Si c'est un site qui draine beaucoup de visiteurs ou pour lequel la sécurité est importante effectivement c'est grave.

En revanche, ici sur PEBKAC on est censés être un peu plus au courant de ces problématiques que la moyenne des personnes qui va créer un site web, et on ne peut pas s'attendre à ce que tous les sites que l'on visite soient codés parfaitement. Il y a plein de sites faits main par des types qui veulent juste partager deux trois trucs. Le mieux que tu puisses faire dans ce cas est d'envoyer un e-mail au webmestre en lui expliquant que selon toi, ce problème des caractères refusés dans le mot de passe est symptomatique d'un site qui n'est pas tout à fait bien conçu ; en expliquant éventuellement pourquoi et en invitant le gars à me contacter s'il veut quelques conseils.

sinon tu fais un mot de passe long, un a 20 caractères pas forcément plus dur à retenir qu'un truc truffé de dièses et tildes et c'est tout aussi costaud

ouais, faut voir aussi ce que c'est comme site. T'as quoi comme système de sécurité sur ta porte d'entrée ? Si c'est une simple clé, les gens ne devraient pas rentrer chez toi.

Oui un du genre MoiJaimeBienLeNutella, ça marche très bien.

Pour les petits malins : Ce n'est pas mon mdp sur PEBKAC.fr ;)

Sur le site du CROUS on m'a limitée à 8 caractères pour le mdp, mais je peux pas vraiment faire le caprice de ne pas m'y inscrire :p

Je'ai pas le souvenir des détails, mais les limitations de mot de passe sur le site du Pôle Emploi sont déprimantes (comme tout le reste du site d'ailleurs).

Désolé si je me répète, mais je copierai ce lien dans mes messages jusqu'à ce que le monde entier l'ait visité.
http://xkcd.com/936/

Edit : Juste pour exemple Samael, l'un de mes mots de passe ne contient aucun caractère spécial, et a une entropie trois fois plus élevée que ";&d$A6=#ñ]/{ d'après zxcvbn. Du coup, j'ai beaucoup plus tendance à râler contre les sites qui limitent le nombre de caractères du password, et ils sont légion ! Expect them.

Ça par contre c'est vraiment chiant! Des mdp de 8 caractères non spéciaux c'est vraiment limite (si si j'avais trouvé un site comme ça).

OVH par exemple limite à 12 caractères. M'enfin il y a peut-être une raison derrière que je ne connais pas.

Il y a bien pire ! Tu connais l'histoire de la banque qui n'accepte que les passwords entre 6 et 8 caractères ?

Ma banque demande un mdp devant faire exactement 8 caractères, et seulement des chiffres...

Beeeen... j'ai envie de dire, quand une personne crée un site web dans lequel elle inclut un système d'authentification, on est en droit de s'attendre à ce que cette personne soit _un minimum_ au courant de ces problématiques.
Il me semble que de nos jours, l'idée qu'il vaut mieux faire des mots de passe (vraiment) longs et contenant lettres, chiffres et symboles est assez répandue.

Après, si c'est le site fait par tonton machin pour partager des photos souvenirs avec la famille uniquement, bon, on peut être plus clément...
Quoique.

Le souci avec toutes ces limitations, c'est qu'elles indiquent clairement que le mot de passe n'est pas hashé, ce qui est un souci de sécurité grave.

Si c'est pas hashé c'est de la viande de cheval c'est ça ?

Je suis entièrement d'accord avec Noraa. S'il y a restriction sur les caractères du mot de passe, c'est très grave.
Mais jamais plus grave que ce que j'ai pu voir une fois comme motif de refus: "Ce mot de passe est déjà utilisé".

@keiwop. Si c'est le code de ta carte, qui se trouve bloquée après trois tentatives infructueuses, ce n'est pas grave.

Comme tout le reste du service, non ?

J'ai vu pire...

« Ce couple pseudo/mot de passe est déjà utilisé ».

Si.

Sérieux ? Kill the developer !

Ce qui m'inquiète le plus avec les limites du nombre de caractères, c'est quand j'essaie d'en comprendre la raison, et que tout ce qui me vient à l'esprit est "restriction de la base de donnée/du système de stockage", du style champ varchar(9), impliquant qu'ils stockent le mot de passe en clair quelque part, au lieu de directement le hasher et oublier l'original.

S'ils stockaient le hash du mot de passe, il n'y aurait pas de raison d'en limiter la longueur, puisque un hash a une taille fixe dépendant de l'algo, indépendante la chaine d'entrée. Pour un de mes projets, j'ai un champ char(64) pour le hash, et aucune restriction sur les mots de passe, ça n'aurait aucun sens d'en mettre une.

Pas très rassurant, tout ça.

Mouarf, il va falloir que je change mon pass' pour le site machin.truc du coup. é_è
Pour la peine je vais aimer les fraises, aussi. <-:

C'est très bon la viande hachée de cheval. (-:

« Ce couple pseudo/mot de passe est déjà utilisé » signifie-t-il « Prenez ce compte, c'est gratos ! » ? >_<'