Commentaires sur : Ne me rappelez pas mon mot de passe!

Par : Nicolas

Nicolas — Sat, 26 Feb 2011 22:15:09 +0000

“Un site qui stocke une empreinte de votre mot de passe, peut donc au mieux vous générer un nouveau mot de passe en cas de perte de votre mot de passe. C’est heureusement ce que font la plupart des sites”

C’est dommage.
Je trouve très pratique que certains services
me rappellent mon mot de passe sur ma demande.
Certains ne le proposent pas, et c’est bien
dommage en cas d’oubli d’accès à un service.

Diminution de la sécurité avec l’empreinte seule : une tentative différente de mon mot de passe peut passer.

Par : Coder Peon » Mettez du sel dans vos mots de passe

Coder Peon » Mettez du sel dans vos mots de passe — Sun, 23 Dec 2007 17:19:45 +0000

[...] passe et en calcule l’empreinte. C’est cette empreinte qui est stockée par le site (et pas le mot de passe lui-même!!). Ensuite lorsque ce visiteur revient et s’authentifie, il saisit son mot de passe, le site [...]

Par : aranud

aranud — Thu, 20 Dec 2007 07:54:37 +0000

Malheureusement, si on veut stocker le mot de passe complet de manière crypté dans une base, alors il faut une clef de cryptage. Cette clef de cryptage doit être incluse dans le code du Site Web, ou bien dans un fichier, etc. Dans tous les cas, il est donc possible pour une personne vraiment mal intentionnée de recuperer à la fois la base des mots de passe, et la clef de cryptage puisque les deux figurent sur les serveurs qui hostent le site. C’est de cette façon que la protection des DVD a été cassée: Tous les DVD sont cryptés avec la même clef, et une personne a simplement été “voir” dans un programme de lecture de DVD quelle était la clef.

Par ailleurs, même sans avoir la clef de cryptage, il est souvent possible de la calculer si on peut manipuler la base des mots de passe. Par exemple, si une personne (toujours mal intentionnée) a trouvé le moyen d’acceder à la base des mots de passe “actifs”, alors elle peut s’enregistrer sur le site avec une dizaine de pseudo/mot de passe différents. Ensuite elle récupère la base des mots de passe du site qui contient notamment les mots de passes qu’elle vient de rentrer. L’attaquant a cette fois une dizaine de mot de passe en version cryptée et décryptée et il peut donc calculer la clef de cryptage.

Par : Targhan

Targhan — Tue, 18 Dec 2007 12:52:55 +0000

Il est tout de même possible de stocker un mot de passe correctement crypté dans la base du site, cryptage qui demanderait également des calculs astronomiques sans la clé de cryptage pour le récupérer.
Là où leur procédures de récupération de mot de passe est stupide, c’est que plutôt de profiter de l’accès sécurisé à leur site pour afficher le mot de passe (qui serait en plus une donnée éphémaire), ils envoient effectivement un mail avec le mot de passe en clair

Ne serait-ce pas à la CNIL de vérifier pour chaque déclaration la méthode de conservation des données sensibles ? C’est une question je n’en sais rien du tout.