrait pas connaitre les mots de passe.

 

[hp_angel]

Merci Spout pour ta réponse,

Je parle à la fois des mots de passe FTP ou encore d'accès aux sites de préprod.
Le changement de mot de passe est fait par moi de façon régulière. Nous avons cependant d'autres prestataires (notamment en webdesign) qui accèdent régulièrement aux sites et ont donc besoin de connaître les accès.
Je ne veux pas leur envoyer ce type de données sensibles par mail, existe t'il d'autres procédures ?

 

[alaincassis]

Le fax ?

 

[_Soul]

Un coup de téléphone?

 

[Leonick]

Un coup de téléphone?

avec la téléphonie sur ip, pas plus sur que d'envoyer un mail

 

[Axiso]

Tu peux leur mettre à disposition un outil pour qu'ils modifient leur passe eux-mêmes comme suggéré par Spout.
Ou alors, tu leur envoies un courrier sécurisé (papier + enveloppe + léchouiller le timbre) avec une belle grille de codes aléatoires. Pour chaque renouvellement des passes, tu leur envoies un e-mail indiquant les coordonnées du code sur la grille (A1, D23, T5 ... patrouilleur coulé !).

 

[hp_angel]

La grille de codes aléatoires me semble être une piste sérieuse à creuser, je vais réfléchir consciencieusement à la mise en place de ce genre de solution
Par contre pour la possibilité de modifier par eux-même leurs accès FTP, déjà je ne vois pas comment réaliser ça, et ensuite je ne leur donne pas de droits administrateurs de ce type
Merci à tous pour vos suggestions... désopilantes ou non

 

[spout]

La grille de code aléatoire = token. On utilise ça en Belgique pr accéder au services belgium.be, voilà un exemple:
http://www.belgium.be/security/fr_BE/application_help/application_help_0174.htm

 

[hp_angel]

Merci pour l'exemple Spout !

 

[_Soul]

Un coup de téléphone?

avec la téléphonie sur ip, pas plus sur que d'envoyer un mail

La téléphonie "classique" est aussi sniffable, t'y voie en 2éme année de DUT RT, je dois pas être le seul à savoir y faire ^^

 

[Leonick]

Un coup de téléphone?

avec la téléphonie sur ip, pas plus sur que d'envoyer un mail

La téléphonie "classique" est aussi sniffable, t'y voie en 2éme année de DUT RT, je dois pas être le seul à savoir y faire ^^

oui, mais pour le faire en classique, il faut être sur le trajet (au niveau cable) alors qu'en ip, les flux voyagent de façon bien plus large