email confirmation d'inscription et envois de mot de passe en clair

[Holy]

Je peux te garantir qu'après 6 mois, tu iras plus vite en suivant le processus d'oubli de mot de passe que d'aller fouiller dans ta boîte mail.

Les deux solutions ne sont pas exclusives (je sais que tu le sais ).

Personnellement, j'envoie un mail d'activation du compte pour plusieurs raisons : vérifier que l'email est valide, freiner quelque peu la création de comptes à la volée en donnant un peu plus de valeur à l'entité "compte". A l'activation, j'envoie un mail avec les identifiants et je permets de réinitialiser le mot de passe si il est oublié via une procédure normalisée classique.

A partir de là, je trouve ça largement suffisant.

En ce qui concerne la dangerosité de l'impression en clair des données sensibles, je trouve qu'elle est extrêmement faible, si pas nulle. Un jeu n'est pas Facebook, des personnes qui essaient de hacker ou qui profitent d'un hack pour prendre un compte, à mon avis, il doit pas y en avoir beaucoup. Enfin, là n'est pas vraiment le débat.

[Wells]

Sauf quand, comme moi, tu as 6 mails actifs différents et que parfois tu t'inscrit avec un mail dédié à un site... bref

[niahoo]

Dans ce cas ton problème est de savoir avec quel mail tu t'es inscrit, pas d'avoir le mot de passe en clair.
Pour savoir avec quel compte tu t'es inscrit il te suffit de rechercher le mail de confirmation.

[Anthor]

Envoyer le mot de passe en clair sur des webmail non sécurisés est aussi *** que de stocker le mot de passe en clair sur ta base de données !

[php_addict]

Oui merci, j'ai revu mon point de vue sur ce sujet, j'ai demandé à un admin réseau ce qu'il en pensait, et il me répondit que c'était mal car en tant qu'admin réseau d'une entreprise il a accès aux emails des employés par exemple...Bien que le web dans les entreprises soit restreint, mieux vaut ne pas tenter le diable...

[Sephi-Chan]

Si tu veux vraiment envoyer quelque chose d'utilise dans l'email, tu peux rappeler l'identifiant du compte et un lien de connexion à usage unique.
Pour une application non-critique, ça me paraît bien, d'autant que c'est encore plus simple que rappeler le mot de passe de l'utilisateur : là, il a juste à cliquer !

Par contre, attention à bien demander l'ancien mot de passe quand on souhaite le changer en dehors de la démarche d'oubli de mot de passe.

[Wells]

Ce serait vrai si la majorité des sites web utilisait le mail comme identifiant. ce qui n'est clairement pas le cas aujourd'hui.

Après je suis pas dans la veine du "tous assisté"; Si les gens sont suffisamment con pour s'inscrire avec la boite de leur boulot, ou incapable de mettre a l’abri leur session windows c'est pas mon problème.

D'autant plus que si ça les dérange vraiment, ils ont dans la plupart des cas la possibilité le dit mail de leur boite.

[Sephi-Chan]

Mais au final, quel est l'intérêt d'envoyer le mot de passe en clair ?

[niahoo]

Ben l'envoyer en crypté c'est beaucoup moins facile pour l'utilisateur, ça me paraissait logique pourtant ...

[Sephi-Chan]

Abrutix le gaulois !