Journal mot de passe, les sites libristes à la traine.

Posté par . Licence CC by-sa
Tags : aucun
16
25
nov.
2013

Bon, comme beaucoup(1), j'ai utilisé un mot de passe universel pour les comptes "secondaires". Oui, c'est pas bien, mais il faut avouer que c'est bien pratique. Mais ça me chagrinait. Les probabilités qu'un de ces sites (plus de 300 en 15 ans de surf) ait été un jour compromis et que mon couple email/password se balade dans la nature m'est insupportable.

J'ai donc commencé le long et fastidieux parcours pour aller changer ce mot de passe, ou mieux, détruire le compte quand cela est possible. (à hauteur d'une dizaine par jour, parce que c'est bien chiant)

J'ai déjà fait 50% du boulot, et une conclusion s'impose.

  • Peu de sites libristes purgent les comptes inactifs.
  • Rare sont les sites libristes qui proposent un formulaire de destruction de compte.

Les sites "commerciaux" sont bien plus rigoureux sur ces points

Donc, à l'occasion d'une mise à jour, pensez à donner à vos utilisateurs les possibilités de suppression de compte, et de purge automatique.

Merci de votre attention

(1) pas içi, bien sur. içi, on a la crème du hacking international

  • # Pour LinuxFr.org

    Posté par (page perso) . Évalué à 10.

    Pour LinuxFr.org, voir Fermer son compte dans l'aide.

    Je dirais qu'ici on a plus de demandes pour récupérer des comptes inactifs depuis longtemps dont les gens ont perdu mot de passe et/ou adresse de courriel que de demandes de fermeture/purge de compte. À voir si on peut améliorer les choses avec l'empreinte GPG dans le profil pour faciliter la récupération d'un compte.

    Mais bref on permet la fermeture du compte par l'utilisateur, mais pas la purge de compte directement par l'utilisateur.

  • # purge automatique

    Posté par (page perso) . Évalué à 10.

    Peu de sites libristes purgent les comptes inactifs.

    Peu de sites en général purgent les comptes inactifs, ou on n'a pas les mêmes sites.

    Donc, à l'occasion d'une mise à jour, pensez à donner à vos utilisateurs les possibilités (…) de purge automatique.

    Je vois pas trop le rapport avec les utilisateurs pour la purge automatique.
    Et autant je comprend l'interêt pour l'utilisateur de la suppresion de compte (geste actif), autant faire chier l'utilisateur à purger son compte parce qu'il est pas venu après x temps (punition pour inactivité), c'est lourd (oui ça m'arrive de revenir sur des sites après de années et je suis content de ne pas à avoir perdu mon login et devoir me retaper l'inscription, et oui ça me gonfle les rares sites qui me font chier à coup de mail "si vous voulez garder le compte allez sur notre site"). Pensez à ne pas implémenter cette fonctionnalité : c'est une mauvaise réponse à un besoin pas très précis (un truc sur les mots de passe mais quoi en fait?). A la limite tu aurais parlé de supprimer le mot de passe au bout de x temps (donc renvoyer un lien de confirmation sur l'email de la personne pour réactiver rapidos)…

    • [^] # Re: purge automatique

      Posté par . Évalué à -5.

      Des tous petits sites comme mappy ou viamichelin par exemple désactivent les comptes non utilisés.

      Et la désactivation des comptes n'a rien à voir avec une punition, mais permet d'éviter l'usurpation d'identité en se faisant chopper un compte/mdp sur un site obscure qui a été visité il y a des années.

      Et ca fait parti de relation de confiance entre un site et ses utilisateurs.

      • [^] # Re: purge automatique

        Posté par (page perso) . Évalué à 4. Dernière modification le 26/11/13 à 10:23.

        Et la désactivation des comptes n'a rien à voir avec une punition,

        Désolé, mais si : pas d'activité --> dégage, c'est une punition pour cause d'inactivité.

        mais permet d'éviter l'usurpation d'identité en se faisant chopper un compte/mdp sur un site obscure qui a été visité il y a des années.

        Je t'invite à lire le commentaire auquel tu réponds, ce que manifestement tu n'as pas fait.

        Et ca fait parti de relation de confiance entre un site et ses utilisateurs.

