Jump to content
Les Forums d'Infoclimat

Ce tchat, hébergé sur une plateforme indépendante d'Infoclimat, est géré et modéré par une équipe autonome, sans lien avec l'Association.
Un compte séparé du site et du forum d'Infoclimat est nécessaire pour s'y connecter.

thevinz

Stockage des mots de passe des membres

Recommended Posts

Bonjour

 

Aujourd'hui, ayant oublié mon mot de passe, j'ai fait une demande de réinitialisation de ce mot de passe.

A ma grande surprise, le mot de passe entré a été renvoyé en clair !! 

Ne devrait'il pas être stocké chiffré ? et lors d'une demande de réinitialisation, un nouveau ne devrait il pas être généré ? 

Je ne suis pas sur que la CNIL soit fortement d'accord avec ces stockages de mot de passe en clair. Et en tous cas, moi cela me gène fortement.

Suis-je le seul ?

 

 

 

 

Share this post


Link to post
Share on other sites
Posted

Location : Noisy-le-Sec (93)

Les mots de passe sont stockés chiffrés (chiffrement asymétrique), sur une machine séparée de la machine qui dispose de la clé. Ils sont déchiffrés au moment d'envoyer le mail. Seule l'interception de l'email ou la compromission de nos machines permet à un attaquant de récupérer le mot de passe.

Infoclimat n'étant pas non plus une application bancaire ou particulièrement ciblée, les risques sont faibles. D'autant qu'il est recommandé d'utiliser un mot de passe différent par site web. Néanmoins, ce n'est en effet clairement plus conforme aux standards actuels. Rappelons qu'infoclimat a débuté ses pas sur le web au tout début des années 2000.

Nous sommes en train de modifier progressivement cela pour que les mots de passe soient stockés hashés, mais cela est plus complexe que vous ne le pensez afin de gérer la rétro-compatibilité et l'interconnexion avec MétéoAlerte.

Et pour ce qui est de la CNIL, je pense que sur IC la sécurité est bien mieux lotie que certains gros sites...

  • J'aime 2
  • Haha 1

Share this post


Link to post
Share on other sites

Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques !

Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré !

On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver !

Mais si c'est en cours, tout va bien 😉

Share this post


Link to post
Share on other sites
Posted

Location : Noisy-le-Sec (93)
Il y a 6 heures, thevinz a dit :

Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques !

Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré !

On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver !

Mais si c'est en cours, tout va bien 😉

 

Tout à fait, la meilleure méthode reste le hashage avec des algorithmes modernes et salt. Ce sera bientôt le cas sur Infoclimat.

 

Il y a 3 heures, Meteo-Corny a dit :

et par rapport a la rgdp?

 

Tu as déjà posé cette question il y a quelques mois et on t'avait déja répondu.

La RGPD ne fait que compléter les bonnes pratiques recommandées par la CNIL et autres depuis des années. Infoclimat n'est concerné que dans une faible mesure, puisqu'elle ne traite que très peu de données personnelles d'utilisateurs, et ne fait aucun commerce (pas de pub, pas de revente de quoi que ce soit). Et comme je l'ai dit plus haut, les bonnes pratiques sont respectées depuis longtemps, et bien mieux que ce que l'on voit ici et là sur de plus grosses plateformes. La seule pratique RGPD que l'on ne respecte pas bien encore, c'est mieux indiquer comment sont conservées les données personnelles, et comment elles sont utilisées ou échangées à des partenaires (c'est-à-dire, dans notre cas : pas du tout).

  • J'aime 3
  • Merci 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...