Mot de passe envoyé en clair



  • Je viens de créer un compte chez vous, et j'ai voulu changer de mot de passe pour en mettre un que je suis le seul à connaitre, malheureusement le nouveau aussi est envoyé EN CLAIR par e-mail. Je ne vois rien pour désactiver ce comportement bizarre dans le compte, ni pour permettre de chiffrer les e-mails que vous envoyez contenant des informations personnelles (comme une alternative, si vous tenez à envoyer des e-mails). Ça serait bien d'y remédier, surtout au fait de ne pas envoyer les mots de passe en clair.
    Merci d'avance



  • Pour le mot de passe tu le reçois en clair mais il ne l'est pas sur la BDD :p



  • Faut bien envoyer les mots de passes au gens, surtout quand ils s'inscrivent, changent leur mot de passes, sinon la majorité des gens oublient leur mdp…

    Après l'envoie du mail non chiffré, à la limite, mais je suis pas vraiment convaincu que ça change quelque chose de ton côté (enfin, du côté du client).
    Fin, j'ai pas bien compris ton problème, autre le fait que recevoir ton mdp / info personnelles en clair en mail te pose problème... Suffit de supprimer le mail reçu ? ^^"

    Et +1 nico



  • @Althalus:

    Faut bien envoyer les mots de passes au gens, surtout quand ils s'inscrivent, changent leur mot de passes, sinon la majorité des gens oublient leur mdp…

    Après l'envoie du mail non chiffré, à la limite, mais je suis pas vraiment convaincu que ça change quelque chose de ton côté (enfin, du côté du client).
    Fin, j'ai pas bien compris ton problème, autre le fait que recevoir ton mdp / info personnelles en clair en mail te pose problème... Suffit de supprimer le mail reçu ? ^^"

    C'est beau de voir toute cette culture sécurité même chez des admin… A l'exception éventuelle du mot de passe attribué automatiquement à l'ouverture du compte (quoique perso je suis beaucoup plus favorable à l'option lien de validation), un mot de passe ça se hache genre en blowfish (en tout cas pas en md5) et ça ne s'envoie JAMAIS JAMAIS JAMAIS par quelque moyen que ce soit.



  • nicosteen : c'est toujours ça de gagné…

    Althalus : ce n'est pas parce que la "majorité" des gens n'est pas capable de se rappeler un mot de passe que le service ne doit pas être sécurisé pour le gens normaux. Voir la réponse de pathetic, je ne suis pas seul heureusement.


  • Administrateur

    On envoit les mots de passes en clair une fois au moment de l'inscription ou de l'activation d'un service, le mot de passe est ensuite crypté ou supprimé de nos bases (il n'est jamais stocké en clair, ça reste uniquement en variable php, donc en RAM et est supprimé à la fin de l’exécution du script.
    Le stockage du mot de passe de l'espace client n'est pas en MD5, on a choisit un autre type de chiffrage.

    A mon niveau, je ne peux pas faire mieux, ce process de livraison du mot de passe est le même presque partout, c'est celui que je préfère. Si tu considère que l’envoi de mail n'est pas secure, heu… arrête d'aller sur internet ? :)

    Il y a un niveau de risque qu'il faut savoir accepter, c'est indispensable. Le mode parano c'est cool, mais il y a des limites.



  • @caaptusss:

    On envoit les mots de passes en clair une fois au moment de l'inscription ou de l'activation d'un service, le mot de passe est ensuite crypté ou supprimé de nos bases (il n'est jamais stocké en clair, ça reste uniquement en variable php, donc en RAM et est supprimé à la fin de l’exécution du script.
    Le stockage du mot de passe de l'espace client n'est pas en MD5, on a choisit un autre type de chiffrage.

    Je comprends bien ce fonctionnement, envoyer une fois le pass lors de l'activation n'est pas si grave parce qu'on peut le changer après. Ce qui me gène vraiment, c'est que si on le change, il est AUSSI envoyé en clair par e-mail, donc autant ne pas le changer… Vous ne pouvez pas ajouter une option dans le compte client pour ne plus envoyer de genre d'e-mail ? Merci



  • Euh tu t'es pas dis que c’était aussi pour protéger le client d'une modification de pass non voulu ?



  • @nicosteen:

    Euh tu t'es pas dis que c’était aussi pour protéger le client d'une modification de pass non voulu ?

    A ce moment là, autant envoyer un e-mail avec un lien de validation…



  • @nicosteen:

    Euh tu t'es pas dis que c’était aussi pour protéger le client d'une modification de pass non voulu ?

    On reçoit déjà un e-mail pour dire que quelqu'un s'est connecté au compte. Si on ne recevait pas le mot de passe par e-mail par ailleurs, il y aurait moins de risque de modification non voulue… Et comme dit pathetic, il y a des choses plus intelligentes à faire dans ce cas.
    Visiblement il y a plein de gens qui trouvent ça normal, donc garder ce comportement mais ajouter une option pour le désactiver serait pas mal.