        La désactivation est clairement rompre la confiance entre un site et ses utilisateurs. Le site qui fait ça ne me verra vraiment plus jamais (pour mappy et viamihelin, c'est le cas :) mais j'avoue ne m'être jamais inscris sur ces sites)
        tu as une vison de la relation de confiance qui n'est pas vraiment la mienne sans doute.
        Mais j'avoue ne pas savoir de quelle relation toi tu parles (le problème du mot de passe est un faux problème, voir mon premier commentaire)

        Si au moins tu en parlais pour ce qui est utile pour le site (en pratique, ceux qui le font le font souvent pour récupérer le login, genre les sites qui font fournisseur d'adresse email et qu'il y a plein de ckiller qui voudraient ce login, ou pour alléger leur base de données et leurs backups)

        • [^] # Re: purge automatique

          Posté par (page perso) . Évalué à 8. Dernière modification le 26/11/13 à 11:12.

          Désolé, mais si : pas d'activité --> dégage, c'est une punition pour cause d'inactivité.

          Note qu'il y a aussi le cas des décès à prendre en compte (ça arrive (trop) vite dès que tu gères un minimum d'utilisateurs…). Dans la plupart des cas, personne ne viendra jamais demander la fermeture du compte ni un changement de mot de passe ni rien sur le compte d'un(e) décédé(e). Du coup il pourrait être utilisé par quelqu'un pour usurper une identité ou juste pour récupérer un mot de passe utilisable ailleurs car le/la décédé(e) aurait comme beaucoup de monde le même mot de passe partout.

          Côté usurpation, on peut aussi envisager de récupérer les vieux domaines d'adresses de courriel et de demander des renvois de mot de passe sur les vieux comptes.

          Bref l'inactivité peut être utile comme indicateur de fermeture de compte (je dis bien fermeture de compte, pas purge de compte, il peut aussi être utile de les rouvrir si l'utilisateur le demandait).

          Le mot de passe pourrait être écrasé lors de la fermeture, mais il ne reste que l'adresse de courriel comme élément d'identification ensuite. D'où l'entrée de suivi sur la clé GPG dans le profil qui pourrait être utile (pour ceux qui l'utilisent…).

          • [^] # Re: purge automatique

            Posté par (page perso) . Évalué à 5.

            Ce qui me gène dans la "purge" c'est de décider pour un autre (vivant).
            Après, clair qu'il y a des cas à gérer comme les décès, mais la purge n'est pas la solution.

            Une désactivation de compte (par exemple supprimer le mot de passe et indiquer sur le site "compte désactivé pour inactivité") ne me poserait aucun problème de principe.

            Facebook a un truc pour gérer les décès (ils en ont), mais je n'ai pas regardé plus que ça l'idée, ça pourrait être interessant (car il faut gérer le fait que les héritiés ne connaissnent pas le mot de passe ni du compte ni du mail attaché) surtout sur qui peut décider de virer des données (par exemple, sur Facebook, un héritier aurait-il le droit de supprimer le compte alors que le décédé aurait voulu garder tout pour la postérité?).

            La mort, sujet complexe!

          • [^] # Re: purge automatique

            Posté par . Évalué à 2.

            Dans mon journal (et dans mon esprit), purge ne signifiait pas destruction et anonymisation des comptes (à la linuxfr) mais bien désactiver un compte, et "oublier" le mot de passe pour éviter qu'il soit récupérer.

            A la relecture, ce n'était pas très clair. Désolé

      • [^] # Re: purge automatique

        Posté par . Évalué à 8.

        > Et la désactivation des comptes n'a rien à voir avec une punition, mais permet d'éviter l'usurpation d'identité en se faisant chopper un compte/mdp sur un site obscure qui a été visité il y a des années.
        

        Désactiver un compte ne permet-il pas, au contraire, de créer un nouveau compte au même nom que l'ancien, ce qui faciliterai l'usurpation d'identité?

        • [^] # Re: purge automatique

          Posté par . Évalué à 0.

          C'est une protection à mettre en place.

          Ce qui est à mon sens important, c'est que le mot de passe doit être oublié. Justement parce que ce mot de passe est en général utilisé plusieurs fois.

          • [^] # Re: purge automatique

            Posté par (page perso) . Évalué à 3. Dernière modification le 26/11/13 à 11:11.

            c'est que le mot de passe doit être oublié.

            Comment passes-tu de "c'est que le mot de passe doit être oublié" --> "il faut purger un compte"?
            J'ai du mal à suivre ta logique cause --> conséquence, ou problème --> solution.
            Tu serais médecin, tu dirais sans doute "la, il y a une plaie ouverte sur le doigt, désolé il faut emputer la main pour éviter que l'infection se propage".

    • [^] # Re: purge automatique

      Posté par . Évalué à 3.

      À l'origine, c'était pas pour gagner de réduire la taille de la base de donnée et donc réduire l'espace disque et augmenter ses performances ?

      À une époque, quand on avait peu de budget, ça pouvait être pas mal. Aujourd'hui ? Je ne sais pas.

