L'admin d'un forum voit-il les mots de passe?
Résolu
Profil bloqué
-
HostOfSeraphim Messages postés 6750 Date d'inscription Statut Contributeur Dernière intervention -
HostOfSeraphim Messages postés 6750 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Tout est dans le titre je voulais savoir si le créateur ou l'admin d'un forum peuvent voir et connaitre les mots depasses des inscrits chez eux. Pourquoi ?? Si on a un id et un mdp que l'on ne change jamais avec quelqu'un de malhonnete on se fait hacké tout ces comptes d'un coup
Tout est dans le titre je voulais savoir si le créateur ou l'admin d'un forum peuvent voir et connaitre les mots depasses des inscrits chez eux. Pourquoi ?? Si on a un id et un mdp que l'on ne change jamais avec quelqu'un de malhonnete on se fait hacké tout ces comptes d'un coup
A voir également:
- L'admin d'un forum voit-il les mots de passe?
- Trousseau mot de passe iphone - Guide
- Mot de passe - Guide
- Mot de passe administrateur - Guide
- Mot de passe bios perdu - Guide
- Livebox mot de passe admin - Guide
5 réponses
Oui c'est possible. Certains forums enregistrent le mot de passe en clair dans leur base de données au lieu d'utiliser un hash.
C'est pourquoi il est conseillé d'utiliser des mots de passe différents pour chaque site mais c'est difficile. Essaie au moins d'avoir un mot de passe pour chacun de ces groupes de sites :
- les sites critiques (banque)
- les sites avec infos persos (facebook)
- les sites sans infos persos
C'est le minimum.
De plus il ne faut pas utiliser des informations publiques pour les questions/réponses secrètes. Sinon n'importe qui peut récupérer ton compte.
C'est pourquoi il est conseillé d'utiliser des mots de passe différents pour chaque site mais c'est difficile. Essaie au moins d'avoir un mot de passe pour chacun de ces groupes de sites :
- les sites critiques (banque)
- les sites avec infos persos (facebook)
- les sites sans infos persos
C'est le minimum.
De plus il ne faut pas utiliser des informations publiques pour les questions/réponses secrètes. Sinon n'importe qui peut récupérer ton compte.
dsy73 à raison, mais en ce moment même, ne me vient aucun nom de script qui stocke en clair un mot de passe... beaucoup sont stockés avec un cryptage (md5 par exemple).
Si quelqu'un connait un script qui stocke en clair, il peut être utile de dresser une liste ici... ;-)
Par compte un admin peut se loguer (suivant les scripts) sous ton nom, d'un clic.
Le script utilise alors un autre moyen de connexion que le couple 'login - password', ceci est généralement utilisé en cas de bug par ex, pour voir ce qui cloche.
Si quelqu'un connait un script qui stocke en clair, il peut être utile de dresser une liste ici... ;-)
Par compte un admin peut se loguer (suivant les scripts) sous ton nom, d'un clic.
Le script utilise alors un autre moyen de connexion que le couple 'login - password', ceci est généralement utilisé en cas de bug par ex, pour voir ce qui cloche.
Il existe pas mal de sites non sécurisés, il suffit de faire un test tout simple pour le vérifier :
-inscris-toi sur le site à tester
-demande un rappel de mot de passe par e-mail ("mot de passe oublié")
Si le mot de passe est envoyé en clair alors cela signifie que le mot de passe est mal stocké sur le site, au pire il est stocké en clair.
Un site sécurisé ne devrait pas être capable de décoder ton mot de passe.
-inscris-toi sur le site à tester
-demande un rappel de mot de passe par e-mail ("mot de passe oublié")
Si le mot de passe est envoyé en clair alors cela signifie que le mot de passe est mal stocké sur le site, au pire il est stocké en clair.
Un site sécurisé ne devrait pas être capable de décoder ton mot de passe.
Salut,
Certains forums codés « à la main » par des débutants/amateurs ne hashent pas les mots de passe. Mais les scripts connus tels que phpBB, fluxBB et autres le font.
