Avez-vous déjà utilisé des phrases secrètes à la place des mots de passes ?

[supermeganono]

@supermeganono : Sécuriser contre les injections SQL O_O ? Si tu stockes ton mot de passe hashé en BDD il y a normalement aucun moyen de faire une injection avec. Tu les stockais donc en clair ?

A l'époque oui, dans mes premiers pas en php. Aujourd'hui plus, mais faut que je pense à retirer les conditions qui t'empêche de mettre ce que tu veux.
Mais chaque chose en son temps, je viens de me faire une minimap en découvrant canvas, l'inscription doit de toute façon être refaite, je le ferai à ce moment la.


Personnellement j'ai choisi le non réversible. L’adresse email n'étant pas obligatoire sur mes sites ( avec les sites qui propose une adresse mail de 24H, j'en vois de toute façon pas l’utilité ), si le gars ne l'as pas renseigné, il perdra simplement son compte et devra en recréer un. Si l'email à été renseignée dans la zone membre et est correcte, il reçois un nouveau mot de passe qu'il remplacera lui même dans la section membre une fois reconnecté.
Je trouve ça plus sûr que d'avoir une méthode réversible. Le membre peut bien perdre 10-15 sec à rechanger son mot de passe ensuite.

Le mieux serait encore que les gens apprennent à ne pas perdre leur mot de passe
Mais bon faut pas rêver non plus

[quentin01]

Le mieux serait encore que les gens apprennent à ne pas perdre leur mot de passe
Mais bon faut pas rêver non plus

Le jour où on aura tous une puce greffée dans le cerveau ce rêve se réalisera :p Par contre ton coup de l'email non obligatoire et qu'il doit recréer un compte si il perd son mot de passe dans ce cas là, je trouve ça un peu bête. Ca te fait pleins de comptes non utilisés au bout d'un moment.

En tous cas je suis aussi d'accord qu'il vaut mieux utiliser une méthode non-reversible quitte à mettre un système de récupération de mot de passe généré aléatoirement par mail.

[supermeganono]

Par contre ton coup de l'email non obligatoire et qu'il doit recréer un compte si il perd son mot de passe dans ce cas là, je trouve ça un peu bête. Ça te fait pleins de comptes non utilisés au bout d'un moment.

Je suis d'accord, mais je pars du principe que le gars qui mets son mail dans la zone membre, mettra un mail valide et correct. A l'enregistrement, on peut avoir tout et rien, alors je m'emmerde plus avec ça.
Car j'ai eu des tas d'adresses mails inutiles sur mon tout premier jeu. Ce qui ne les empêchez pas de venir pleurer pour récupérer leur mot de passe après avoir changer leur mail en un truc inutile

Et lors du débarquement de l'IPV6, si j'ai bien pigé le concept, notre machine aura une seul adresse d'identification. Ça sera plus facile pour vérifier le propriétaire du compte et lui donner l'accès non ?


Pour revenir au sujet, les phrases, j'ai testé une fois sur un site qui prenez la casse en compte Il m'as fallu 3 jours pour réussir à me reconnecter. Depuis j'ai abandonné ( et y'avais que 3 mots dans cette phrase hein )

[niahoo]

heu ne pas prendre la casse en compte, si tu parles du mot de passe, c'est pas une bonne idée non plus ...

[supermeganono]

Et pourtant j'ai bon nombre de mot de passe qui passait sur pas mal de site avec ou sans majuscule. Faudrait que je vérifie aujourd'hui voir si ça passe toujours tiens.

