Auteur Sujet: sécurité : envoi de mots de passe en clair par email ?!  (Lu 6957 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
sécurité : envoi de mots de passe en clair par email ?!
« le: 30 Janvier 2012 à 14:08:09 »
bonjour,

ça fait un moment que j'y pense (et puis j'oublie), donc voilà : serait-ce possible pour des raisons de sécurité de ne pas envoyer les mots de passe des comptes quels qu'ils soient par email ? Chacun sait que l'email n'est absolument pas sûr en terme de confidentialité de données.

Cordialement.

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #1 le: 02 Février 2012 à 17:43:36 »
J'en déduis que ça ne choque personne.

Hors ligne arthus

  • Débutant
  • *
  • Messages: 93
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #2 le: 25 Juillet 2012 à 14:09:46 »
Je pense comme vous c'est un véritable problème. Au moins une case à cocher dans le panel pour interdire ce type de mails d'autant plus qu'il ne sont pas crypté.  C'est une petite modification qui me parait indispensable.
Arthus

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #3 le: 25 Juillet 2012 à 14:41:29 »
Ouf, enfin. Bon, j'en déduis qu'il faut faire un ticket pour que cette demande soit au moins prise en compte ?

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #4 le: 28 Juillet 2012 à 09:26:34 »
Bonjour,

Nous sommes bien obligés d'envoyer un mail récapitulatif contenant les infos nécessaires a l'utilisation
du service.... Sans quoi, vu que 99% des clients ne se souviennent plus du mot de passe qu'ils ont choisi
5 minutes avant, nous nous retrouvons avec des dizaines de demandes tous les jours....

Vous n'êtes pas obligé de conserver le mail concerné si vous n'avez pas confiance dans votre boite mail...

Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #5 le: 29 Juillet 2012 à 11:33:53 »
Bonjour,

ça n'est pas une question de boîte mail, c'est une question de transit du mot de passe en clair sur les réseaux, et d'enregistrement en clair (non ?) dans vos bases de données.

Quant à l'argument des demandes de mot de passe oublié, beaucoup de sites le gèrent de manière automatique et sûre, je ne vois bien pas ce qui vous empêcherait de le mettre en place.

Hors ligne thibaud

  • Administrateur
  • VIP
  • *****
  • Messages: 3 908
    • http://www.phpnet.org/
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #6 le: 29 Juillet 2012 à 18:56:09 »
les mots de passe ne sont pas stockés en clair mais de manière cryptée...
Ils sont juste envoyés en clair au moment ou vous l'avez choisi.

si vous le perdez, il faut par la suite, soit le changer, soit utiliser la procédure de changement de mot
de passe, cf : http://www.phpnet.org/rp

et donc forcement le lien de confirmation de changement de password, il passe par mail !
Thibaud GRANGIER
Division Technique mutualise-dedie
PHPNET

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #7 le: 30 Juillet 2012 à 11:40:26 »
Ok, ça me va. Merci pour les précisions.  :mellow:

Hors ligne Franck-AWO

  • Débutant
  • *
  • Messages: 9
    • l'AtelierWeb.Org
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #8 le: 15 Février 2015 à 02:16:09 »
Bonjour,

Certes depuis que nos célèbres surveillants de masse lisent couramment le https et le ssh, on est plus à ça prêt de faire circuler les mots de passe en clair!

Ceci dit, mes clients n'ont rien de crucial à cacher et craindraient plutôt les surveillants de moindre envergure...

Après quelques recherches sur le forum et dans le panel je me demande si il y aurait eu des solutions mises en place depuis le: 30 Juillet 2012 pour éviter de faire circuler les passwords par email ?

Sinon, il existe pourtant des solutions car chez au moins deux autres hébergeurs que je pratique, après avoir changé les mots de passe (panel, ftp, db, mail, etc) via l'interface d'admin, ceux-ci ne sont jamais communiqués par email, ni autrement. L'url qui sert à réinitialiser un mot de passe n'est plus valide après le changement de mdp - ou après un certain délais.

