Bonjour,
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
Bonjour, Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
chiffrement S/MIME ? Probablement hors de porté de tes users si ils ont besoin qu'on leur envoie un mot de passe par mail...
patpro
-- http://www.patpro.net/
In article <1171694875.572416.140950@l53g2000cwa.googlegroups.com>,
renaudh@hotmail.com wrote:
Bonjour,
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
chiffrement S/MIME ?
Probablement hors de porté de tes users si ils ont besoin qu'on leur
envoie un mot de passe par mail...
Bonjour, Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
chiffrement S/MIME ? Probablement hors de porté de tes users si ils ont besoin qu'on leur envoie un mot de passe par mail...
patpro
-- http://www.patpro.net/
Perlimpinpin
Bonjour, Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Renaud
Mot de passe de quoi ?
-- Perlimpinpin "Le peuple n'a jamais eu autant de pouvoir que sur Internet." [Valentin Lacambre]
Bonjour,
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
Renaud
Mot de passe de quoi ?
--
Perlimpinpin
"Le peuple n'a jamais eu autant de pouvoir que sur Internet."
[Valentin Lacambre]
Bonjour, Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Renaud
Mot de passe de quoi ?
-- Perlimpinpin "Le peuple n'a jamais eu autant de pouvoir que sur Internet." [Valentin Lacambre]
Stephane Catteau
devait dire quelque chose comme ceci :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
renaudh@hotmail.com devait dire quelque chose comme ceci :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par
e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre
d'une authentification cryptée par SSL, il transitera en clair à chaque
fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le
problème à le faire transiter par e-mail. Tout le monde le fait, même
des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que
cela.
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
renaudh
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela. Heu, j espere que tout le monde ne le fait pas :)
Pour l authentification, mon client java crypte le mot de passe. J aimerai donc ne pas casser cette securité au moment de fournir le mot de passe a l utilisateur :(
Patpro: oui, j aie pensé a S/Mime, mais c est trop lourd pour les utilisateurs :(
Pour ceux que ca interesse; je vais peut etre me diriger vers la solution: demande de reset -> envoie d un lien sur l Email du l utilisateur sur le lien (https) , demande la reponse a une phase (donné lors de la création du profil) si reponse OK, affichage d un nouveau mot de passe (https)
Le sule probleme, c est le Phishing qui pourrait "copier" cette méthode et tromper l utilisateur :( Renaud
Il ne sera pas en clair "sur la toile", puisqu'il transitera par
e-mail.
Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Cela dit, si le mot de passe n'est pas utilisé dans le cadre
d'une authentification cryptée par SSL, il transitera en clair à chaque
fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le
problème à le faire transiter par e-mail. Tout le monde le fait, même
des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que
cela.
Heu, j espere que tout le monde ne le fait pas :)
Pour l authentification, mon client java crypte le mot de passe.
J aimerai donc ne pas casser cette securité au moment de fournir le
mot de passe a l utilisateur :(
Patpro: oui, j aie pensé a S/Mime, mais c est trop lourd pour les
utilisateurs :(
Pour ceux que ca interesse; je vais peut etre me diriger vers la
solution:
demande de reset -> envoie d un lien sur l Email du l utilisateur
sur le lien (https) , demande la reponse a une phase (donné lors de la
création du profil)
si reponse OK, affichage d un nouveau mot de passe (https)
Le sule probleme, c est le Phishing qui pourrait "copier" cette
méthode et tromper l utilisateur :(
Renaud
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela. Heu, j espere que tout le monde ne le fait pas :)
Pour l authentification, mon client java crypte le mot de passe. J aimerai donc ne pas casser cette securité au moment de fournir le mot de passe a l utilisateur :(
Patpro: oui, j aie pensé a S/Mime, mais c est trop lourd pour les utilisateurs :(
Pour ceux que ca interesse; je vais peut etre me diriger vers la solution: demande de reset -> envoie d un lien sur l Email du l utilisateur sur le lien (https) , demande la reponse a une phase (donné lors de la création du profil) si reponse OK, affichage d un nouveau mot de passe (https)
Le sule probleme, c est le Phishing qui pourrait "copier" cette méthode et tromper l utilisateur :( Renaud
kurtz_le_pirate
a écrit dans le message de news:
... J aimerai donc ne pas casser cette securité au moment de fournir le mot de passe a l utilisateur :(
et toi tu le connais ce mot de passe ? c'est pas une faille ça ?
