Mot de passe en clair par mail...

Bonjour,

Je vous remonte un soucis de sécurité car votre forum suite à une inscription envoie par mail le mot de passe de notre compte et il arrive en clair.
Vous devriez enlever cette ligne du code car question sécurité, c'est pas top. Bon ok, on est pas sur le forum de notre banque mais quand même.

Beaucoup de personnes (la majorité même) ne sont pas très sensibles à la sécurité informatique et utilisent en général le même mot de passe partout.
Avis à ceux qui me liraient, essayer d'utiliser un gestionnaire de mot de passe en connaissant par coeur un seul mot de passe fort puis utiliser pour chaque site/forum un seul et unique mot de passe généré par le gestionnaire de mot de passe.

Zeus

@Zeus :

Je vais réfléchir à la question. Il y a probablement des choses à améliorer dans ce domaine sur le forum.

Ceci dit, beaucoup de sites procèdent de la même manière. je ne compte pas le nombre de fois où, après l'inscription, j'ai reçu mes identifiants et mon mot de passe par courriel. Je me demande d'ailleurs comment on peut faire autrement ? Hormis l'utilisation d'un gestionnaire de mot de passe, effectivement.

Il suffit simplement au gestionnaire de site d'aller dans le script et de supprimer la valeur concernant le mot de passe qui est envoyé par mail. Sur phpBB, ça doit être facile à régler vu l’engouement de ce script depuis tant d'années.

Quant aux autres sites, je sais que j'écris fréquemment à un administrateur ou poste un topic si c'est un forum pour en parler.

l'envoi d'identifiant mot de passe en clair suite à une inscription est normale, par contre les mots de passe sont crypté et donc il est ensuite impossible de renvoyer un mot de passe en clair

Euuuuh non c'est pô normal du tout C'est mon boulot, et je peux vous confirmer qu'un code qui produit ce résultat ne passe pas les tests de validité - en tout cas dans ma boite.
D'ailleurs rien n'y oblige : l'utilisateur crée son identifiant et son mot de passe, reçoit un mail de confirmation et éventuellement un lien pour aciver le compte, et c'est suffisant.
Cette pratique d'envoyer l'identifiant et le mot de passe à la confirmation est d'ailleurs en voie de disparition, en plus il y a de fortes chances qu'elle tombe sous le coup de la GDPR...

ça sent le casse couille

VapeNDiy a écrit:l'envoi d'identifiant mot de passe en clair suite à une inscription est normale, par contre les mots de passe sont crypté et donc il est ensuite impossible de renvoyer un mot de passe en clair

On ne parle pas de cryptage mais de chiffrement. Ensuite, certainement que le mot de passe est chiffré dans la bdd mais ce n'est pas le cas lors de l'envoi en clair dans le mail de confirmation !

Pour chiffrer le contenu (texte) d'un mail, il faudrait passer par PGP mais pour cela, il faut que l'expéditeur et le destinataire aient la clé publique de l'un et l'autre.

whaou! crypté, chiffré, si tu veux jouer sur les mots je te conseil d'être sur d'avoir bien lu ce que j'ai écrit, de savoir comment sont stockés les mots de passe dans PHPBB et de savoir quelle est l'adaptation dans "forumactif"

toujours est il que, en remplissant un formulaire "identifiant", "mot de passe", "email" faut juste m'expliquer en quoi il y a une faille de sécu en envoyant à "e-mail" les autres champs renseignés!

*je rêve on m'apprendre que mon boulot se résume à PGP*

@VapeNDiy, on ne transmet pas de credentials en clair, encore moins par mail. Sasfépa, c'est comme ça.
Un peu comme si ta banque donnait à qui veut l'entendre ton code de CB, au prétexte que c'est toi seul qui as la carte sur toi.

Ou alors tu es d'accord pour t'authentifier en POP3 non crypté pour lire tes mails, ou tu ne vois aucun intérêt à l'utilisation systématique de https, etc...
Les normes de sécurité ont évolué depuis 15 ans. Peut être pas aussi vite que les techniques de piratage, raison de plus

DeadCowBoy a écrit:@VapeNDiy, on ne transmet pas de credentials en clair, encore moins par mail. Sasfépa, c'est comme ça.
Un peu comme si ta banque donnait à qui veut l'entendre ton code de CB, au prétexte que c'est toi seul qui as la carte sur toi.

Ou alors tu es d'accord pour t'authentifier en POP3 non crypté pour lire tes mails, ou tu ne vois aucun intérêt à l'utilisation systématique de https, etc...
Les normes de sécurité ont évolué depuis 15 ans. Peut être pas aussi vite que les techniques de piratage, raison de plus

bien sur que ça se fait, de renvoyer par mail les éléments d'un formulaire, ça n'engage aucune responsabilité du "site"

t'as déjà essayé un "brute" en pop3 non crypté? pour le https, le "s" permet juste de passer les routeurs sans controle de quoi que ce soit.

hélas les techniques d'il y a 15 ans marchent encore!

mais bon là on est hors sujet et si je développe en général je facture

Sur du POP3 non crypté pas besoin de brute hein, un coup de wireshark et c'est plié
Quant au https je vois pas trop le rapport avec les routeurs vu que c'est du end to end… A moins qu'on parle d'offloading SSL mais c'est un autre débat et ça ne peut concerner que le B2B.
Mais t'as raison c'est un forum de vape ici, je suis pas là pour te donner des cours

