Bonjour,
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair
Faire passer des mots de passe sans cryptage représente effectivement un petit trou de sécurité. Mais il est AMHA négligeable par rapport au trou de sécurité que constitue le fait de confier un mot de passe à un utilisateur moyen. Franchement, si je veux obtenir le mot de passe, je ne vais pas m'emmerder à essayer d'intercepter un e-mail. Je vais plutôt demander directement à l'utilisateur de me donner son mot de passe.
On 17 Feb 2007 14:26:33 GMT, renaudh@hotmail.com:
Je voudrais permettre a mes utilisateurs
Ça représente combien de personnes ?
de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair
Faire passer des mots de passe sans cryptage représente effectivement
un petit trou de sécurité. Mais il est AMHA négligeable par rapport au
trou de sécurité que constitue le fait de confier un mot de passe à un
utilisateur moyen.
Franchement, si je veux obtenir le mot de passe, je ne vais pas
m'emmerder à essayer d'intercepter un e-mail. Je vais plutôt demander
directement à l'utilisateur de me donner son mot de passe.
de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair
Faire passer des mots de passe sans cryptage représente effectivement un petit trou de sécurité. Mais il est AMHA négligeable par rapport au trou de sécurité que constitue le fait de confier un mot de passe à un utilisateur moyen. Franchement, si je veux obtenir le mot de passe, je ne vais pas m'emmerder à essayer d'intercepter un e-mail. Je vais plutôt demander directement à l'utilisateur de me donner son mot de passe.
Nina Popravka
On 20 Feb 2007 21:51:20 GMT, Fabien LE LEZ wrote:
Faire passer des mots de passe sans cryptage représente effectivement un petit trou de sécurité. Mais il est AMHA négligeable par rapport au trou de sécurité que constitue le fait de confier un mot de passe à un utilisateur moyen.
Bin non... Parce que soit le luser lambda a un poste sensible chez Airbus, et les procédures et la formation des lusers vont avec (j'espère), soit c'est toi et moi, et c'est du tripotage de genoux théorique. -- Nina
On 20 Feb 2007 21:51:20 GMT, Fabien LE LEZ <gramster@gramster.com>
wrote:
Faire passer des mots de passe sans cryptage représente effectivement
un petit trou de sécurité. Mais il est AMHA négligeable par rapport au
trou de sécurité que constitue le fait de confier un mot de passe à un
utilisateur moyen.
Bin non...
Parce que soit le luser lambda a un poste sensible chez Airbus, et les
procédures et la formation des lusers vont avec (j'espère), soit c'est
toi et moi, et c'est du tripotage de genoux théorique.
--
Nina
Faire passer des mots de passe sans cryptage représente effectivement un petit trou de sécurité. Mais il est AMHA négligeable par rapport au trou de sécurité que constitue le fait de confier un mot de passe à un utilisateur moyen.
Bin non... Parce que soit le luser lambda a un poste sensible chez Airbus, et les procédures et la formation des lusers vont avec (j'espère), soit c'est toi et moi, et c'est du tripotage de genoux théorique. -- Nina
Nina Popravka
On 20 Feb 2007 22:01:43 GMT, Nina Popravka wrote:
soit c'est toi et moi, et c'est du tripotage de genoux théorique.
Et dans la famille "je débarque" j'ai eu 3 mails (je dis bien trois) de clients émus aujourd'hui, suite à cet intéressant article, grosse alerte de sécurité, vu que c'est d'origine Symantec : <http://www.pcinpact.com/actu/news/34765-phishing-routeur-dns-attaque-Zulfikar-Ramzan.htm?vc=1> J'avoue être restée plate comme une palombe, et me suis contentée de faire remarquer que si les mdp de leurs routeurs avaient un vague rapport avec des données personnelles, c'est que je les avais changés, et que je ne pensais pas que quiconque fasse autrement... Podom podom podom......... -- Nina
On 20 Feb 2007 22:01:43 GMT, Nina Popravka <Nina@nospam.news.free.fr>
wrote:
soit c'est
toi et moi, et c'est du tripotage de genoux théorique.
Et dans la famille "je débarque" j'ai eu 3 mails (je dis bien trois)
de clients émus aujourd'hui, suite à cet intéressant article, grosse
alerte de sécurité, vu que c'est d'origine Symantec :
<http://www.pcinpact.com/actu/news/34765-phishing-routeur-dns-attaque-Zulfikar-Ramzan.htm?vc=1>
J'avoue être restée plate comme une palombe, et me suis contentée de
faire remarquer que si les mdp de leurs routeurs avaient un vague
rapport avec des données personnelles, c'est que je les avais changés,
et que je ne pensais pas que quiconque fasse autrement...
Podom podom podom.........
--
Nina
soit c'est toi et moi, et c'est du tripotage de genoux théorique.