-- klp
<renaudh@hotmail.com> a écrit dans le message de news:
1171809151.237325.259550@v33g2000cwv.googlegroups.com...
...
J aimerai donc ne pas casser cette securité au moment de fournir le
mot de passe a l utilisateur :(
et toi tu le connais ce mot de passe ? c'est pas une faille ça ?
... J aimerai donc ne pas casser cette securité au moment de fournir le mot de passe a l utilisateur :(
et toi tu le connais ce mot de passe ? c'est pas une faille ça ?
-- klp
Non justement, car il est généré automatiquement, et l utilisateur doit le changer a son premier login
Stephane Catteau
devait dire quelque chose comme ceci :
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail.
Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Dans le cadre de n'importe quoi il pourrait se faire sniffer. Il pourrait aussi se faire sniffer pendant qu'il s'authenfie avec ton client java, et comme tout ce qui est crypté peut être décrypté, surtout lorsque l'on a le crypteur sous la main et qu'il est, relativement parlant évidement, simple de faire du reverse engineering...
Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
Heu, j espere que tout le monde ne le fait pas :)
La protection est à la mesure du risque. Sauf application hyper sécurisée, l'écrasante majorité des mots de passe transitent en clair par mail.
renaudh@hotmail.com devait dire quelque chose comme ceci :
Il ne sera pas en clair "sur la toile", puisqu'il transitera par
e-mail.
Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Dans le cadre de n'importe quoi il pourrait se faire sniffer. Il
pourrait aussi se faire sniffer pendant qu'il s'authenfie avec ton
client java, et comme tout ce qui est crypté peut être décrypté,
surtout lorsque l'on a le crypteur sous la main et qu'il est,
relativement parlant évidement, simple de faire du reverse
engineering...
Cela dit, si le mot de passe n'est pas utilisé dans le cadre
d'une authentification cryptée par SSL, il transitera en clair à chaque
fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le
problème à le faire transiter par e-mail. Tout le monde le fait, même
des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que
cela.
Heu, j espere que tout le monde ne le fait pas :)
La protection est à la mesure du risque. Sauf application hyper
sécurisée, l'écrasante majorité des mots de passe transitent en clair
par mail.
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail.
Dans le cadre d un client style hotmail, il pourait se faire sniffer.
Dans le cadre de n'importe quoi il pourrait se faire sniffer. Il pourrait aussi se faire sniffer pendant qu'il s'authenfie avec ton client java, et comme tout ce qui est crypté peut être décrypté, surtout lorsque l'on a le crypteur sous la main et qu'il est, relativement parlant évidement, simple de faire du reverse engineering...
Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
Heu, j espere que tout le monde ne le fait pas :)
La protection est à la mesure du risque. Sauf application hyper sécurisée, l'écrasante majorité des mots de passe transitent en clair par mail.
Eric Razny
Le Tue, 20 Feb 2007 06:55:33 +0000, Didier Cuidet a écrit :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Envoyer les mots de passe par la poste.
Quand il n'y a pas de caractère d'urgence c'est effectivement un bon moyen. Non pas que le courrier ne soit pas interceptable, mais il faut intercepter deux médias pour avoir toute l'info. Le mieux est le chiffrage mais bon, ce n'est pas encore dans les moeurs (sans compter la question cruciale de l'identité)
Par contre, et c'est valable pour les autres moyen, il ne faut pas rappeler l'identifiant (login) dans le courrier où on envoit le mot de passe! Ca me parait une évidence mais apparement ce n'est pas le cas pour tous ces sites où le login est l'adresse email du destinataire du mot de passe... envoyé par email.
Une dernière chose : le password envoyé devrait être à usage unique, forcer une mise à jour dudit mot de passe et envoyer automatiquement un email au titulaire du compte indiquant que l'opération à eu lieu. Ce n'est pas une protection absolue[1] mais à mon avis une protection nécessaire.
Eric
[1] entre autre si un "vilain" a la main mise sur l'email et dispose du login et du moyen de se faire envoyer le password par email c'est cuit!
