Auteur Sujet: Mots de passe en clair ?? (Lu 3073 fois)

Leonito · « **le:** 06 mai 2024 à 00:57:09 »

Bonjour, je viens juste de m'inscrire et quelle surprise, le mail contenant le lien de validation contient aussi... mon mot de passe, en clair !!

D'où ma question, les mots de passe sont-ils tous stockés en clair malgré tous les risques que ça pose ??
C'est d'autant plus surprenant sur un forum comme celui-ci.

Utilisant un gestionnaire de mdp le mien est aléatoire et unique, mais je doute que ce soit le cas de tout le monde...

Désolé pour le premier message un peu négatif, quand même hâte de continuer à explorer ce site passionnant !

Optix · « **Réponse #1 le:** 06 mai 2024 à 08:49:14 »

Citation de: Leonito le 06 mai 2024 à 00:57:09

Bonjour, je viens juste de m'inscrire et quelle surprise, le mail contenant le lien de validation contient aussi... mon mot de passe, en clair !!

D'où ma question, les mots de passe sont-ils tous stockés en clair malgré tous les risques que ça pose ??
C'est d'autant plus surprenant sur un forum comme celui-ci.

Utilisant un gestionnaire de mdp le mien est aléatoire et unique, mais je doute que ce soit le cas de tout le monde...

Désolé pour le premier message un peu négatif, quand même hâte de continuer à explorer ce site passionnant !

Bienvenue

Sur SMF, les pass sont hashés en SHA-1.

J'imagine que le pass que tu tapes est stocké en mémoire juste le temps du traitement du POST (qui envoie l'email de validation).

fred_mgnt · « **Réponse #2 le:** 06 mai 2024 à 09:33:09 »

Citation de: Optix le 06 mai 2024 à 08:49:14

Bienvenue

Sur SMF, les pass sont hashés en SHA-1.

J'imagine que le pass que tu tapes est stocké en mémoire juste le temps du traitement du POST (qui envoie l'email de validation).

Néanmoins le mail ne transitant pas forcément de manière chiffrée de bout en bout, ce n’est pas une conduite recommandable que d’envoyer et afficher en clair un MDP.

ppn_sd · « **Réponse #3 le:** 06 mai 2024 à 10:17:38 »

Cela n'aurait pas d'importance s'il s'agissait d'un mot de passe à usage unique avec obligation d'en définir un nouveau à la première connexion, mais cela n'est pas le cas. Pas terrible sur le papier en effet.

J'ai vérifié le mail d'activation et j'ai toujours le même mot de passe

.

turold · « **Réponse #4 le:** 06 mai 2024 à 10:24:09 »

Ceci vient du codage du moteur de ce forum: SMF.
Ici, c'est une version de la branche 2.0 qui est utilisée: https://lafibre.info/forum/mentions-legales/msg542247/#msg542247
La 2.0 est sortie en 2011, et la dernière mise à jour corrective est sortie en 2021.
Plusieurs choses s'amélioreront avec l'implémentation de SMF 2.1 dans ce forum.

vivien · « **Réponse #5 le:** 06 mai 2024 à 10:28:57 »

Le mot de passe n'est pas stocké en clair dans la base de donnée, (d'où le fait qu'en cas de changement de pseudo ou de perte de mot de passe, la seule solution est la réinitialisation), mais il est transmis en clair dans le mail de bienvenue.

Cela sera changé avec la prochaine mise à jour (plus d'envoi du mot de passe par mail), car ce n'est vraiment pas une bonne pratique.

Lucien · « **Réponse #6 le:** 06 mai 2024 à 10:54:54 »

D'un autre coté, je ne vois pas comment transmettre le mot de passe au demandeur lors d'une récupération de mot de passe oublié !
Faut bien qu'il le lise, non ?

MaxLebled · « **Réponse #7 le:** 06 mai 2024 à 10:57:41 »

Citation de: Lucien le 06 mai 2024 à 10:54:54

D'un autre coté, je ne vois pas comment transmettre le mot de passe au demandeur lors d'une récupération de mot de passe oublié !
Faut bien qu'il le lise, non ?

Le mot de passe ne peut pas être récupéré, seulement réinitialisé : c'est-à-dire modifié

Optix · « **Réponse #8 le:** 06 mai 2024 à 10:59:31 »

Citation de: fred_mgnt le 06 mai 2024 à 09:33:09

Néanmoins le mail ne transitant pas forcément de manière chiffrée de bout en bout, ce n’est pas une conduite recommandable que d’envoyer et afficher en clair un MDP.

Même chiffré de bout en bout, je parie que ça finira chez un provider américain qui n'a aucun souci à lire tes mails

Lucien · « **Réponse #9 le:** 06 mai 2024 à 11:04:19 »

Citation de: MaxLebled le 06 mai 2024 à 10:57:41

Le mot de passe ne peut pas être récupéré, seulement réinitialisé : c'est-à-dire modifié

Je sais pas, jamais oublié mon mot de passe sur LafibreInfo, certains sites te renvoient ton mot de passe.

Mais du coup ça ne change rien niveau sécurité, si c'est un tiers qui a accès à ton mail, demande la réinitialisation, il va recevoir le lien pour réinitialiser et il pourra usurper le compte.

vivien · « **Réponse #10 le:** 06 mai 2024 à 14:50:57 »

Aujourd'hui plus aucun site ne renvoie le mot de passe si tu l'as perdu, car cela signifie qu'il serait en clair sur le serveur.

Une personne qui arriverait à corrompre le serveur pourrait récupérer tous les mots de passe !

La procédure est toujours une réinitialisation.

Sur SMF (le moteur utilisé par lafibre.info) en cas de changement de pseudo, la réinitialisation est obligatoire, parce que le pseudo doit rentrer d'algorithme pour saler^* le mot de passe.

^* Le salage des mots de passe, aussi appelé password salt en anglais, consiste à ajouter une portion de données aléatoires au mot de passe avant de le soumettre à l'algorithme de hachage de façon sécurisée.

Leonito · « **Réponse #11 le:** 06 mai 2024 à 16:19:24 »

OK merci pour ces réponses !