Moi je veux mon pin's : Le codeur ne voulait pas se faire chier.

On peut se connecter avec un clavier querty sans soucis :-)

Chaque semaine, retrouvez sur PEBKAC.fr un nouveau site qui n'a pas une politique des mots de passe digne de la NSA.

On a déjà les #8503, #8449, et j'ai pas cherché plus loin. Il faudrait un peu innover...

Je prends le pin's et je donne l'explication : c'est pour facilement craquer les sommes MD5 dans la base.
Nan, je déconne ! Ils sont pas protégés les MdP.
(Déconnez pas, j'en sais rien.)

Je pense qu'Aaargh!!! est proche de l'explication. De plus, ça permet à n'importe quel abruti d'entrer son identifiant et mot de passe sans chercher une touche qu'il n'a pas l'habitude d'utiliser.

Le coup du codeur fainéant n'est pas à écarter non plus. Sur toutes les offres reçues pour coder le site, ils ont certainement retenue la moins chère.

Ca m'étonnerait grandement que cette décision provienne d'un développeur, on parle pas d'un petit site là :)

Je suppose en fait qu'ils ont été confronté à un grand nombre de personne qui ne se souvenait plus de leur mot de passe => au lieu de cliquer sur mot de passe oublié, ils appelaient pole emploi.

Ensuite, identifiant + mot de passe de 8 à 12 caractères chacun, sachant que les identifiants ont l'air secret, ça fait du 16 lettres minimum à deviner pour se connecter.

C'est quoi l'intérêt de pirater un compte chez Paul Emploi ?

A priori tu viens seulement de t'inscrire donc tu n'as pas vu la suite.

Quand ton dossier de demandeur d'emploi est accepté, l'identifiant que tu as créé est supprimé et tu as à la place : un identifiant composé de 7 chiffres suivi d'1 lettre, un mot de passe de 6 chiffres que tu ne peux pas changer et pour "sécuriser" il faut aussi donner ton code postal.

Enjoy!

L'usurpation d'identité?

C'était une blague hein ? Je suis moi-même développeur et il est clair que ce genre de décision provient en direct de la MOA ;)

Ce qui m'emmerde à chaque fois ce n'est pas uniquement la sécurité dégradée, mais aussi le fait que leur solution soit plus complexe que celle de simplement hasher le mot de passe en laissant l'utilisateur entrer ce qu'il lui chante.

entièrement d'accords, quand j'ai eu à coder un formulaire d'enregistrement, jai limité à l'alphanumérique pour le nom d'utilisateur/identifiant mais pour le mot de passe vu qu'il est hashé après je laisse l'utilisateur taper ce qu'il veut

Exactement : les identifiants doivent se limiter à l'ASCII standard pour être utilisables en toute circonstances. Interdire les espaces, ce n'est pas stupide non plus : ça permet d'éviter d'en glisser un à la fin par accident sans le voir.
CTLP : à part le « 12 caractères maximum », c'est justifié.

Nan mais qui voudrait s'appeler Paul Emploi, sérieusement ?

MOA?

On dit Product nous :)

Mais il n'en reste que c'est une solution vraiment sécurisé à mon sens. Combien d'entre nous ont un mot de passe facebook de moins de 16 caractères alors que notre identifiant est connu? :)

ps: j'ai posté sous Rou

Oui c'est vrai !
Encore autre chose : j'avais déjà posté le PEBKAC lorsque j'ai vu ça, mais la question secrète est à choisir entre quatre données trop faciles à obtenir avec de l'ingénierie sociale. Quelqu'un avait suggéré de faire une réponse bidon pour les questions secrètes, pour ma part la question ne se pose plus, c'est adopté.

Lors de l'actualisation mensuelle, si tu dis ne plus chercher de travail, tu es automatiquement désinscrit. Du coup tu ne touche pas d'indemnités et tout. Tu peux mettre quelqu'un dans une merde noire si tu accèdes a son espace perso chez Paulo.