  • # La crème

    Posté par . Évalué à 6.

    pas içi, bien sur. içi, on a la crème du hacking international

    Et de l’orthographe ;).

  • # ???

    Posté par . Évalué à 2.

    j'ai utilisé un mot de passe universel pour les comptes "secondaires". Oui, c'est pas bien, mais il faut avouer que c'est bien pratique

    Pourquoi? Personnellement qu'on usurpe mon identité sur fanfiction, ici, ou ailleurs, j'en ai rien a carrer. La personne peut en plus le faire simultanément sur tous à la fois, et alors? De toutes façons suffit qu'elle usurpe le mail principal et c'est plié.

    Bon j'ai changé mes habitudes pour avoir un mot de passe différent en fonction du site, mais la formule peut se déduire assez facilement; toujours est il qu'il y a un (en fait 3 répartis, mais l'idée est la même) point de faiblesse, c'est le mail rattaché au compte qui lui a un système différent, mais si quelqu'un récupère l'un de mes 3 comptes mails, il peut aisément chopper tous les comptes qui lui sont associé via "j'ai oublié mon mot de passe"

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # Pouet

    Posté par (page perso) . Évalué à 5.

    Le fait d'utiliser un même couple email/pseudo+password sur plusieurs sites, même peu importants peut être préjudiciable.

    Vie perso : un jour un forum phpBB bidon sur lequel je m'étais inscrit s'est fait hacker. Le script kiddie a fait des recherches sur mon pseudo et a posté du spam en mon nom sur des dizaines d'autres forums phpBB, y compris certains qui n'avaient pas de faille car j'utilisais le même couple.

    Alors oui il ne pouvait pas s'introduire sur des sites importants, n'empêche que ça m'a bien fait chier.

    Alors quand j'entends des gens à l'aise techniquement dire : "moi j'utilise 3/4 couples de mots de passe différents dont 1 que j'utilise sur tous les sites bidons, mais je crains rien c'est des sites bidons", ça me fait bien rire…

    Résultat : j'utilise un générateur/mémoriseur de mot de passe qui comprend aussi un module de recherche de doublons et je fais en sorte d'avoir un couple différent sur chaque site, même les sites bidons, on ne sait jamais.

    • [^] # Re: Pouet

      Posté par . Évalué à 3.

      Mes pseudos sont différents sur chacun des sites que je fréquente, c'est le mot de passe qui est commun ;)

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Pouet

        Posté par . Évalué à 1.

        si l'adresse mail est la même, c'est identique :)

  • # gPass

    Posté par (page perso) . Évalué à 6.

    Un peu de pub, mais pour ceux qui utilisent Firefox, gPass répond à cette problématique, c'est d'ailleurs pour ça qu'il a été crée. Il est actuellement en cours de validation par les équipes de Mozilla pour rejoindre la page des addons.

    gPass intègre un générateur aléatoire de mots de passe et, pour maximiser la sécurité, on peut utiliser plusieurs clés maîtres.

    • [^] # Re: gPass

      Posté par (page perso) . Évalué à 2.

      Il y a pwdhash aussi.

      https://pwdhash.com

      L'extension pour Firefox :
      https://addons.mozilla.org/fr/firefox/addon/pwdhash/

      • [^] # Re: gPass

        Posté par (page perso) . Évalué à 2.

        Je me suis inspiré de cette extension (pour l'astuce du @@).

        L'avantage est que les mots de passes ne sont stockés nulle part (ni en clair, ni chiffrés), du coup il n'est pas nécessaire de posséder un serveur actif (on peut même les re générer sur leur site, si on n'a pas l'extension installé). Il inclut aussi des contre mesures pour le vol du mot de passe par du javascript vérolé.

        L'inconvénient, c'est que l'on ne peut pas décider du mot de passe final (la taille est n+1 par rapport au mot de passe initial). Autre inconvénient : le résultat est encodé en base64, donc pas de caractères spéciaux. L'algorithme utilisé est du hmac_md5.

  • # Un mot de passe par site.

    Posté par . Évalué à 4.

    Personnellement, j’utilise un mot de passe par site. Le principe est simple, prenons linuxfr.org, La première lettre est ’l’, la dernière ’r’ et le premier domaine org je retiens le ’o’.
    À partir de là, je regarde mon clavier et le fait un carré en commençant horizontalement puis vers le bas, dans le sens trigonométrique pour le premier et le dernier, et dans le sens horaire pour le second. Ça donne :
    ’lk;:rtgfoikl’. Je trouve la sécurité suffisante pour tous les sites.

    Pour ceux qui voudraient essayer, se n’est pas des carrés, ni ces lettres que j’utilise, mais c’est le principe.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.