Certes, pour retenir mes 12000 identifiants + mots de passe, je fais certainement partie des 1% de clients qui utilisent le gestionnaire de mots de passe de leur navigateur web ;-)

Alors je dis +1.

En effet, "Au moins une case à cocher dans le panel pour interdire ce type de mails" et autres notifications avec des mots de passe serait la bienvenue.

En attendant, voici une astuce pour changer les mots de passe des bases de données. Après avoir créé la base via le panel et reçu le mot de passe (par exemple AzErTyUiOp) par email, on peut utiliser cette démarche :

mon_pc$ ssh p5x5x@p5x5x.phpnet.org (se connecter à son compte phpnet en ssh)
www-data@p5x5x:~$ head /dev/urandom | tr -dc \!-\?-A-Z-a-z-0-9 | head -c20 (fabriquer un mot de passe "aléatoire et solide")
S"1N&K.rI+?DG6*!#:/R (attention certains CMS n'aiment pas les apostrophes ' et/ou le back quote ` dans les mots de passe, et certainement les commandes mysql non plus)
www-data@p5x5x:~$ mysql -h cl1-sql15 -u p5x5x_2 -p (se connecter à la base créée via le panel sur le serveur sql qui va bien)
Enter password: AzErTyUiOp (entrer le mot de passe reçu par email)
mysql> SET password FOR "p5x5x_2" = password('S"1N&K.rI+?DG6*!#:/R'); (changer le mot de passe de l'utilisateur pour l'accès à la base)
mysql> quit
Bye

Mais bon, c'est sûr que ça sert pas à grand chose si on s'est fait sniffer son mdp du panel ;)

Quoi qu'il en soit, merci phpnet pour le travail quotidien et bon courage pour la suite.
« Modifié: 09 Mars 2015 à 13:12:20 par Franck-AWO »

Hors ligne daitheflu

  • Débutant
  • *
  • Messages: 49
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #9 le: 23 Février 2015 à 18:13:15 »
J'ai eu moi aussi quelques surprises avec la politique de gestion des mots de passe de PHPNet. J'ai découvert ça après la mise à disposition du webmail RainLoop.

Sachez, par exemple, et d'après les échanges que j'ai eus avec le Support, que les mots de passe sont stockés chiffrés mais sont déchiffrables grâce à un outil maison de PHPNet : *facepalm*.

Si jamais, et à toute fin utile (ça intéressera sans doute les utilisateurs, les créateurs de sites webs, les développeurs, etc, etc...) : https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet

Hors ligne Sellig33

  • Connaisseur
  • ***
  • Messages: 262
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #10 le: 09 Mars 2015 à 11:57:59 »
Bonjour,

Une idée serait d'utiliser Openssl? (disponible sur les principaux os).

1 - choisir de recevoir ou pas son mot de passe,
2 - choisir de le recevoir en clair ou chiffrer(*),
3 - envoi du résultat en pièce jointe dans un mail.

(*) Choix de la clé et pourquoi pas du type d'algorithmes.

Gilles


Hors ligne Franck-AWO

  • Débutant
  • *
  • Messages: 9
    • l'AtelierWeb.Org
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #11 le: 29 Juin 2015 à 14:53:20 »
Bonjour,

Les créations de bdd et d'adresses email continuent de générer l'envoi d'emails de notification mais ils ne contiennent plus de mot de passe.
Tout comment les changements de mot passe pour bdd et email.
Bravo et merci l'équipe phpnet!

Par contre, le changement du mot de passe du panel continue de générer l'envoi d'un email de notification avec le nouveau mot de passe.
Peut-être que ce problème sera bientôt réglé aussi  :D ?
Encore un effort et certains de mes collègues n'auront plus d'excuse pour ouvrir un compte ;)

Bon courage.

Hors ligne Tomeko

  • Débutant
  • *
  • Messages: 77
Re : sécurité : envoi de mots de passe en clair par email ?!
« Réponse #12 le: 23 Novembre 2015 à 09:15:52 »
Pour info : La CNIL sanctionne le stockage de mot de passe en clair côté serveur.
-> http://www.zdnet.fr/actualites/donnees-personnelles-optical-center-sanctionne-par-la-cnil-39828236.htm