Prendre un Café

1. Le mercredi 4 juin 2008, 13:30 par TheRec

Très juste. D'ailleurs une faille XSS serait difficilement envisageable car un champ de mot de passe ne devrait jamais être en clair ou chiffré de manière réversible et encore moins être affiché où que ce soit en toute logique (à l'exception éventuellement d'un courriel de confirmation... et encore c'est risqué car on n'est pas assuré de la fiabilité de la protection mise en œuvre pour accéder à ce courriel).

Ces simples "consignes" de sécurité écartent toute éventualité de faille XSS sur le mot de passe et également de révéler un mot de passe à une autre personne que son "propriétaire", après il est de la responsabilité de l'utilisateur de se souvenir de cette information. Elle appartient à l'utilisateur seul (elle n'a aucune utilité, bienveillante en tout cas, à d'autres utilisateurs), s'il veut un nouveau mot de passe il est aisé de le réinitialiser avec un simple moyen de vérification d'identité plus ou moins fiable (Courriel, SecurID, etc.).

2. Le mercredi 4 juin 2008, 13:46 par David, biologeek

Tiens j'avais jamais eu ça, en effet c'est totalement crétin. Et comme le précise TheRec, une faille XSS ne devrait pas être possible.

C'était quel service que je ne l'utilise pas ?

3. Le mercredi 4 juin 2008, 13:53 par NiKo

David> Il s'agit de TinEye : http://tineye.com/ (en beta privée pour le moment)

C'est d'autant plus dommage que le service est intéressant.

4. Le mercredi 4 juin 2008, 13:54 par Chty

Je ne peux qu'approuver ce billet tellement ca m'est arrive de nombreuses fois.

5. Le mercredi 4 juin 2008, 13:56 par giz404

J'avais pour coutume de mettre des espaces dans mes mots de passe, j'ai fini par laisser tomber tant ça m'a agacé.
Le pire étant sur un site marchand, où après m'être inscrit, je n'arrivais pas à me connecter.
J'avais alors contacté le service technique, qui m'avait renvoyé mon mot de passe par mail. Et là, stupeur, leur système remplaçait tout simplement un espace par la chaîne [_ESPACE_] sans prévenir...
Il va sans dire que je n'ai jamais remis les pieds sur le site.

6. Le mercredi 4 juin 2008, 14:26 par Nimwendil

Tiens, je me suis fait avoir aussi sur le même site... En tout cas, si je compare ce que tu dis avec ce que j'ai vu dans mon boulot, j'aurais bien une explication : la gestion des mots de passe est mal programmée, les gars savent pas échapper une chaîne de caractère correctement et ont peur que des caractères spéciaux viennent foutre le bronx... Au lieu de résoudre leur problème proprement, ils restreignent aux alphanums.
Tu me diras, une fonction de hash correcte s'en fout d'avoir un espace ou un ampersand... oui mais là ça suppose déjà qu'ils utilisent un hash et qu'ils stockent pas le mdp en clair en base. Ouais, j'ai vu ça dans mon boulot >_<

7. Le mercredi 4 juin 2008, 16:42 par burningHat

je plussoie, c'est totalement crétin mais tu sais quoi ? y a pire, y avait un site de mail gratuit qui n'autorisait que 4 à 8 CHIFFRES en guise de mot de passe... autant pas mettre de mot de passe quoi !

8. Le mercredi 4 juin 2008, 19:04 par LordPhoenix

De toute façon utiliser des mot de passes est idiot. C'est complètement obsolète. Il faudrait plutôt utiliser des solutions comme OpenID : http://www.openid.net

9. Le jeudi 5 juin 2008, 11:12 par Pierre

Je n'avais jamais pensé à utiliser un passphrase au lieu d'un password... c'est pourtant une idée très simple, mais j'ai tellement été conditionné avec des mots de passe de moins de 8 caractères, sans espace, etc. que j'utilise des mots de passe mélangeant chiffres et lettre, et basta.

À propos d'OpenID, je ne sais toujours pas sur quel critère choisir le fournisseur d'OpenID... Si j'en choisis un qui disparaît au bout d'un an, comment je fais ?

10. Le jeudi 5 juin 2008, 12:35 par NiKo

LordPhoenix> De toute façon à l'authentification, ton provider OpenID te demande... un mot de passe. La vie est une tartine de merde.

Pierre> La spec OpenID te permet de définir ton propre site comme gateway, ce qui te permet de changer de fournisseur quand tu le souhaites de façon totalement transparente. Regarde la source de la page d'accueil de ce blog, par exemple

11. Le jeudi 5 juin 2008, 12:36 par pixenjoy

Il existe des fournisseurs d'OpenId comme Yahoo qui à mon avis ne sont pas prêt de fermer.

Cependant si des sociétés comme Yahoo s'intéressent à la fourniture d'OpenId c'est pour mieux suivre tes habitudes de navigation sur la toile. Le saint Graal pour les sociétés de marketing et pleins de $$$ pour Yahoo et autres fournisseurs.

Le mieux est d'être sont propre fournisseur avec un outil type phpMyID : http://siege.org/projects/phpMyID/

12. Le jeudi 5 juin 2008, 15:49 par annso

je connais une BANQUE qui oblige a choisir un mot de passe de 6 à 8 chiffres... No comment!

13. Le jeudi 5 juin 2008, 22:04 par Régis

En effet, combien de fois ca m'est arrivé... Delicious, par exemple, a de telles limitations et lors de la création de mon compte, j'ai voulu leur jeter des pierres

14. Le vendredi 6 juin 2008, 19:00 par burningHat

@Régis jte comprends bien mais jeter des pierres à un site web, ça risque de péter ton écran à la longue (désolé je sors).

@LordPhénix En quoi l'utilisation d'OpenID te dispense d'avoir un mot de passe solide et rend celui-ci obsolète ? à part si ton fournisseur d'OpenID propose de vraies solutions d'authentifications fortes (authentification multifacteurs comme par exemple un certificat SSL + un token, etc.) faudra bien le protéger avec un bon vieux mot de passe ton compte... Et celui-là a intérêt à être du genre bien fort !!! Qui plus est, encore faudrait-il qu'OpenID soit au moins 80x plus répandu sur le net que ça ne l'est actuellement... Ça reste très marginal encore de nos jours.