Ce n'est pas un pebkac ... juste un soucis de sécurité assez courant

Dans le même genre, la récupération de mot de passe de mon université, c'est pire : question secrète et affichage du mot de passe sur une simple page web.
Suffit de connaître un peu la personne pour trouver les réponses...

Bah, le pebkac c'est l'abruti qui a mis en place cette procédure au lieu d'une méthode sécurisée, pas l'auteur du pebkac

Bof... C'est un problème de sécurité du côté du site, oui, c'est évident.

Mais d'une part c'est pas vraiment un PEBKAC et d'autre part, pour des sites "jetables", qu'on va visiter une fois, éventuellement deux, et qui ne contiennent pas d'info vraiment sensibles, ça ne me choque pas. Pour l'utilisateur, c'est nettement plus agréable de lui rappeler son vrai mot de passe (qu'il a pu choisir) plutôt que de lui en imposer un autre au hasard qui va être compliqué à taper et/ou qu'il devra changer après, tout ça pour un site où il ne reviendra pas... (le jour où les informaticiens comprendront qu'à force d'imposer des mesures de sécurité trop strictes, tout ce qu'ils gagnent c'est que les mots de passe se retrouvent sur des post-its ou des documents Google Doc "parce que sinon j'oublie tout", la sécurité progressera vraiment !).

La technique simple reste l'envoi de lien vers le formulaire de réinitialisation de mot de passe. Pas de mot de passe envoyé par mail (ni le sien, ni un autre généré aléatoirement), tout va bien dans le meilleur des mondes !

Non, avec cette technique tout va bien... pour les informaticiens. Parce que mme Michu, elle qui n'était pas venue sur ce site depuis 6 mois et ne compte pas y revenir pour encore 6 autres mois, elle se retrouve à devoir passer toutes les étapes que lui impose cette procédure (aller sur le formulaire, le remplir, éventuellement valider via le mail que le site zélé va lui envoyer pour confirmer).

Résultat des courses, je parie qu'une partie des gens vont laisser tomber et aller voir ailleurs (ne pas oublier que sur internet, les gens ne sont pas "fidèles" à un site ! Je n'arrive pas à retrouver la page que je cherche sur www.useit.com, mais Nielsen l'explique très bien...). Ou râler et avoir une mauvaise impression du site. Tout ça pour éviter un risque de sécurité plutôt faible en communiquant/stockant des mots de passe en clair, qui protègent l'information hautement confidentielle que tu as demandé un devis pour une assurance. Et après on s'étonne que les gens notent les mots de passe n'importe où...

Le plus grand problème c'est surtout la politique de mots de passe (longueur minimum de 6 caractères avec majuscule, minuscule, numérique et caractère spécial...) qui est stupide.

Un mot de passe du genre "ton site pue gravement la bouse de vache" est plus sécurisé que "Cr0t!n" et bien plus facile à mémoriser...

Ça m'est déjà arrivé quelques fois ce coup-là ...
Depuis, je relève mes mails en IMAP crypté SSL :)

Pour les sites où un certain nombre d'utilisateurs ne passe que tous les 6 mois (et même pour la plupart des forums), le mieux est de permettre de poster en visiteur, comme ici.

Pour le devis d'assurance, je ne sais pas quelles infos on peut trouver sur un compte, mais je comprends qu'on n'ait pas envie de publier son adresse avec la liste du matos de valeur que contient son appart.

Mufman -> Le vrai problème ce n'est pas l'envoie en clair par mail, c'est que si le site est capable de te renvoyer ton mot de passe ça veut dire qu'il le stocke en clair et non son hash.
Du coup oui c'est un vrai problème. Parce que beaucoup de gens utilisent le même mot de passe même pour des sites "jetables" et s'ils se font pirater le pirate récupère une liste de boîte mail avec les mots de passes pour ouvrir une bonne partie d'entre elles.

Oui, mais bof quand même (d'autant plus qu'il est facile de prendre quelques précautions triviales genre encoder les mots de passe avec un autre, qui n'est pas stocké au même endroit : ça ne protège certes pas de tout, mais ça suffit à rendre les mots de passe illisibles pour le pirate qui scanne des sites au hasard). C'est un équilibre à trouver entre le risque d'un piratage (qui est quand même normalement relativement faible, quand on n'est pas un site énorme ou sensible, genre banque, qui attire l'attention des pirates et qu'on fait des mises à jour régulières) et le confort des utilisateurs.

L'admin du site prend un risque. À lui de juger si ça vaut le coup ou pas, mais je ne crois pas que ce soit un "problème" aussi grave que ça.

(et pour Mike, je suis d'accord, le système "visiteur" (qui n'empêche pas de demander un email pour envoyer les résultats après) est mieux. À la limite, le PEBKAC c'est celui qui rend l'inscription obligatoire sur ce genre de sites. Ça commence à devenir un peu moins systématique, mais il y a quelques années, c'était une vraie plaie, ces sites...)