DeadCowBoy a écrit:Sur du POP3 non crypté pas besoin de brute hein, un coup de wireshark et c'est plié
Quant au https je vois pas trop le rapport avec les routeurs vu que c'est du end to end… A moins qu'on parle d'offloading SSL mais c'est un autre débat et ça ne peut concerner que le B2B.
Mais t'as raison c'est un forum de vape ici, je suis pas là pour te donner des cours

cool, on parle presque le même langage, mais ici on va rester sur la vape

me donner des cours avec des tools t'as jamais été confronté à des protocoles non utilisés où wireshark ou aircrack sont inutiles, sinon pour le https et les routeurs en général la conf est 'c'est "s" on laisse passer sans regarder"

.. en Mp, tu bosses dans quoi? parce ce que je vais recruter d'ici peu ...

Arf merci mais non merci
Division engineering chez un éditeur logiciel US

ok, pas de P , je forme déjà des pentesteurs

au plaisir de te lire

...et alors ? Et alors ? On veut savoir, finalement c'est qui qui a la plus grosse ?

@tous :

Hé les gars. Votre débat est intéressant et on en apprend jamais assez sur la securité mais il est assez difficile à suivre pour le non-initié. Aussi lorsque vous employez un terme technique,  n'hésitez surtout pas à l'expliciter un tout petit peu pour que chaque lecteur puisse un peu mieux comprendre et éventuellement  se faire une opinion !

Oui Franck, tu as raison, toutes mes excuses à tous.
Bon déjà c'est pas une engueulade, juste une discussion de techos un peu perchés - il n'en manque pas dans l'informatique
Ensuite c'était clairement HS, mais je veux bien résumer en termes plus clairs :

Par principe on ne transmet jamais le couple identifiant/mot de passe (les "credentials") en clair, par aucun moyen, a fortiori le mail.
C'est un peu comme si votre banque postait votre code de carte bancaire sur sa page Facebook, en se disant qu'il n'y a aucun risque puisque vous êtes le seul à détenir la carte bancaire en question...
Vous me direz que la différence entre votre email et une page Facebook c'est que l'email est protégé par... votre identifiant et un mot de passe.
Sauf que la communication entre votre PC et votre boîte mail peut se faire via un langage (un protocole) non crypté. Dans ce cas, il est facile d'intercepter la communication (si si je vous assure que c'est facile) et de voir passer en clair vorte mot de passe... c'est le cas du protocole POP3 (Post Office Protocol).
Pour https: c'est la version sécurisée (chiffrée, cryptée - c'est la même chose sauf que "crypté" est un anglicisme ) du protocole http que nous utilisons tous quand on va sur le wèbe (entre autres, mais c'est un aurte sujet).
Le principe est que le PC et le site web échangent une clé de chiffrement qui permettra de rendre la communication inintelligible pour n'importe qui d'autre. Ce n'est pas infaillible, majoritairement à cause du dispositif situé entre la chaise et le clavier, qui peut souvent se faire tromper et détourner sa communication à l'insu de son plein gré.
Mais dans l'ensemble, ça fonctionne plutôt très bien. L'utilisation du https est devenue quasiment systématique, surtout après la recommandation du W3C (World Wide Web Consortium, un organisme qui régit les standards sur internet - POUR RESUMER ). Du coup la plupart des hébergeurs, opérateurs, acteurs majeurs du Web refusent ou bloquent le protocole http - et imposent le https -  pour garantir une bonne sécurité des échanges...

Bref. Tout ça pour dire : SVP corrigez ce souci d'envoi des credentials en clair par mail, c'est dangereux. Bien sûr ce n'est "qu'un" forum de vape, mais le fait est que de très nombreuses personnes utilisent le même mot de passe un peu partout. C'est pas bien, mais c'est comme ça. C'est donc agir de manière responsable que d'éviter d'exposer les credentials là où ils n'ont pas besoin de l'être (c'est à dire, nulle part, en fait).

J'ai vue pire qu'un mail reçu avec login/mdp.
J'ai eu un PC à dépanner et dedans il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.
Tu chope le contrôle du PC via n'importe quelle faille et en 1 seul fichier, t'as accès à tout.

@DeadCowBoy :

Mais il n'y a pas de souci.
Il est facile lorsqu'on maîtrise un domaine de parler avec un langage plus ou moins technique. beaucoup de métiers, de sports, de passions, de hobbys ont leur propre vocabulaire. La vape en reconstructible quelquefois ce n'est pas mal non plus !
Donc, c'est bien qu'on fasse aussi l'effort de traduire les posts pour le plus grand nombre. Mais, autant sur la vape, le staff peut intervenir pour tenter de rendre plus simple, j'avoue que, dans le domaine informatique, c'est plus compliqué pour moi en tout cas

Là, tu vois, j'ai tout compris à ton post !

ludo a écrit:il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.

C'est tout moi ça arrrg !, et c'est con, et je le sais...

copiercoller a écrit:

ludo a écrit:il y avait un joli document texte sur le bureau avec l'ensemble des logins/mdp avec l'url de tous les sites à côté, y compris banque, impôts, etc.

C'est tout moi ça arrrg !, et c'est con, et je le sais...

Imprime le... C'est tout aussi con mais au pire c'est moins facile de le choper.