Le Tue, 20 Feb 2007 06:55:33 +0000, Didier Cuidet a écrit :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
Envoyer les mots de passe par la poste.
Quand il n'y a pas de caractère d'urgence c'est effectivement un bon
moyen. Non pas que le courrier ne soit pas interceptable, mais il faut
intercepter deux médias pour avoir toute l'info. Le mieux est le
chiffrage mais bon, ce n'est pas encore dans les moeurs (sans compter la
question cruciale de l'identité)
Par contre, et c'est valable pour les autres moyen, il ne faut pas
rappeler l'identifiant (login) dans le courrier où on envoit le mot de
passe! Ca me parait une évidence mais apparement ce n'est pas le cas pour
tous ces sites où le login est l'adresse email du destinataire du mot de
passe... envoyé par email.
Une dernière chose : le password envoyé devrait être à usage unique,
forcer une mise à jour dudit mot de passe et envoyer automatiquement un
email au titulaire du compte indiquant que l'opération à eu lieu. Ce
n'est pas une protection absolue[1] mais à mon avis une protection
nécessaire.
Eric
[1] entre autre si un "vilain" a la main mise sur l'email et dispose du
login et du moyen de se faire envoyer le password par email c'est cuit!
Le Tue, 20 Feb 2007 06:55:33 +0000, Didier Cuidet a écrit :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Envoyer les mots de passe par la poste.
Quand il n'y a pas de caractère d'urgence c'est effectivement un bon moyen. Non pas que le courrier ne soit pas interceptable, mais il faut intercepter deux médias pour avoir toute l'info. Le mieux est le chiffrage mais bon, ce n'est pas encore dans les moeurs (sans compter la question cruciale de l'identité)
Par contre, et c'est valable pour les autres moyen, il ne faut pas rappeler l'identifiant (login) dans le courrier où on envoit le mot de passe! Ca me parait une évidence mais apparement ce n'est pas le cas pour tous ces sites où le login est l'adresse email du destinataire du mot de passe... envoyé par email.
Une dernière chose : le password envoyé devrait être à usage unique, forcer une mise à jour dudit mot de passe et envoyer automatiquement un email au titulaire du compte indiquant que l'opération à eu lieu. Ce n'est pas une protection absolue[1] mais à mon avis une protection nécessaire.
Eric
[1] entre autre si un "vilain" a la main mise sur l'email et dispose du login et du moyen de se faire envoyer le password par email c'est cuit!
Stephane Catteau
Eric Razny n'était pas loin de dire :
[...] Le mieux est le chiffrage mais bon, ce n'est pas encore dans les moeurs (sans compter la question cruciale de l'identité)
Amha le problème principale du chiffrage à ce niveau là, c'est l'utilisateur. Si l'application, et donc le mot de passe, est destiné à un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui expliquer comment obtenir son mot de passe à partir du mail qu'il aura reçu.
Une dernière chose : le password envoyé devrait être à usage unique, forcer une mise à jour dudit mot de passe et envoyer automatiquement un email au titulaire du compte indiquant que l'opération à eu lieu. Ce n'est pas une protection absolue[1] mais à mon avis une protection nécessaire.
Ca dépend de l'utilisation, et de l'importance que l'on accorde à sa sécurité. S'il faut changer de mot de passe trois fois par jour, ça va vite lasser. Par contre pour une application nécessitant un fort niveau de sécurité, cela présente un double avantage. D'une part tout mot de passe intercepté ne sera valable qu'avant la prochaine connexion du destinataire, et d'autre part tout destinataire qui se serait fait usurper le saura tout de suite, puisqu'il recevra un nouveau mot de passe. Par contre il y a un pré-requis indispensable, il ne doit pas être possible de changer l'adresse e-mail.
Eric Razny n'était pas loin de dire :
[...] Le mieux est le chiffrage mais bon, ce n'est pas encore dans les
moeurs (sans compter la question cruciale de l'identité)
Amha le problème principale du chiffrage à ce niveau là, c'est
l'utilisateur. Si l'application, et donc le mot de passe, est destiné à
un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui
expliquer comment obtenir son mot de passe à partir du mail qu'il aura
reçu.