Plussain Skefrep, c'est la méthode adoptée ici.
Même si c'est pas forcément la plus simple à mettre en oeuvre :)

Je ne suis toujours pas d'accord (sauf sur l'inscription obligatoire).
Déjà ce n'est pas l'admin du site qui prend un risque mais c'est un risque qu'il fait prendre à ces utilisateurs, c'est très différent. Et généralement en bas de l'inscription sur ce site il n'y aura pas un encart avec écrit "Attention, je laisse vos mots de passe en clair, ne vous inscrivez pas ou utilisez un mot de passe bidon".
Ensuite hasher un mot de passe avec un grain de sel et en générer un aléatoirement quand il est perdu, on ne peut pas dire que ce soit compliqué (pas plus compliqué que chiffrer le mot de passe avec un autre pas stocké au même endroit ce qui ne sert pas énormément si le pirate a vraiment accès au site).
Ensuite si c'est un petit site (et que le webmaster ne sait pas qu'il faut hasher un mot de passe), ça augmente grandement les chances qu'il y ait d'autres failles sur ce site, contrairement à un gros site important. C'est justement le genre de site qui ne fera pas de mise à jour régulière et pour lequel un robot détectera une vielle version et la présence d'une faille exploitable.
Après je suis d'accord qu'il faut voir jusqu'où on peut aller ça, l'envoi d'un nouveau mot de passe généré en clair dans un mail avec une petite ligne incitant l'utilisateur à le changer n'est pas super terrible mais pour un petit site ça peut le faire. Mais le stockage du mot de passe au lieu de son hash dans une bd, ça non il ne faut vraiment pas.

@Mufman: "C'est un équilibre à trouver entre le risque d'un piratage et le confort des utilisateurs."
L'équilibre est tout trouvé: stocker les mots de passe en clair ou avec un chiffrage ne présente pas plus d'intérêt ni de facilité pour le site que de stocker une empreinte cryptographique (un hash).
Par contre, ça créé une faille de sécurité pour l'utilisateur.

Rien ne justifie de prendre un risque qui n'apporte aucun bénéfice.

T'as passé trop de temps en Angleterre. Tu nous la refais en français?

@Shirluban : "Rien ne justifie de prendre un risque qui n'apporte aucun bénéfice."

C'est une réponse typique d'informaticien, ça. Si, ça apporte un bénéfice en terme de facilité pour les utilisateurs. Pas énorme, oui, mais d'un autre côté le risque de se faire pirater n'est pas énorme non plus, hein. Je maintiens, c'est un équilibre entre les deux et le choix peut se justifier.

Bon, les réactions ne me surprennent pas (et j'avoue, je fais un peu l'avocat du diable sur cette histoire !), c'est logique vu les gens qui postent ici, mais disons que je suis prêt à parier qu'il y a plus de développeurs que de gens qui font de l'usabilité. Je recommande à tout développeur qui ne l'est pas déjà de s'inscrire à la newsletter de Norman Nielsen (useit.com), ça ouvre l'esprit sur ce que font vraiment les utilisateurs...

@Muffman. Si madame michu est pas capable de cliquer sur un lien dans un mail l'emmenant sur une page avec 2 champ a remplir et qui si c'est bien fait va en meme temps la loguer je doute qu'elle soit capable d'ouvrir un mail, repartir sur le site, renseigner le mot de passe reçu.

C'est une théorie qui s'est répandue suite à cette désormais fameuse image xkcd : http://xkcd.com/936/
Y a un article bien fichu (http://www.troyhunt.com/2011/08/im-sorry-but-were-you-actually-trying.[...]) qui montre que cette théorie n'est pas viable.

Juste pour info je connais des sites qui plutôt que de stocker un hash stockent une version chiffrée du mot du mot de passe et du coup Déchiffrable pour l'envoyer en clair à Mme Michu (l'ancien système d'authentification de Hordes.fr par exemple avant qu'ils mettent en place le SSO) et c'est pas forcément a 100% une Pebkac ;)

Si le système peut renvoyer le mot de passe automatique ça veut dire que tout ce qu'il y a besoin pour le déchiffrer est accessible sur le site.
Dès lors chiffrer le mot de passe avant de le stocker ça ne protège pas efficacement.
En gros si la clef de chiffrement est en dur dans le code ça sert juste si le pirate a eu seulement accès à la BD.
Après si pour renvoyer le mot de passe en clair il faut prévenir un admin qui a une clef privée sur un ordi (non connecté au réseau soyons fou) qu'il garde précieusement dans un coffre, oui ça sécurise contre les pirates.
Mais ça veut aussi dire qu'il y a un, ou plus vraissemblablement plusieurs admins qui ont accès à tous les mots de passe de leurs visiteurs alors que ça pourrait être éviter. Ca veut aussi dire si l'ordi de l'admin est volé celui qui le vole aura la possibilité de déchiffrer les mots de passe (ok là j'extrapole peu être un peu).
Donc répétons le, le hash avec grain de sable est tellement simple et coute tellement peu à l'utilisateur (s'il l'a oublié son mot de passe de toute façon autant qu'il en donne un nouveau dont il se rappellera !!) que chercher à stocké des mots de passe chiffrés et non hashés est un PEBKAC.
C'est même limite plus un pebkac que de le les sotcker clair car ça veut dire que le webmaster y a réfléchit et à opté pour une solution foireuse.

la meilleur méthode et d'utiliser celle de ma prépa, tout le monde a le même mot de passe donc suffit de le demander a ta voisine... (oui notre login est la partie "secrète")