L'admin d'un forum voit-il les mots de passe?

Résolu/Fermé
Signaler
-
Messages postés
6746
Date d'inscription
jeudi 2 février 2006
Statut
Contributeur
Dernière intervention
31 juillet 2016
-
Bonjour,

Tout est dans le titre je voulais savoir si le créateur ou l'admin d'un forum peuvent voir et connaitre les mots depasses des inscrits chez eux. Pourquoi ?? Si on a un id et un mdp que l'on ne change jamais avec quelqu'un de malhonnete on se fait hacké tout ces comptes d'un coup

5 réponses

Messages postés
9018
Date d'inscription
dimanche 22 août 2010
Statut
Contributeur
Dernière intervention
23 octobre 2020
2 519
Oui c'est possible. Certains forums enregistrent le mot de passe en clair dans leur base de données au lieu d'utiliser un hash.

C'est pourquoi il est conseillé d'utiliser des mots de passe différents pour chaque site mais c'est difficile. Essaie au moins d'avoir un mot de passe pour chacun de ces groupes de sites :
- les sites critiques (banque)
- les sites avec infos persos (facebook)
- les sites sans infos persos
C'est le minimum.

De plus il ne faut pas utiliser des informations publiques pour les questions/réponses secrètes. Sinon n'importe qui peut récupérer ton compte.
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Messages postés
6650
Date d'inscription
mercredi 13 avril 2011
Statut
Membre
Dernière intervention
28 septembre 2015
1 315
Bonjour,

Même en MD5 c'est pas sûr. Un mot de passe simple sera cracké en force brute ou par dico qui contiendra des millions de combinaisons de mots de passe parmis les plus courants.

Voici une astuce, mais contraignante. regardez si le site accepte l'encodage UTF8. Si oui, tapez le mot de passe en cyrillique... Prenez google puis traduction et tapez dans la case russe -> français votre prénom. Google le traduit instantanément en caractères cyrilliques. Prenez ça comme mot de passe. Quasi indéchiffrable en force brute.

Donc, seule contrainte, gardez localement dans un fichier texte copie de ce mot de passe, car vous ne pourrez le taper directement au clavier...

A+
Messages postés
9018
Date d'inscription
dimanche 22 août 2010
Statut
Contributeur
Dernière intervention
23 octobre 2020
2 519
Effectivement, je n'ai pas parlé de la complexité du mot de passe. On peut écrire des pages entières à ce sujet.
Par contre, je ne suis pas vraiement convaincu par ta méthode des caractères cyrillique car certains logiciels ne les acceptent pas (codage unicode) et que bcp de pirates sont russes ;)
Messages postés
6650
Date d'inscription
mercredi 13 avril 2011
Statut
Membre
Dernière intervention
28 septembre 2015
1 315
alors mélangez caractères russes et arabes ;-)
Messages postés
6746
Date d'inscription
jeudi 2 février 2006
Statut
Contributeur
Dernière intervention
31 juillet 2016
1 603
dsy73 : c'est ce que j'appelle personnellement les mots de passe par cercles. Par contre, j'aurais une remarque : pour les sites critiques, il vaut mieux privilégier des mots de passe réellement uniques. Jamais je ne mettrais le même mot de passe à la consultation de mon compte bancaire en ligne et à un autre site, aussi critique soit-il.

On peut compléter cette méthode avec une sorte de "grain de sel", comme pour le hashage.

Prenons l'exemple d'un cercle "forums", où on aurait un mot de passe pour chaque forum où on est inscrit (CCM, Doctissimo, Developpez...). Imaginons que ce soit de passe soit :

@Forum2011*

Le principe de ce "grain de sel" est de rajouter à ce mot de passe, par exemple, la dernière lettre du nom du site, et la dernière lettre du TLD (.fr, .com, etc)... ce qui nous donne :

Commentcamarche.net : @Forum2011*et
Doctissimo.fr : @Forum2011*or
Developpez.net : @Forum2011*zt