@dsy73: Jette un coup d'oeil ici :
https://fr.wikipedia.org/wiki/Masque_jetable
http://www.siteduzero.com/tutoriel-3-158277-renvoyer-un-mot-de-passe-par-e-mail-la-methode-vernam.html
Certains forums codés « à la main » par des débutants/amateurs ne hashent pas les mots de passe. Mais les scripts connus tels que phpBB, fluxBB et autres le font.
@dsy73: Jette un coup d'oeil ici :
https://fr.wikipedia.org/wiki/Masque_jetable
http://www.siteduzero.com/tutoriel-3-158277-renvoyer-un-mot-de-passe-par-e-mail-la-methode-vernam.html
Merci, je ne connaissais pas cette méthode de Vernam mais le décryptage reste pour moi un non-sens du point de vue sécurité.
Citation provenant de tes sources :
Mettons les choses au point : ce tutoriel explique comment font certains sites pour renvoyer les mots de passe, mais il sert avant tout à montrer une application du cryptage Vernam, un outil de cryptage très puissant.
En cas d'oubli, il est préférable d'envoyer un mot de passe généré aléatoirement, valable pendant une courte durée (car des problèmes de sécurité indépendants de la méthode de cryptage entrent en jeu dans ce cas précis).
Citation provenant de tes sources :
Mettons les choses au point : ce tutoriel explique comment font certains sites pour renvoyer les mots de passe, mais il sert avant tout à montrer une application du cryptage Vernam, un outil de cryptage très puissant.
En cas d'oubli, il est préférable d'envoyer un mot de passe généré aléatoirement, valable pendant une courte durée (car des problèmes de sécurité indépendants de la méthode de cryptage entrent en jeu dans ce cas précis).
Salut , Oui c'est vrai mais dans certain example : Blog4ever
non !
Mais attention certain admin malhonette vont changer ton e-mail sur ton compte ( il peuvent modifier le compte ) Et mettre le sien et recevoir le mail d'activation et ton mdp ! Donc regarde bien ou tu t'inscrit Cordialement
non !
Mais attention certain admin malhonette vont changer ton e-mail sur ton compte ( il peuvent modifier le compte ) Et mettre le sien et recevoir le mail d'activation et ton mdp ! Donc regarde bien ou tu t'inscrit Cordialement
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Même en MD5 c'est pas sûr. Un mot de passe simple sera cracké en force brute ou par dico qui contiendra des millions de combinaisons de mots de passe parmis les plus courants.
Voici une astuce, mais contraignante. regardez si le site accepte l'encodage UTF8. Si oui, tapez le mot de passe en cyrillique... Prenez google puis traduction et tapez dans la case russe -> français votre prénom. Google le traduit instantanément en caractères cyrilliques. Prenez ça comme mot de passe. Quasi indéchiffrable en force brute.
Donc, seule contrainte, gardez localement dans un fichier texte copie de ce mot de passe, car vous ne pourrez le taper directement au clavier...
A+
Par contre, je ne suis pas vraiement convaincu par ta méthode des caractères cyrillique car certains logiciels ne les acceptent pas (codage unicode) et que bcp de pirates sont russes ;)
On peut compléter cette méthode avec une sorte de "grain de sel", comme pour le hashage.
Prenons l'exemple d'un cercle "forums", où on aurait un mot de passe pour chaque forum où on est inscrit (CCM, Doctissimo, Developpez...). Imaginons que ce soit de passe soit :
@Forum2011*
Le principe de ce "grain de sel" est de rajouter à ce mot de passe, par exemple, la dernière lettre du nom du site, et la dernière lettre du TLD (.fr, .com, etc)... ce qui nous donne :
Commentcamarche.net : @Forum2011*et
Doctissimo.fr : @Forum2011*or
Developpez.net : @Forum2011*zt
Ca nous donne des mots de passe uniques, et retrouvables facilement tant qu'on a en tête quels caractères dans l'adresse sont utilisés pour ce "grain de sel". Ainsi, celui qui trouve le mot de passe de connexion à CCM ne pourra pas s'authentifier avec le même mot de passe sur les autres forums...