mot de passe à découvert

15 réponses
Avatar
marioski
bonjour,

question simple:
je voudrais savoir si un administrateur de site web(service messagerie,..) =
peut conna=EEtre le mot de passe d'un client?

merci d'avance

10 réponses

1 2
Avatar
Nicolas George
marioski , dans le message
, a écrit :
je voudrais savoir si un administrateur de site web(service messagerie,..)
peut connaître le mot de passe d'un client?



En général oui.
Avatar
patpro ~ patrick proniewski
In article <52063bf6$0$2317$,
Nicolas George <nicolas$ wrote:

marioski , dans le message
, a écrit :
> je voudrais savoir si un administrateur de site web(service messagerie,..)
> peut connaître le mot de passe d'un client?

En général oui.



Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Avatar
Nicolas George
patpro ~ patrick proniewski , dans le message
, a
écrit :
Je nuancerais en disant que l'admin du site est presque toujours en
capacité technique de connaitre les mots de passe des utilisateurs, mais
en général rien n'est fait dans ce sens.



Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.

(Majorité en nombre ; probablement moins en visibilité, car un site très
visible a plus de moyens et d'incitation pour avoir un technicien vaguement
sérieux.)
Avatar
Otomatic
Nicolas George <nicolas$ écrivait :

Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
clair.


Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche
Avatar
Yliur
Le 10 Aug 2013 14:22:39 GMT
Nicolas George <nicolas$ a écrit :

patpro ~ patrick proniewski , dans le message
, a
écrit :
> Je nuancerais en disant que l'admin du site est presque toujours en
> capacité technique de connaitre les mots de passe des utilisateurs,
> mais en général rien n'est fait dans ce sens.

Mon pifomètre me dit que la majorité des sites stockent les mots de
passe en clair.

(Majorité en nombre ; probablement moins en visibilité, car un site
très visible a plus de moyens et d'incitation pour avoir un
technicien vaguement sérieux.)



Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.
Avatar
Yliur
Le Sat, 10 Aug 2013 17:07:04 +0200
Yliur a écrit :

Le 10 Aug 2013 14:22:39 GMT
Nicolas George <nicolas$ a écrit :

> patpro ~ patrick proniewski , dans le message
> ,
> a écrit :
> > Je nuancerais en disant que l'admin du site est presque toujours
> > en capacité technique de connaitre les mots de passe des
> > utilisateurs, mais en général rien n'est fait dans ce sens.
>
> Mon pifomètre me dit que la majorité des sites stockent les mots de
> passe en clair.
>
> (Majorité en nombre ; probablement moins en visibilité, car un site
> très visible a plus de moyens et d'incitation pour avoir un
> technicien vaguement sérieux.)

Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe. Même si c'est plus compliqué qu'aller
simplement le lire dans la base de données.



Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie (ou quelqu'un qui mérite d'être tapé pour donner
de mauvaises habitudes aux utilisateurs).
Avatar
patpro ~ patrick proniewski
In article ,
Otomatic wrote:

Nicolas George <nicolas$ écrivait :

> Mon pifomètre me dit que la majorité des sites stockent les mots de passe en
> clair.
Je ne connais que le « hachage » (md5 + salt) des mots de passe des
utilisateurs de mon forum et c'est sous cette forme qu'ils sont stockés.



Mais à n'importe quel moment tu peux altérer la routine de vérification
(login/connexion) des mots de passe des utilisateurs pour écrire dans un
fichier en clair les identifiant et mot de passe de chaque personne qui
s'authentifie.

Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.

patpro

--
photo http://photo.patpro.net/
blog http://www.patpro.net/
Avatar
Nicolas George
Yliur , dans le message , a écrit :
Techniquement si tu contrôles le serveur web (qui déchiffre le SSL) ou
l'appli (qui manipule les données en clair), tu peux toujours
intercepter le mot de passe.



C'est pour ça que j'ai répondu oui à la première question.
Avatar
Nicolas George
Yliur , dans le message , a écrit :
Et tant qu'on y est, rappelons qu'il n'a pas besoin du mot de passe
pour faire quoi que ce soit sur le compte et qu'un message demandant un
mot de passe pour une intervention sur un compte est une
tentative d'escroquerie



Ce n'est pas tout à fait vrai : il peut arriver, dans le cas de services de
stockage par exemple, que des données sur le serveur soient chiffrées avec
une clef dérivée du mot de passe, et déchiffrées temporairement uniquement
quand nécessaire.

Si c'est le cas, l'administrateur du site est toujours en position
d'intercepter le mot de passe réel au moment où il est utilisé, mais il ne
peut strictement rien faire d'utile par lui-même.

C'est bien entendu un cas très rare.
Avatar
Otomatic
patpro ~ patrick proniewski écrivait :

Donc tu es en position technique de connaitre les mots de passe des
utilisateurs, mais tu n'as probablement rien fait dans ce sens.


J'aurais pu le faire, surtout pour communiquer leur mot de passe à ceux
qui l'ont oublié, plutôt que d'en affecter un nouveau ; mais c'est le
genre de truc qui ne fait pas partie de ma « culture ».
--
N'ayez d'intolérance que vis-à-vis de l'intolérance. Hippolyte Taine
À force d'être tolérant on en arrive à accepter l'intolérance. Dominique Ottello
1 2