Sur le site de l'Assurance Maladie, le mot de passe contraint à 6 chiffres (ni plus ni moins). Un des sites de la BNP a également cette politique. Au final, je trouve la politique exposée dans ce PEBKAC relativement sécurisée =)

Le fait de changer l'identifiant est censé rendre plus compliqué le piratage de compte ? Le problème du coup, c'est que avec un identifiant et un mot de passé abscons et aléatoire, tu es quasiment obligé de les noter. D'ailleurs, ton identifiant est noté sur ta carte de chercheur d'emploi... Au temps pour la sécurité mais également pour la facilité d'utilisation.

Je n'ai pas de mot de passe facebook de moins de 16 caractères... Qu'est-ce que j'ai gagné ?

Par contre, bon courage pour trouver l'identifiant, je n'en ai pas !

Moui mais nan. &"'|*% par exemple sont aussi sur les claviers qwerty.

Mais c'est débile quand même!
Il faut laisser le choix à l'utilisateur! Et donc ceux qui veulent mettre une passphrase ne peuvent pas, ceux qui veulent mettre un caractère spécial non plus.

Une fonction mot de passe oublié ne oit pas être si compliqué non plus!

Moi, j'ai reçu mes identifiants et mot de passe par mail ET par courrier, de plus mon identifiant m'est rappelé régulièrement sur la plupart des documents -__-

L'interdiction des espaces évite les erreurs utilisateurs suite à un espace en début/fin ou un double espace.
La limite à 12 caractères permet de ne pas prendre trop de place dans la base de donnée.
L'interdiction des accents et caractères spéciaux permet d'éviter les erreurs de codages de caractères et empêche l'injection SQL.

Comment veut-tu écrire les mdp en clair dans la base sinon?
Je ne voit pas d'autre explication.

PS: Je fait dont de mon futur pin's au Poney.

/mâchonne le pin's tendu par Shirluban

Non, mais je déconnais en disant cela... rien ne justifie de limiter autant la sécurité d'un mot de passe. Surtout quand l'usurpation d'identité n'est pas loin.

@Moot : Et il font partie de l'ASCII standard… https://en.wikipedia.org/wiki/Ascii#ASCII_printable_characters
En principe, quand on dit « caractère spécial », on ne parle pas de la ponctuation de base mais des trucs du genre ¿™–①⇗ etc.

Facile, ils ont eu des soucis au niveau de l'encodage des caractères quand ils ont développé l'appli. Et pour pas s'emmerder, ils ont gardé uniquement les caractères de bases qui ne posent pas soucis !

Comment l'interdiction des espaces dans le mot de passe de base peut-il empêcher la saisie foireuse d'un mdp par la suite ?
Ne pas prendre trop de place en BDD, quelques octets de plus ou de moins ? On est quoi, en 1995 ?
Il y a des méthodes autrement plus intelligentes pour empêcher les injections SQL, quant aux erreurs de codage, UTF-8 pour tout le monde !

Pin's non validé, le Poney mâchonne un pointeur vide (faut pas jouer avec les allocs dynamiques).

@MrNumer0 :
Quand tu reçois un appel, c'est par phone ET par téléphone?

1) Un message d'erreur "Votre mdp ne peut pas contenir d'espace." est beaucoup plus parlant que "Mdp invalide".
2) " On est quoi, en 1995 ?"
Nous non, mais il ne serait pas surprenant que leurs règles de gestion et leur BDD y soient toujours.
Et avec un champ de taille fixe, "quelques octets" x tous les inscrits depuis la création de la BDD représente quand-même une quantité non négligeable.
3) "UTF-8 pour tout le monde"
Il y a seulement 2 ou 3 ans j'ai vu un collègue coder une fonction de conversion EBCDIC -> UTF-8 en COBOL, ne prenant pas en charge tous les caractères de l'EBCDIC, et ne fonctionnant que dans un seul sens.
Donc ta naïveté me fait bien marrer.
4) Plus généralement, tu as demandé une justification "crédible ", pas une justification se conformant aux bonnes pratiques, ni aux facilitées modernes, ni au bon sens.

@Acné : simple, suffit de pas avoir de compte et tes deux phrases sont vérifiées ^^

Il y a les mots de passe hacher et les mots de passe à chier. Il y a aussi les mots de passe cacher, mais ça c'est pour les juifs.