Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Se connecter | Aléatoire | Soumettre
En créant mon espace personnel sur le site d'un fournisseur, j'ai pu constater certains soucis :

– Premièrement, lorsqu'une erreur apparaît dans le formulaire, un message d'erreur s'affiche et le champ de définition de mot de passe se vide. Jusque là, pourquoi pas. Mais dans ce cas, pourquoi le champ de confirmation de mot de passe reste-t-il rempli, lui ?

– Deuxièmement, un e-mail avec un lien de validation du compte est envoyé, avec dans celui-ci le couple identifiant/mot de passe en clair.

– Troisièmement et non des moindres, une fois l'espace personnel validé, un deuxième e-mail est envoyé pour confirmer la création dudit espace personnel, et dans celui-ci une nouvelle fois le couple identifiant/mot de passe en clair. PEBKAC.
PEBKAC #8497 proposé par JeDisÇa le 05/09/2013 | 9 commentaires | 👍🏽 👎🏽 +147
Mais de toutes façons, tout le monde utilise un mdp différent pour chaque site, non ? C'est ce qu'a dû se dire le développeur/responsable, du coup c'est pour aider à mieux retenir le mdp.


(oh, pour ceux qui n'avaient pas compris, c'est du 2ème degré, mais vous avez le droit de moinsser si vous ne trouvez pas ça drôle)
Commentaire #109485 écrit par Arkane le 05/09/2013 à 09h27 | 👍🏽 👎🏽
Le deuxième point n'est pas forcément un PEBKAC, l'e-mail peut être créé et envoyé pendant que le mot de passe est toujours en mémoire.

(même si évidemment le point 3 fait légèrement douter).
Commentaire #109497 écrit par mini le 05/09/2013 à 09h59 | 👍🏽 👎🏽
Si quelqu'un intercepte le mail, qu'il soit stocké en clair ou crypté avec un méga système de la mohrkitu dans la base de données du site ne changera pas grand chose.
Commentaire #109498 écrit par Acorah le 05/09/2013 à 10h06 | 👍🏽 👎🏽
- Quatrièmement, changement de fournisseur. :3
Commentaire #109506 écrit par Kebukai le 05/09/2013 à 12h26 | 👍🏽 👎🏽
Dans ce cas, comment envoyer un courriel dans le cas où l'utilisateur clique sur « mot de passe perdu » ?
Si j'envoie un clair un mot de passe temporaire, il peut être intércepté et utilisé, et pareil si je génère une URL qui mène vers un formulaire de création de mot de passe, le lien peut aussi être intercepté.
Commentaire #109511 écrit par Dreamkey le 05/09/2013 à 13h22 | 👍🏽 👎🏽
Seul le point 3 montre réellement un PEBKAC :-P (Oui je fais le sceptique aujourd'hui, y'a pas un compte pour ça ?)
Commentaire #109544 écrit par Cartman34 le 05/09/2013 à 15h12 | 👍🏽 👎🏽
Le point 1 est une faute assez habituelle dans les formulaires de création de compte.
Le point 2 ne me choque pas le moins du monde.
Le point 3 fleure bon le PEBKAC, j'ai donc voté BEDP.

Et j'en profite pour répondre à @Dreamkey : de moins en moins de sites te renvoient ton mot de passe. Soit ils t'envoient un mot de passe aléatoire généré automatiquement, soit ils t'envoient un lien permettant de changer ton mot de passe.

http://www.commitstrip.com/fr/2013/09/02/crime-contre-le-code/
Commentaire #109548 écrit par CrazyCat le 05/09/2013 à 15h21 | 👍🏽 👎🏽
Dans tous les cas Dreamkey ne dit pas de bêtise.
@CrazyCat : relis bien, dreamkey parlait aussi de mot de passe temporaire.
@Dreamkey : la seule différence que je vois est que le mot de passe en clair peut être lu par une personne de l'entourage qui regarde/lit l'écran. Sinon,
Dans la théorie : si c'est interceptable, la sécurité de toutes ces techniques est au même niveau(0).
Dans la pratique : le mot de passe en clair peut être lu par un individu se tenant à côté de l'utilisateur, et le lien de redéfinition( système de token) ne peut être utilisé qu'une fois : autrement dit le premier qui y est a gagné !
Commentaire #109610 écrit par MonsieurJeSaisTout le 06/09/2013 à 04h58 | 👍🏽 👎🏽
Disons que pour moi le gros souci d'envoyer le mot de passe en clair par mail, c'est que l'utilisateur lambda n'efface que rarement ses mails (vu notamment les espaces de stockage offerts de nos jours) et plus précisément ce genre de mail on se disant "c'est bon mon mot de passe est dans ce mail j'ai pas besoin de faire l'effort de m'en souvenir". Ce qui pose un problème de sécurité dans le sens où il suffit de pirater la boîte mail du gars pour accéder à tous ses mots de passe. Sachant qu'en plus on accède plus souvent à sa boîte qu'à autre chose de nos jours (au boulot, avec une tablette/un smartphone...) le risque de piratage du mot de passe de la boîte mail est plus fort qu'un compte d'un site qu'on utilisera rarement.
Commentaire #109620 écrit par JeDisÇa le 06/09/2013 à 09h47 | 👍🏽 👎🏽