Une dernière chose : le password envoyé devrait être à usage unique,
forcer une mise à jour dudit mot de passe et envoyer automatiquement un
email au titulaire du compte indiquant que l'opération à eu lieu. Ce
n'est pas une protection absolue[1] mais à mon avis une protection
nécessaire.
Ca dépend de l'utilisation, et de l'importance que l'on accorde à sa
sécurité. S'il faut changer de mot de passe trois fois par jour, ça va
vite lasser.
Par contre pour une application nécessitant un fort niveau de
sécurité, cela présente un double avantage. D'une part tout mot de
passe intercepté ne sera valable qu'avant la prochaine connexion du
destinataire, et d'autre part tout destinataire qui se serait fait
usurper le saura tout de suite, puisqu'il recevra un nouveau mot de
passe. Par contre il y a un pré-requis indispensable, il ne doit pas
être possible de changer l'adresse e-mail.
[...] Le mieux est le chiffrage mais bon, ce n'est pas encore dans les moeurs (sans compter la question cruciale de l'identité)
Amha le problème principale du chiffrage à ce niveau là, c'est l'utilisateur. Si l'application, et donc le mot de passe, est destiné à un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui expliquer comment obtenir son mot de passe à partir du mail qu'il aura reçu.
Une dernière chose : le password envoyé devrait être à usage unique, forcer une mise à jour dudit mot de passe et envoyer automatiquement un email au titulaire du compte indiquant que l'opération à eu lieu. Ce n'est pas une protection absolue[1] mais à mon avis une protection nécessaire.
Ca dépend de l'utilisation, et de l'importance que l'on accorde à sa sécurité. S'il faut changer de mot de passe trois fois par jour, ça va vite lasser. Par contre pour une application nécessitant un fort niveau de sécurité, cela présente un double avantage. D'une part tout mot de passe intercepté ne sera valable qu'avant la prochaine connexion du destinataire, et d'autre part tout destinataire qui se serait fait usurper le saura tout de suite, puisqu'il recevra un nouveau mot de passe. Par contre il y a un pré-requis indispensable, il ne doit pas être possible de changer l'adresse e-mail.
Nina Popravka
On 20 Feb 2007 19:39:22 GMT, Stephane Catteau wrote:
Amha le problème principale du chiffrage à ce niveau là, c'est l'utilisateur. Si l'application, et donc le mot de passe, est destiné à un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui expliquer comment obtenir son mot de passe à partir du mail qu'il aura reçu.
Oui, c'est totalement imbitable. Moi la première qui ne suis pas barbue de base mais ai fini par m'adapter et comprendre comment ça marche, je trouve ça totalement imbitable. Sauf si le certificat qui va bien arrive sur une clé USB via snail mail, par ex. Eternel problème de la beauté théorique de la sécurité et de la vraie vie. -- Nina
On 20 Feb 2007 19:39:22 GMT, Stephane Catteau <steph.nospam@sc4x.net>
wrote:
Amha le problème principale du chiffrage à ce niveau là, c'est
l'utilisateur. Si l'application, et donc le mot de passe, est destiné à
un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui
expliquer comment obtenir son mot de passe à partir du mail qu'il aura
reçu.
Oui, c'est totalement imbitable. Moi la première qui ne suis pas
barbue de base mais ai fini par m'adapter et comprendre comment ça
marche, je trouve ça totalement imbitable.
Sauf si le certificat qui va bien arrive sur une clé USB via snail
mail, par ex.
Eternel problème de la beauté théorique de la sécurité et de la vraie
vie.
--
Nina
On 20 Feb 2007 19:39:22 GMT, Stephane Catteau wrote:
Amha le problème principale du chiffrage à ce niveau là, c'est l'utilisateur. Si l'application, et donc le mot de passe, est destiné à un utilisateur lambda, il faudra un sacré FAQ par derrière pour lui expliquer comment obtenir son mot de passe à partir du mail qu'il aura reçu.
Oui, c'est totalement imbitable. Moi la première qui ne suis pas barbue de base mais ai fini par m'adapter et comprendre comment ça marche, je trouve ça totalement imbitable. Sauf si le certificat qui va bien arrive sur une clé USB via snail mail, par ex. Eternel problème de la beauté théorique de la sécurité et de la vraie vie. -- Nina
