Accueil » Astuces, FAQ

Mots de passe et sites Internet

25 février 2010 Pas de commentaires

Lorsque vous avez perdu votre mot de passe, votre boutique vous signale que le mot de passe est crypté et que nous ne pouvons pas le restituer. Un nouveau mot de passe est donc généré et envoyé par mail. Cette procédure pourtant anodine et répandue suscite cependant certaine questions. Je pense qu’il est donc nécesaire de sensibiliser un minimum les marchands à la sécurité.

Les mots de passe sont tous stockés en base de données avec les comptes utilisateurs. Il existe différents moyens de les stocker, en simplifiant en clair ou en crypté. Il existe une multitude de solutions de cryptage mais ce n’est pas l’intérêt de ce billet.

En stockant le mot de passe en clair, il reste accessible à l’administrateur du site et donc à un potentiel hacker. C’est vraiment  une très mauvaise solution. Pour ma part en tant que développeur, avoir des mots de passe en clair relève d’une lacune de conception. On sait que de nombreux clients utilisent les mêmes mot de passe partout (mail, réseau sociaux, banques, etc..). Si vous laisser cette donnée visible, imaginez les conséquences que cela peut avoir. C’est pour cela qu’un site qui est capable de vous montrer ou de vous renvoyer votre propre mot de passe même dans l’espace client doit vous alerter et ne doit pas être considéré comme sécurisé.

Voyons maintenant comment fonctionne un site qui crypte les mots de passe. Dans cette configuration, n’est stockée en base de données QUE la version cryptée du mot de passe. Et cette version cryptée ne permet pas de revenenir au mot de passe initial. Lors de l’identification, le mot de passe saisi par l’utilisateur est crypté avec la même fonction puis on vérifie que les 2 versions cryptées soient semblables. Si elles sont identiques alors c’est que le mot de passe était bien le même. Cette procédure ne permet donc pas de renvoyer le mot de passe du client. Pour cela on en génére un nouveau temporaire, qu’on envoie par mail au client. Il peut/doit ensuite modifier ce mot de passe temporaire. En cas de piratage de la base de données, les risques sont limités.

Ces caractéristiques sont valables pour l’intégralité des sites et ne se limitent pas aux sites e-commerce.

Laissez un commentaire

Ajoutez votre commentaire ci-dessous, ou créez un rétrolien depuis votre site. Vous pouvez également souscrire à ces commentaires par RSS.

Merci de vous conformer à la netetiquette.

Vous pouvez utiliser ces balises :
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>