thevinz Posted January 22, 2019 Share Posted January 22, 2019 Bonjour Aujourd'hui, ayant oublié mon mot de passe, j'ai fait une demande de réinitialisation de ce mot de passe. A ma grande surprise, le mot de passe entré a été renvoyé en clair !! Ne devrait'il pas être stocké chiffré ? et lors d'une demande de réinitialisation, un nouveau ne devrait il pas être généré ? Je ne suis pas sur que la CNIL soit fortement d'accord avec ces stockages de mot de passe en clair. Et en tous cas, moi cela me gène fortement. Suis-je le seul ? Link to post Share on other sites More sharing options...
Responsable Technique Fred59_ Posted January 22, 2019 Cannes (06) Responsable Technique Share Posted January 22, 2019 Les mots de passe sont stockés chiffrés (chiffrement asymétrique), sur une machine séparée de la machine qui dispose de la clé. Ils sont déchiffrés au moment d'envoyer le mail. Seule l'interception de l'email ou la compromission de nos machines permet à un attaquant de récupérer le mot de passe. Infoclimat n'étant pas non plus une application bancaire ou particulièrement ciblée, les risques sont faibles. D'autant qu'il est recommandé d'utiliser un mot de passe différent par site web. Néanmoins, ce n'est en effet clairement plus conforme aux standards actuels. Rappelons qu'infoclimat a débuté ses pas sur le web au tout début des années 2000. Nous sommes en train de modifier progressivement cela pour que les mots de passe soient stockés hashés, mais cela est plus complexe que vous ne le pensez afin de gérer la rétro-compatibilité et l'interconnexion avec MétéoAlerte. Et pour ce qui est de la CNIL, je pense que sur IC la sécurité est bien mieux lotie que certains gros sites... 3 1 Link to post Share on other sites More sharing options...
thevinz Posted January 23, 2019 Author Share Posted January 23, 2019 Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques ! Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré ! On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver ! Mais si c'est en cours, tout va bien 😉 Link to post Share on other sites More sharing options...
Meteo-Corny Posted January 23, 2019 Share Posted January 23, 2019 et par rapport a la rgdp? Link to post Share on other sites More sharing options...
Responsable Technique Fred59_ Posted January 23, 2019 Cannes (06) Responsable Technique Share Posted January 23, 2019 Il y a 6 heures, thevinz a dit : Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques ! Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré ! On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver ! Mais si c'est en cours, tout va bien 😉 Tout à fait, la meilleure méthode reste le hashage avec des algorithmes modernes et salt. Ce sera bientôt le cas sur Infoclimat. Il y a 3 heures, Meteo-Corny a dit : et par rapport a la rgdp? Tu as déjà posé cette question il y a quelques mois et on t'avait déja répondu. La RGPD ne fait que compléter les bonnes pratiques recommandées par la CNIL et autres depuis des années. Infoclimat n'est concerné que dans une faible mesure, puisqu'elle ne traite que très peu de données personnelles d'utilisateurs, et ne fait aucun commerce (pas de pub, pas de revente de quoi que ce soit). Et comme je l'ai dit plus haut, les bonnes pratiques sont respectées depuis longtemps, et bien mieux que ce que l'on voit ici et là sur de plus grosses plateformes. La seule pratique RGPD que l'on ne respecte pas bien encore, c'est mieux indiquer comment sont conservées les données personnelles, et comment elles sont utilisées ou échangées à des partenaires (c'est-à-dire, dans notre cas : pas du tout). 3 1 Link to post Share on other sites More sharing options...
sam72 Posted March 30, 2022 Le Mans Share Posted March 30, 2022 Le 22/01/2019 à 22:56, thevinz a dit : Bonjour Aujourd'hui, ayant oublié mon mot de passe, j'ai fait une demande de réinitialisation de ce mot de passe. Je suis dans la même situation, pour le site IC pour pouvoir voter (bien que j'y sois déjà connecté en permanence). Mais je ne trouve aucune rubrique où demander de manière autonome la réinitialisation de mon mdp. Où se trouve-t-elle ? Link to post Share on other sites More sharing options...
Sebaas Posted March 30, 2022 Montpellier (34), Montreuil (93) ou Ciran (37) Share Posted March 30, 2022 il y a 10 minutes, sam72 a dit : Où se trouve-t-elle ? Il faut se déconnecter du site pour avoir la possibilité de le réinitialiser. Link to post Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now