Et dans la famille "je débarque" j'ai eu 3 mails (je dis bien trois) de clients émus aujourd'hui, suite à cet intéressant article, grosse alerte de sécurité, vu que c'est d'origine Symantec : <http://www.pcinpact.com/actu/news/34765-phishing-routeur-dns-attaque-Zulfikar-Ramzan.htm?vc=1> J'avoue être restée plate comme une palombe, et me suis contentée de faire remarquer que si les mdp de leurs routeurs avaient un vague rapport avec des données personnelles, c'est que je les avais changés, et que je ne pensais pas que quiconque fasse autrement... Podom podom podom......... -- Nina
Nina Popravka
On 20 Feb 2007 22:08:23 GMT, Erwan David wrote:
Je n'ai pas le droit de dire quelle boitez, mais j'ai vu des trucs qui font frémir de la part de boite au moins aussi sensibles que Airbus...
Je te crois, j'ai bossé avec Thomson Sintra y a ... longtemps, et y avait une parano hallucinante sur certains trucs, associé à un laxisme sidérant sur d'autres. -- Nina
On 20 Feb 2007 22:08:23 GMT, Erwan David <erwan@rail.eu.org> wrote:
Je n'ai pas le droit de dire quelle boitez, mais j'ai vu des trucs qui
font frémir de la part de boite au moins aussi sensibles que Airbus...
Je te crois, j'ai bossé avec Thomson Sintra y a ... longtemps, et y
avait une parano hallucinante sur certains trucs, associé à un laxisme
sidérant sur d'autres.
--
Nina
Je n'ai pas le droit de dire quelle boitez, mais j'ai vu des trucs qui font frémir de la part de boite au moins aussi sensibles que Airbus...
Je te crois, j'ai bossé avec Thomson Sintra y a ... longtemps, et y avait une parano hallucinante sur certains trucs, associé à un laxisme sidérant sur d'autres. -- Nina
Fabien LE LEZ
On 20 Feb 2007 22:01:43 GMT, Nina Popravka :
Parce que soit le luser lambda a un poste sensible chez Airbus, et les procédures et la formation des lusers vont avec (j'espère)
C'est ce que je comptais rajouter : si le mot de passe donne accès à des données sensibles, l'administrateur doit forcément l'expliquer de vive voix à chaque utilisateur, et il suffit de donner le mot de passe à ce moment-là.
On 20 Feb 2007 22:01:43 GMT, Nina Popravka <Nina@nospam.news.free.fr>:
Parce que soit le luser lambda a un poste sensible chez Airbus, et les
procédures et la formation des lusers vont avec (j'espère)
C'est ce que je comptais rajouter : si le mot de passe donne accès à
des données sensibles, l'administrateur doit forcément l'expliquer de
vive voix à chaque utilisateur, et il suffit de donner le mot de passe
à ce moment-là.
Parce que soit le luser lambda a un poste sensible chez Airbus, et les procédures et la formation des lusers vont avec (j'espère)
C'est ce que je comptais rajouter : si le mot de passe donne accès à des données sensibles, l'administrateur doit forcément l'expliquer de vive voix à chaque utilisateur, et il suffit de donner le mot de passe à ce moment-là.
Laurent C.
Le 17-02-2007, Stephane Catteau à clamé haut et fort:
devait dire quelque chose comme ceci :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
De plus est-il nécessaire d'employer du chiffrage fort de tous les côtés, sans penser à chasser les "post-its" remplis des 30 derniers mot de passe utilisés. Je ne touve pas de solution iracle à celà, malgré les chartes et les remarques coutoises en cas de flagrand délit.
-- Laurent C.
Le 17-02-2007, Stephane Catteau à clamé haut et fort:
renaudh@hotmail.com devait dire quelque chose comme ceci :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de
passe en leur envoyant le nouveau (par Email ou autre).
Mais je ne veux pas que celui-ci soit en clair sur la toile:)
Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par
e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre
d'une authentification cryptée par SSL, il transitera en clair à chaque
fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le
problème à le faire transiter par e-mail. Tout le monde le fait, même
des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que
cela.
De plus est-il nécessaire d'employer du chiffrage fort de tous les côtés,
sans penser à chasser les "post-its" remplis des 30 derniers mot de
passe utilisés. Je ne touve pas de solution iracle à celà, malgré les
chartes et les remarques coutoises en cas de flagrand délit.
Le 17-02-2007, Stephane Catteau à clamé haut et fort:
devait dire quelque chose comme ceci :
Je voudrais permettre a mes utilisateurs de faire un reset du mot de passe en leur envoyant le nouveau (par Email ou autre). Mais je ne veux pas que celui-ci soit en clair sur la toile:) Des idées pour faire cela ?
Il ne sera pas en clair "sur la toile", puisqu'il transitera par e-mail. Cela dit, si le mot de passe n'est pas utilisé dans le cadre d'une authentification cryptée par SSL, il transitera en clair à chaque fois que l'utilisateur... l'utilisera. Donc je ne vois pas où est le problème à le faire transiter par e-mail. Tout le monde le fait, même des boîtes très sérieuses, et il n'y a pas eu plus de problèmes que cela.
De plus est-il nécessaire d'employer du chiffrage fort de tous les côtés, sans penser à chasser les "post-its" remplis des 30 derniers mot de passe utilisés. Je ne touve pas de solution iracle à celà, malgré les chartes et les remarques coutoises en cas de flagrand délit.