  • @patheticcockroach:

    un mot de passe ça se hache genre en blowfish (en tout cas pas en md5)

    Pourquoi pas en md5? J'aimerai juste comprendre pour le coup. J'utilise le md5, mais pas en une seule itération (concaténation et plusieurs itération de hashage)

    En ce qui concerne le reste, j'ai envie de dire

    Si tu considère que l’envoi de mail n'est pas secure, heu… arrête d'aller sur internet ?

    :P

    Je ne vois pas vraiment comment on pourrait sécuriser encore plus cette "affaire"



  • @Althalus:

    Je ne vois pas vraiment comment on pourrait sécuriser encore plus cette "affaire"

    Ne pas envoyer un pass en clair c'est pas évident que ça serait plus sécurisé que de l'envoyer ?



  • @Althalus:

    @patheticcockroach:

    un mot de passe ça se hache genre en blowfish (en tout cas pas en md5)

    Pourquoi pas en md5? J'aimerai juste comprendre pour le coup. J'utilise le md5, mais pas en une seule itération (concaténation et plusieurs itération de hashage)

    Ouais bon, je voulais dire pas en md5 "tout court".

    @laiben:

    Ne pas envoyer un pass en clair c'est pas évident que ça serait plus sécurisé que de l'envoyer ?

    Captain Obvious to the rescue :wink:



  • @laiben:

    Ne pas envoyer un pass en clair c'est pas évident que ça serait plus sécurisé que de l'envoyer ?

    Certes, mais bon, pour ma part je ne vois toujours pas ce qui est pas sécurisé dans l'envoi de mail : l'envoi en lui même ? Ou le fait qu'il arrive sur ta boite mail avec des infos "en clair" ?
    Car en théorie ta boite mail, tu es le seul qui y accède (et qui plus est, avec une connexion SSL). Au niveau de l'envoi en lui même, vu que c'est envoyé du côté de FH, je vois difficilement ce qui poserai problème ici, mis à part un mec qui lit les paquets échangés entre le serveur de mail et le net… mais à ce compte là, je trouve que c'est un peu exagéré..
    Je précise que ce "domaine de sécurité" m'est relativement inconnu, d'où le fait que j'essaie de comprendre (ça servira toujours^^).

    @patheticcockroach : ok, c'est ce que j'me disais aussi :)



  • @Althalus:

    Certes, mais bon, pour ma part je ne vois toujours pas ce qui est pas sécurisé dans l'envoi de mail : l'envoi en lui même ? Ou le fait qu'il arrive sur ta boite mail avec des infos "en clair" ?

    Les deux, mais surtout le 2e. Par exemple certains membres du personnel pourraient lire les e-mails (chez Yahoo Mail c'est même écrit noir sur blanc: si tu contactes le support, ils peuvent être amené à consulter tes e-mails si besoin).
    Cf aussi donttrack.us:

    Your saved searches can be legally requested, and then come back to bite you (happens). Or a bad Google employee could go snooping (happens). Or Google could get hacked (happens).

    Of course ils parlent de Google search, mais c'est tout aussi vrai de gmail, et de sans doute la plupart des webmails en général.
    Sans parler pour finir du cas où tu te fais pirater ton compte e-mail. ;)



  • Le seul moyen de crypté un email est le SSL ou utiliser un VPN.



  • @Hybrid56:

    Le seul moyen de crypté un email est le SSL ou utiliser un VPN.

    Un peu de lecture :mrgreen: http://notepad.patheticcockroach.com/22 … n-windows/



  • @Hybrid56:

    Le seul moyen de crypté un email est le SSL ou utiliser un VPN.

    vpn tu va crypté la liaison, pas le contenue du mail, ssl.. eu cad ?? !!

    opengpg tu va crypté le contenue du mail.



  • @Gilum:

    ssl.. eu cad ?? !!

    httpS://gmail.com, je parie :roll:



  • Les données qui passent dans un VPN sont cryptées.
    Pour le SSL, je parlais d'openVPN pour son serveur mail. opengpg je ne connaissais pas.



  • @Hybrid56:

    Les données qui passent dans un VPN sont cryptées.
    Pour le SSL, je parlais d'openVPN pour son serveur mail. opengpg je ne connaissais pas.

    Si tu veut sécurisé la connexion entre ton pc et ton serveur mail il y a plus simple : pop3S et imapS, voir un webmail en https, les 3 utilises ssl/tls

    opengpg est pas mal utilisé par les barbue et parton parano, il y a des plugin pour la pas mal de client mail (outlook et thunderbird par exemple)


Se connecter pour répondre
 

Il semble que votre connexion ait été perdue, veuillez patienter pendant que nous vous re-connectons.