Transmission mot de passe par courriel !

[Ebookpourtous]

Bonjour,

Je suis septique, la plupart des annuaires demandent une confirmation de l'inscription par courriel et, ensuite, envoi un courriel de confirmation de l'inscription avec le mot de passe écrit distinctement.

N'y-a-t-il pas un risque que ces courriels soient interceptés et qu'ainsi un tiers connaisse votre mot de passe ?

Question que je me pose bien souvent, étant un fana de la sécurité.

Qu'en pensez-vous ?

Merci à tous pour vos réponses.

Cordialement

Pierre

 

[Marie-Aude]

Le risque d'interception des courriels est faible, voir nul à l'instant où tu reçois le courriel (en gros le même que lorsque tu saisis ton mot de passe dans un navigateur)

En revanche, il ne faut pas garder ces messages

Et surtout il ne faut pas utiliser de mot de passe sensible pour ces annuaires. Car tu ne sais pas si le proprio de l'annuaire n'a pas accès en clair à ton mot de passe... le vrai risque est plutôt là

 

[e-kiwi]

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

 

[jamalofski]

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas sûr. Je peux bien envoyer son mot de passe par mail à un utilisateur au moment de son inscription puis le sauvegarder crypté dans ma base!!

Par contre, si le mail est envoyé après la validation du lien et non directement après l'inscription, là c'est sûr que le mot de passe a été sauvegardé en clair au moins entre le moment de l'inscription et la validation du lien. Et pour ce genre de sites, je dis court forrest court...

 

[forty]

c'est pas pire que de marquer ses mots de passe sur un post it collé sur l'écran comme j'en ai vu beaucoup en entreprise.

 

[JanoLapin]

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

+1

le mot de passé doit être hashé à la création, et seule le résultat doit être stocké. Si bien qu'il n'est pas possible de restituer le mot d epasse mais seulement d'en recréer un (envoi d'un mail avec un lien temporaire de connexion)

 

[forty]

La gestion des mots de passe est un vrai casse tête. Le juste équilibre en sécurité et facilité d'utilisation n'est pas évidente a trouver. Pour les failles éventuelles il y a aussi les cookie d'autologon qui contiennent souvent tout ce qu'il faut pour se connecter pour celui qui arrive à le récupérer.

 

[Marie-Aude]

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress

 

[JanoLapin]

c'est pas pour cela que c'est sécurisé... !

 

[pinrolland]

Par principe, un mot de passe ça se change régulièrement.
C'est pas LA solution, mais ça aide...

 

[Marie-Aude]

Par principe, un mot de passe ça se change régulièrement.
C'est pas LA solution, mais ça aide...

Dans le cas dont on parle, ça veut dire se reconnecter régulièrement sur des dizaines, voir des centaines de sites, juste pour changer son mot de passe

 

[arnaudmn]

A priori tu ne met rien de super confidentiel dans un annuaire, vu qu'une bonne partie (voir tous) ce que tu écris va être publié (à part ton mail). Et comme de toute façon tu as peu de chance de revenir dans l'annuaire, tu peux toujours mettre des mots de passe bidon (voir même un email temporaire comme certains le font).

C'est quand même plus inquiétant quand c'est une banque qui est capable de renvoyer le mot de passe par mail.

 

[e-kiwi]

déjà, qu'un site / annuaire puisse te renvoyer ton mot de passe est de trou de sécurité de sa part, cela signifie qu'il ne sont pas encodés dans sa base, donc en cas d'attaque, il peut tout se faire voler. partant de là ...

Pas obligatoirement, il suffit de le mot de passe soit passé en variable à la fonction qui envoie le mail avant le stockage crypté dans la base. Ce que fait par exemple WordPress

ce n'est pas ce qui est décris dans ce post. il envoi le mail de confirmation d'inscription, et ensuite il renvoi le mot de passe. il a donc été stocké dans la base

 

[Marie-Aude]

C'est vrai. Sauf si le mot de passe est généré aléatoirement