Perte de mot de passe
Lucrécius et Fernand ont souligné le besoin, pour des communautés assez larges, d'optimiser le traitement des mots de passe perdus.
A l'heure actuelle, lorsqu'un membre perd son mot de passe il doit se mettre en contact avec un associé (par exemple, par l'intermédiaire du formulaire de requête). L'associé qui prend en charge le problème doit visiter la fiche utilisateur concernée, changer le mot de passe, et signifier le nouveau mot de passe à l'utilisateur (téléphone, message électronique, etc...)
Ce processus peut vite devenir assez lourd pour de larges communautés avec des utilisateurs peu au fait des techniques web (exemple : étudiants universitaires
ou encore milieu associatif).
Une solution serait de conserver le mot de passe dans la base de données, et d'obliger chaque utilisateur à fournir une adresse e-mail valide.
A ce jour, pour des raisons évidentes de sécurité, YACS ne conserve pas le mot de passe en clair dans la base de données, mais seulement une clé de hachage dérivée du mot de passe (passage par moulinette MD5). En cas de de compromission de la base de données, des pirates ne sauraient accèder facilement aux mots de passe.
Ceci signifie que les deux seuls instants où YACS dispose des mots de passe en clair sont : lors de l'enregistrement d'un nouvel usager, et au moment du changement de mot de passe.
Je propose de rajouter lors de ces deux étapes l'envoi d'un message électronique par YACS à l'utilisateur incluant le mot de passe en clair.
Ainsi, ce message pourrait être retrouvé ultérieurement par un utilisateur au moment où il aurait besoin de se connecter au serveur.
En quelque sorte, l'idée n'est plus de compenser une perte de mot de passe, mais d'éviter la perte du dit mot de passe.
Que pensez-vous de cette idée, et des risques liés à l'envoi d'un mot de passe en clair par une messagerie électronique ?
Ce processus peut vite devenir assez lourd pour de larges communautés avec des utilisateurs peu au fait des techniques web (exemple : étudiants universitaires
ou encore milieu associatif). Une solution serait de conserver le mot de passe dans la base de données, et d'obliger chaque utilisateur à fournir une adresse e-mail valide.
A ce jour, pour des raisons évidentes de sécurité, YACS ne conserve pas le mot de passe en clair dans la base de données, mais seulement une clé de hachage dérivée du mot de passe (passage par moulinette MD5). En cas de de compromission de la base de données, des pirates ne sauraient accèder facilement aux mots de passe.
Ceci signifie que les deux seuls instants où YACS dispose des mots de passe en clair sont : lors de l'enregistrement d'un nouvel usager, et au moment du changement de mot de passe.
Je propose de rajouter lors de ces deux étapes l'envoi d'un message électronique par YACS à l'utilisateur incluant le mot de passe en clair.
Ainsi, ce message pourrait être retrouvé ultérieurement par un utilisateur au moment où il aurait besoin de se connecter au serveur.
En quelque sorte, l'idée n'est plus de compenser une perte de mot de passe, mais d'éviter la perte du dit mot de passe.
Que pensez-vous de cette idée, et des risques liés à l'envoi d'un mot de passe en clair par une messagerie électronique ?
Comments
Elrik on Mar. 2 2006C'est le système adopté par SPIP, et je ne vois pourquoi il y aurait plus de risque à le faire avec Yacs, sauf en cas d'associés où les permissions sont trop grandes, peut-être. Certes, ce n'est pas la panacée sécuritaire, mais un renvoi automatique par mail (avec éventuel changement) est appréciable.
J'en profite pour dériver ce problème :
Que faire lorsque c'est l'assossié qui perd son mot de passe ? (le problème m'est arrivé en local, lors d'un de mes multiples essais)
Bernard on Mar. 2 2006Elrik: S'il s'agit de l'associé défini lors de l'installation, pas question d'envoyer un e-mail, puisque les paramètres nécessaires ne sont pas positionnées à ce stade...
Pour les associés suivants, ils pourraient rentrer dans le moule décrit précédemment, et recevoir confirmation de leur e-mail lors de l'enregistrement.
