email confirmation d'inscription et envois de mot de passe en clair

[php_addict]

Bonjour

lors de l'envoi d’émail de confirmation d'inscription ayant pour but de valider l'inscription, je voudrais revenir sur un point qui me semble t il n'a pas été entièrement soulevé:

Bien que nous ayons l'obligation de crypter les mots de passe des utilisateurs (et c'est normal), y a t il un inconvénient à envoyer le couple login/pass en clair au moment même de l'envoi de l’émail de confirmation malgré le fait que le mot de passe soit crypté (md5 + salt ou autre...) et stocké comme tel en base de donnée?

A priori je n'y vois aucun inconvénient à stocker le mot de passe en crypté mais de l'envoyer tout de même en clair par email lors de sa saisie dans le formulaire d'inscription.

peut cela pose t il soucis en cas d'utilisation d'adresse email jetables (prisées par les geek de mmorpg) ou de piratage de boite (hot)mail

Qu'en pensez-vous?

[Viciousity]

Petite recherche sur le sujet, il a déjà été traité longuement

[Sephi-Chan]

La première question qui me vient à l'esprit : pourquoi faire ?

[php_addict]

La première question qui me vient à l'esprit : pourquoi faire ?

tout simplement car il y a pas mal d'internaute qui ne son pas à l'aise avec le web en général, certain même te répondent "j'ai windows 7" quand tu leur demande quel navigateur isl ont sur leur pc :cogne:

[Sephi-Chan]

Raison de plus pour ne pas leur envoyer leur mot de passe en clair : ce sont probablement des gens qui ont toujours le même mot de passe (faible) partout et il vaut mieux éviter que n'importe qui puisse le lire en passant derrière eux.

Si l'utilisateur perd son mot de passe, il peut en réclamer un nouveau via l'habituel lien d'oubli.

De plus, l'email n'est pas un passage obligé. Heureusement que tous les sites auxquels je m'inscrit ne m'emmerdent pas à m'envoyer des emails pour me dire que je me suis inscrit et avec quel mot de passe (merci de m'en informer, mais j'arrive à me souvenir de ce que j'ai fais ces 30 dernières secondes).

Enfin, la plupart des bonnes procédures d'inscription te connecte dans la foulée donc le jour où tu oublis ton mot de passe, tu as plus vite fait de le restaurer par le fameux lien que de chercher dans ta boîte mail si ce site t'a un jour envoyé ton mot de passe.

Voilà pourquoi l'envoi de mot de passe est une mauvaise pratique : potentiellement dangereuse et — surtout — inutile.
Pour améliorer l'expérience utilisateur, on vire l'inutile.

[php_addict]

Enfin, la plupart des bonnes procédures d'inscription te connecte dans la foulée

ah ok, je n'avais absolument jamais pensé à ca, et je ne me souviens pas de site sur lequel ce systeme est en place...pas con...

[djidi]

Bah pas mal de site le font. Par contre si tu as une inscription avec confirmation par mail ce n'est pas possible (et si du coup tu es dans ce cas de figure et que tu tiens vraiment à envoyer l'identifiant/mdp tu peux toujours le joindre au mail de validation).

[niahoo]

Ya pas mal de sites aussi qui te connectent directement mais qui t'envoient un mail avec un lien de validation également. Tant que tu n'as pas validé ton mail certaines fonctionnalités sont limitées mais tu peux te connecter.

ça permet donc à l'utilisateur de continuer sur sa lancée au lieu de devoir aller dans ses mails (c'est galère pour certaines personnes mine de rien) tout en t'assurant de pouvoir joindre tes joueurs par email.

[Wells]

Le mail avec le mot de passe est très utiles........6 mois après pour se rappeler son pass et..... son login sans lequel le lien de rappel de pass sert à rien (vécu à de très nombreuses reprises)

[Sephi-Chan]

D'où l'intérêt d'utiliser l'email comme identifiant.
Ça simplifie tout de demander les bonnes informations.

Je vous suggère de lire des articles sur l'expérience utilisateur, ça vous aidera à améliorer vos systèmes.

Je peux te garantir qu'après 6 mois, tu iras plus vite en suivant le processus d'oubli de mot de passe que d'aller fouiller dans ta boîte mail.