Posté(e) le 2 janvier 20169 a Bonjour, Un simple coup de gueule contre ESET, qui, en 2016, à la création de compte, t'envoie ton mot de passe, que tu as renseigné dans le formulaire, par email ... (en clair). La réponse du support est encore mieux : "Nos serveurs d'emails sont sécurisés et comme vous avez notre antivirus votre boîte mail est protégée, donc il n'y a pas de problème" Modifié le 2 janvier 20169 a par Poil
Posté(e) le 2 janvier 20169 a Le seul risque c'est si il y a quelqu'un debout derrière toi... Parceque si quelqu'un accède à ta boite mail, mot de passe en clair ou pas, il pourra le changer à sa guise. Après j'avoue que la réponse du support est bof, mais ce ne sont pas les seuls à envoyer les mdp en clair, je dois en avoir quelques uns dans ma boite mail à moi.. Modifié le 2 janvier 20169 a par Survivor4OneDay
Posté(e) le 2 janvier 20169 a Ce que cela veut surtout dire c'est que les mots de passe sont stockés en clair chez eux...et s'ils se font pirater leur base, tous les mots de passes de leurs utilisateurs seront rendus publics... -- edit -- par en clair, j'entends retrouvable si on est suffisamment déterminé, cf mon post suivant
Posté(e) le 2 janvier 20169 a Ce que cela veut surtout dire c'est que les mots de passe sont stockés en clair chez eux...et s'ils se font pirater leur base, tous les mots de passes de leurs utilisateurs seront rendus publics...Pas d'accord. Les mdp peuvent être chiffrés dans une base chiffrée, mais dont les clés de chiffrement sont connues d'eux seuls.Ça veut dire qu'il faut réussir à déchiffrer la base puis déchiffrer les mdp : pas impossible mais balèze, sauf à avoir de l'aide interne.
Posté(e) le 2 janvier 20169 a Règle de base : on ne stocke pas les mots de passes, chiffrés ou non...à minima, on stocke un hash avec un sel...seul soucis, ce n'est pas suffisant surtout si les passwords sont courts...l'article ci-après explique tout ça très bien (mais en anglais) Serious Security: How to store your users’ passwords safely=> même si la base est compromise, on ne doit jamais pouvoir retrouver les mots de passes d'origine...raison pour laquelle de nombreux sites te renvoient un nouveau password à chaque fois que tu as oublié le précédent
Posté(e) le 2 janvier 20169 a Auteur Ca veut également dire que mon mot de passe transite en clair sur le réseau, ça valait le coup de mettre du https! Modifié le 2 janvier 20169 a par Poil
Posté(e) le 3 janvier 20169 a Ce ne sont pas les seuls à envoyer les mdp en clair, je dois en avoir quelques uns dans ma boite mail à moi.. Oui Free envoyait (envoie) aussi les mdps en clair dans ta boîte aux lettres :D par la Poste
Posté(e) le 3 janvier 20169 a Bah le pire, c'était les adresses sur laposte.net...à une époque pour avoir un nouveau mot de passe, tu faisait la demande sur Internet, et tu recevais ton mot de passe par courrier une semaine après
Posté(e) le 4 janvier 20169 a Le mot de passe peut être envoyé en clair avant salage en base de donnée. C'est pas malin non plus, mais ça ne veut pas forcément dire que le mot de passe est stocké en clair chez eux.
Posté(e) le 4 janvier 20169 a Chiffré avec salage, rechiffrer en 4096bits, puis decoupé en 4 parties pour etre chiffré et resalé... Bref.... Quelque soit le traitement du mdp dans la BDD, si il est enrengistré, ca ne sert a rien si le mdp apparait quelque part en clair...
Posté(e) le 5 janvier 20169 a Bah le pire, c'était les adresses sur laposte.net...à une époque pour avoir un nouveau mot de passe, tu faisait la demande sur Internet, et tu recevais ton mot de passe par courrier une semaine après Nan pas a une époque, c'est toujours d'actualité... Enfin pas quand tu changes de mot de passe, mais quand tu crées ton compte.. Modifié le 5 janvier 20169 a par Survivor4OneDay
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.