Donc ma recommendation est : après installation, lorsque le courrier électronique fonctionne, créer un compte associé alternatif, et garder le message avec le mot de passe bien au chaud quelque part...
Paddy on Mar. 3 2006Anticiper la perte d'un mot de passe est intéressant et fera sûrement diminuer la demande. La sécurité bien sûr est à la charge du destinataire. S'il garde le mail, il prend le risque d'un regard indiscret...
Néamoins, mon observation de la nature humaine et mon expérience de l'informatique me font penser que certaines personnes effaceront ces mails sans réfléchir, que d'autres auront des crashs intempestifs et perdront leurs courriers parce qu'ils n'auront pas fait de backup et que parmis ces gens, il y en aura qui, en plus, auront le toupet de perdre leur password
Perso, j'ai déjà eu affaire à des sites commerciaux (http://www.dretschler.com) qui conservent le password et le renvoient à la demande sur le mail du client. Ca marche très bien et la réponse est très rapide.
En espérant faire avancer le schmilblick
Cordialement
Paddy
-----
Parti de rien, je ne suis arrivé à rien... mais tout seul !
Groucho Marx
Paddy on Mar. 3 2006Je reviens sur le sujet, je me suis trompé, c'est sur www.2xmoinscher.com qu'ils renvoient login et password.
Sur www.dretschler.com c'est différend, il m'ont créé et envoyé un nouveau mot de passe pour remplacer l'ancien. Je n'ai pas apprécié ce système, car à un moment je ne savais pas si ma demande avait été prise en compte, alors je l'ai renouvellée.
Du coup je me suis retrouvé avec 2 passwords, dont l'un n'a fonctionné que quelques minutes mais je n'étais pas sûr de savoir le reconnaître.
Et le premier qui me fait une réflexion sur ma gestion de mes passwords aura de mes nouvelles
Bon, moi c'est fini pour ce soir, je m'éclipse
A bientôt
Paddy
-----
Parti de rien, je ne suis arrivé à rien... mais tout seul !
Groucho Marx
Lucrecius on Mar. 4 2006Chers Elrik et Paddy,
Merci de complèter la préoccupation que nous avons évoqué avec Fernand, synthétisée par Bernard.
Humains nous sommes, et nous souhaitons rester ! J'ai vécu plusieurs fois l'aventure de Paddy, il faut reconnaître que c'est pénible. D'autant que cela permet insidieusement d'installer cette paranoïa permanente qui transpire des systemes d'information..
J'en resterai donc à ma devise sur ce sujet : simple et robuste
Simple, c.à.d. intuitif et dont le protocole est du niveau "école primaire" (sans sous-entendus négatifs) Robuste, c.à.d. résistant, pas fragile... je dis parfois "idiot-proof".Donc, je pense que la proposition de Bernard me semble la plus cohérente, vis à vis de l'utilisateur à qui on demande de prendre ses responsabilités. Cela n'empêche pas le mode actuel qui consiste à adresser une demande au Ouebmestre : "euh.. M'sieu le Maestro, j'ai perdu mon mot de passe...
et j'ai perdu le doc où je l'avais noté.... etc."En clair, une option "Mot de passe perdu ?" pourrai gentiment afficher :
"Pensez à regarder le courriel qui vous a été adressé lors de votre inscription.... si vous l'avez perdu (aussi) adressez une demande au ouebmestre".
Cela pose incidieusement le problème de la véracité de l'adresse courriel indiquée lors de l'inscription. Je répond ici, sur le meme registre de responsabilité, mais cela mérite l'ouverture d'un autre sujet : "Contrôle de l'adresse mail dans le formulaire d'inscription"
A suivre,
Yacsment vôtre,
Lucrecius
Bernard on Mar. 11 2006Bon, l'enregistrement qui envoie confirmation du mot de passe, c'es en test dès aujourd'hui.
Le nouvel utilisateur peut choisir de ne pas recevoir de confirmation s'il le souhaite...
!Rate this page
Posted by Bernard on Mar. 2 2006, (popular)
