mot de passe à découvert

Le
marioski
bonjour,

question simple:
je voudrais savoir si un administrateur de site web(service messagerie,..) =
peut connaître le mot de passe d'un client?

merci d'avance
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas George
Le #25588642
marioski , dans le message
je voudrais savoir si un administrateur de site web(service messagerie,..)
peut connaître le mot de passe d'un client?



En général oui.
patpro ~ patrick proniewski
Le #25588692
In article Nicolas George
marioski , dans le message
> je voudrais savoir si un administrateur de site web(service messagerie,..)
> peut connaître le mot de passe d'un client?

En général oui.



Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Nicolas George
Le #25588712
patpro ~ patrick proniewski , dans le message
écrit :
Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.



Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.

(Majorité en nombre ; probablement moins en visibilité, car un site très
visible a plus de moyens et d'incitation pour avoir un technicien vaguement
sérieux.)
Otomatic
Le #25588752
Nicolas George
Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.


Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche
Yliur
Le #25588772
Le 10 Aug 2013 14:22:39 GMT
Nicolas George
patpro ~ patrick proniewski , dans le message
écrit :
> Je nuancerais en disant que l'admin du site est presque toujours en
> capacité technique de connaitre les mots de passe des utilisateurs,
> mais en général rien n'est fait dans ce sens.

Mon pifomètre me dit que la majorité des sites stockent les mots de
passe en clair.

(Majorité en nombre ; probablement moins en visibilité, car un site
très visible a plus de moyens et d'incitation pour avoir un
technicien vaguement sérieux.)



Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.
Yliur
Le #25588762
Le Sat, 10 Aug 2013 17:07:04 +0200
Yliur
Le 10 Aug 2013 14:22:39 GMT
Nicolas George
> patpro ~ patrick proniewski , dans le message
> > a écrit :
> > Je nuancerais en disant que l'admin du site est presque toujours
> > en capacité technique de connaitre les mots de passe des
> > utilisateurs, mais en général rien n'est fait dans ce sens.
>
> Mon pifomètre me dit que la majorité des sites stockent les mots de
> passe en clair.
>
> (Majorité en nombre ; probablement moins en visibilité, car un site
> très visible a plus de moyens et d'incitation pour avoir un
> technicien vaguement sérieux.)

Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.



Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie (ou quelqu'un qui mérite d'être tapé pour donner
de mauvaises habitudes aux utilisateurs).
patpro ~ patrick proniewski
Le #25588782
In article Otomatic
Nicolas George
> Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
> clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.



Mais à n'importe quel moment tu peux altérer la routine de vérification
(login/connexion) des mots de passe des utilisateurs pour écrire dans un
fichier en clair les identifiant et mot de passe de chaque personne qui
s'authentifie.

Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Nicolas George
Le #25588852
Yliur , dans le message
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe.



C'est pour ça que j'ai répondu oui à la première question.
Nicolas George
Le #25588842
Yliur , dans le message
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie



Ce n'est pas tout à fait vrai : il peut arriver, dans le cas de services de
stockage par exemple, que des données sur le serveur soient chiffrées avec
une clef dérivée du mot de passe, et déchiffrées temporairement uniquement
quand nécessaire.

Si c'est le cas, l'administrateur du site est toujours en position
d'intercepter le mot de passe réel au moment où il est utilisé, mais il ne
peut strictement rien faire d'utile par lui-même.

C'est bien entendu un cas très rare.
Otomatic
Le #25588832
patpro ~ patrick proniewski
Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.


J'aurais pu le faire, surtout pour communiquer leur mot de passe à ceux
qui l'ont oublié, plutôt que d'en affecter un nouveau ; mais c'est le
genre de truc qui ne fait pas partie de ma « culture ».
--
N'ayez d'intolérance que vis-à-vis de l'intolérance. Hippolyte Taine
À force d'être tolérant on en arrive à accepter l'intolérance. Dominique Ottello
Publicité
Poster une réponse
Anonyme