Ca nous donne des mots de passe uniques, et retrouvables facilement tant qu'on a en tête quels caractères dans l'adresse sont utilisés pour ce "grain de sel". Ainsi, celui qui trouve le mot de passe de connexion à CCM ne pourra pas s'authentifier avec le même mot de passe sur les autres forums...
Messages postés
214
Date d'inscription
mardi 5 mai 2009
Statut
Membre
Dernière intervention
29 août 2014
42
dsy73 à raison, mais en ce moment même, ne me vient aucun nom de script qui stocke en clair un mot de passe... beaucoup sont stockés avec un cryptage (md5 par exemple).
Si quelqu'un connait un script qui stocke en clair, il peut être utile de dresser une liste ici... ;-)

Par compte un admin peut se loguer (suivant les scripts) sous ton nom, d'un clic.
Le script utilise alors un autre moyen de connexion que le couple 'login - password', ceci est généralement utilisé en cas de bug par ex, pour voir ce qui cloche.
Messages postés
9018
Date d'inscription
dimanche 22 août 2010
Statut
Contributeur
Dernière intervention
23 octobre 2020
2 519
Il existe pas mal de sites non sécurisés, il suffit de faire un test tout simple pour le vérifier :
-inscris-toi sur le site à tester
-demande un rappel de mot de passe par e-mail ("mot de passe oublié")
Si le mot de passe est envoyé en clair alors cela signifie que le mot de passe est mal stocké sur le site, au pire il est stocké en clair.
Un site sécurisé ne devrait pas être capable de décoder ton mot de passe.
Messages postés
18614
Date d'inscription
dimanche 17 février 2008
Statut
Contributeur
Dernière intervention
28 novembre 2021
4 336
Salut,

Certains forums codés « à la main » par des débutants/amateurs ne hashent pas les mots de passe. Mais les scripts connus tels que phpBB, fluxBB et autres le font.

@dsy73: Jette un coup d'oeil ici :
https://fr.wikipedia.org/wiki/Masque_jetable
http://www.siteduzero.com/tutoriel-3-158277-renvoyer-un-mot-de-passe-par-e-mail-la-methode-vernam.html
Messages postés
9018
Date d'inscription
dimanche 22 août 2010
Statut
Contributeur
Dernière intervention
23 octobre 2020
2 519
Merci, je ne connaissais pas cette méthode de Vernam mais le décryptage reste pour moi un non-sens du point de vue sécurité.

Citation provenant de tes sources :
Mettons les choses au point : ce tutoriel explique comment font certains sites pour renvoyer les mots de passe, mais il sert avant tout à montrer une application du cryptage Vernam, un outil de cryptage très puissant.
En cas d'oubli, il est préférable d'envoyer un mot de passe généré aléatoirement, valable pendant une courte durée (car des problèmes de sécurité indépendants de la méthode de cryptage entrent en jeu dans ce cas précis).
Messages postés
6746
Date d'inscription
jeudi 2 février 2006
Statut
Contributeur
Dernière intervention
31 juillet 2016
1 603
En cas d'oubli, il est préférable d'envoyer un mot de passe généré aléatoirement

Totalement d'accord. Sans parler de la faille de sécurité créée par l'utilisateur qui ne supprime pas ses mails... et qui se fait voler les mots de passe renvoyés quand quelqu'un accède à sa boîte mail.

ok merci
je ferais attention alors
Salut , Oui c'est vrai mais dans certain example : Blog4ever
non !
Mais attention certain admin malhonette vont changer ton e-mail sur ton compte ( il peuvent modifier le compte ) Et mettre le sien et recevoir le mail d'activation et ton mdp ! Donc regarde bien ou tu t'inscrit Cordialement

huh! ça fait peur tout ça...
Messages postés
6746
Date d'inscription
jeudi 2 février 2006
Statut
Contributeur
Dernière intervention
31 juillet 2016
1 603
Ca peut faire un peu peur oui, mais c'est la réalité technique : tous les responsables de sites ne sont pas forcément très bien intentionnés (sans parler des responsables bien intentionnés... qui se font voler des données). Mieux vaut prévenir que guérir :)