[Ter Rowan]

Et pourtant j'ai bon nombre de mot de passe qui passait sur pas mal de site avec ou sans majuscule. Faudrait que je vérifie aujourd'hui voir si ça passe toujours tiens.

pareil, déjà eu l'expérience avec le mot de passe insensible à la casse



sinon, je choisirais non réversible pour le mot de passe pour une raison "marketing"

si le mot de passe est réversible, c'est pour pouvoir le renvoyer à l'utilisateur.
Si on renvoie le mot de passe à l'utilisateur, celui ci pourra se dire que son mot de passe est stocké en clair (ce qui n'est pas complètement faux, il suffit de connaitre l'algo de réversibilité)
Si l'utilisateur pense que son mot de passe est stocké en clair, alors il se dira que le site est ... (cf premier post de Sephi)

[Damocorp]

Je pensais à ce sujet en voyant ma femme recevoir du jeu Fermiland un mail car elle ne s'était plus connecté. J'ai trouvé le mail bien réaliser et sympathique jusqu'à ce que je voit le login et mot de passe affiché en clair...

Finalement, j'trouve cela affolant niveau sécurité...
Surtout qu'à ce qu'il parait, bon nombre de personne utilise le même mot de passe partout.

Vous croyez qu'un admin qui tourne mal irai tester tout cela sur paypal et compagnie ? Ça laisse méditée hein ^^ ( et j'parle pas du piratage )

[archANJS]

Surtout qu'à ce qu'il parait, bon nombre de personne utilise le même mot de passe partout.

+1. Pour ma part, c'est presque ça; j'ai peut-être 4 ou 5 mots de passe différents, mais je prends toujours les mêmes (selon l'importance du site, la complexité augmente). Il n'y a que pour les trucs très sérieux (et je ne parle pas de mes comptes perso Google par exemple ) que j'utilise des mot de passes de 32 caractères alphanumériques...

Vous croyez qu'un admin qui tourne mal irai tester tout cela sur paypal et compagnie ? Ça laisse méditée hein ^^ ( et j'parle pas du piratage )

C'est vrai. Mais je crois que c'est de notre devoir à nous (en tant que développeur et/ou créateur/propriétaire des sites) de veiller à ce que ce soit impossible; question de prudence. Par exemple pour ma part, je crypte non seulement les mots de passe (qui ne le fait pas? en tout cas, ceux qui ne le font pas...), mais aussi :

-> les conversations par mp interne que je juge personnelles (j'ai deux messageries internes sur mon site; les "missives" in-game (ceux-là on s'en fout) et les messages sur le site (de la communauté; ceux-là je les juges personnels));
-> adresses résidentielles, pays, âge;
-> les numéros de cartes de crédit / de comptes paypal (même si je ne crois pas avoir un jour à recueillir ce genre d'informations, mais c'est un exemple);
-> etc.

Les mots de passes sont "hashés" (donc non réversible) et les autres données dites "sensibles" sont cryptés (de manière réversible donc, mais que pour ceux ayant accès au code et à la clé de cryptage... moi-même seulement donc). De cette manière, même si un administrateur corrompu arrivait un jour à accéder à la base de données (ce qui peut arriver puisqu'un jour j'envisage de déléguer cette tâche à une personne tierce), il ne pourra ni

-> trouver et lire des données personnelles;
-> utiliser des données de paiement...

Je crois que c'est une bonne manière (intègre) de faire les choses

[Racktor]

j'ai l'air bien bête moi avec mon encodage en md5 pour les mots de passe...

[archANJS]

j'ai l'air bien bête moi avec mon encodage en md5 pour les mots de passe...

Du tout! C'est déjà ça

Je me pousse moi-même à agir de la sorte parce que c'est comme je suis; cela n'est en aucun cas "obligatoire". Beaucoup d'ailleurs n'agissent pas comme ça..

Par exemple, les données comme le lieu de résidence, les heures de connexion, l'âge, les goûts, etc, qui ne sont pas nécessaires mais qui sont utiles (dans le cas d'études de clientèle / marketing), sont parfois (souvent?) utilisées à des fins douteuses (ou du moins, dont ce n'est pas l'objectif premier), voir même vendues. Cela n'a rien d'illégal, mais est-ce que c'est bien d'un point de vue éthique?

Chacun a sa façon de voir les choses ^^