Aller au contenu
45e rencontre nationale Infoclimat dans les Ecrins - du 15 au 22 février 2025 aux Vigneaux (Hautes-Alpes) >> INSCRIPTIONS ×

Ce tchat, hébergé sur une plateforme indépendante d'Infoclimat, est géré et modéré par une équipe autonome, sans lien avec l'Association.
Un compte séparé du site et du forum d'Infoclimat est nécessaire pour s'y connecter.

Stockage des mots de passe des membres

thevinz

Par thevinz,
dans Vie du site Infoclimat

 Partager

Messages recommandés

thevinz

thevinz

Posté(e)
Posté(e)

Bonjour

 

Aujourd'hui, ayant oublié mon mot de passe, j'ai fait une demande de réinitialisation de ce mot de passe.

A ma grande surprise, le mot de passe entré a été renvoyé en clair !! 

Ne devrait'il pas être stocké chiffré ? et lors d'une demande de réinitialisation, un nouveau ne devrait il pas être généré ? 

Je ne suis pas sur que la CNIL soit fortement d'accord avec ces stockages de mot de passe en clair. Et en tous cas, moi cela me gène fortement.

Suis-je le seul ?

 

 

 

 

Lien à poster
Partager sur d’autres sites
  • Responsable Technique
Fred59_

Fred59_

Posté(e)
Cannes (06)
  • Responsable Technique
Posté(e)

Les mots de passe sont stockés chiffrés (chiffrement asymétrique), sur une machine séparée de la machine qui dispose de la clé. Ils sont déchiffrés au moment d'envoyer le mail. Seule l'interception de l'email ou la compromission de nos machines permet à un attaquant de récupérer le mot de passe.

Infoclimat n'étant pas non plus une application bancaire ou particulièrement ciblée, les risques sont faibles. D'autant qu'il est recommandé d'utiliser un mot de passe différent par site web. Néanmoins, ce n'est en effet clairement plus conforme aux standards actuels. Rappelons qu'infoclimat a débuté ses pas sur le web au tout début des années 2000.

Nous sommes en train de modifier progressivement cela pour que les mots de passe soient stockés hashés, mais cela est plus complexe que vous ne le pensez afin de gérer la rétro-compatibilité et l'interconnexion avec MétéoAlerte.

Et pour ce qui est de la CNIL, je pense que sur IC la sécurité est bien mieux lotie que certains gros sites...

  • J'aime 3
  • Haha 1
Lien à poster
Partager sur d’autres sites
thevinz

thevinz

Posté(e)
  • Auteur
Posté(e)

Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques !

Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré !

On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver !

Mais si c'est en cours, tout va bien 😉

Lien à poster
Partager sur d’autres sites
  • Responsable Technique
Fred59_

Fred59_

Posté(e)
Cannes (06)
  • Responsable Technique
Posté(e)
Il y a 6 heures, thevinz a dit :

Effectivement, il est evident que le site ne doit pas être énormement cible par des attaques !

Merci néanmoins pour les informations concernant les différents sotckages des informations. J'avais peur que les mots de passe soient stockés en clair en base, me voila rassuré !

On m'a toujours appris que seul l'utilisateur qui le defini doit pouvoir connaitre son mot de passe et que les systèmes de connexion devaient utiliser les versions hachées de ces mot de passe et qu'en aucun cas, il ne devait y avoir une possibilité de pouvoir le retrouver !

Mais si c'est en cours, tout va bien 😉

 

Tout à fait, la meilleure méthode reste le hashage avec des algorithmes modernes et salt. Ce sera bientôt le cas sur Infoclimat.

 

Il y a 3 heures, Meteo-Corny a dit :

et par rapport a la rgdp?

 

Tu as déjà posé cette question il y a quelques mois et on t'avait déja répondu.

La RGPD ne fait que compléter les bonnes pratiques recommandées par la CNIL et autres depuis des années. Infoclimat n'est concerné que dans une faible mesure, puisqu'elle ne traite que très peu de données personnelles d'utilisateurs, et ne fait aucun commerce (pas de pub, pas de revente de quoi que ce soit). Et comme je l'ai dit plus haut, les bonnes pratiques sont respectées depuis longtemps, et bien mieux que ce que l'on voit ici et là sur de plus grosses plateformes. La seule pratique RGPD que l'on ne respecte pas bien encore, c'est mieux indiquer comment sont conservées les données personnelles, et comment elles sont utilisées ou échangées à des partenaires (c'est-à-dire, dans notre cas : pas du tout).

  • J'aime 3
  • Merci 1
Lien à poster
Partager sur d’autres sites
  • 3 years later...
sam72

sam72

Posté(e)
Le Mans
Posté(e)
Le 22/01/2019 à 22:56, thevinz a dit :

Bonjour

Aujourd'hui, ayant oublié mon mot de passe, j'ai fait une demande de réinitialisation de ce mot de passe.

 

Je suis dans la même situation, pour le site IC pour pouvoir voter (bien que j'y sois déjà connecté en permanence).
Mais je ne trouve aucune rubrique où demander de manière autonome la réinitialisation de mon mdp.
Où se trouve-t-elle ?
 

Lien à poster
Partager sur d’autres sites
Sebaas

Sebaas

Posté(e)
Montpellier (34), Montreuil (93) ou Ciran (37)
Posté(e)
il y a 10 minutes, sam72 a dit :

Où se trouve-t-elle ?

 

Il faut se déconnecter du site pour avoir la possibilité de le réinitialiser.

Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...