Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Se connecter | Aléatoire | Soumettre
Un de mes amis est administrateur réseau dans une entreprise. Un jour, un collègue l'appelle car il n'arrive pas à se connecter à son compte sur le réseau interne de l'entreprise : son mot de passe est en effet refusé systématiquement. Mon ami pose les questions d'usage (« Êtes-vous tout à fait sûr d'avoir désactivé Caps Lock ? ») auquel le collègue répond naturellement, avec courtoisie et calme (« Prenez-moi pour un con, aussi ! »).

Finalement, mon ami demande :
« Bon, mais qu'est-ce que vous tapez comme mot de passe pour vous connecter ?
– Bah, <mot de passe>, c'te blague !
– Mais ce n'est pas votre mot de passe, ça !
– Non, mais j'ai lu qu'il fallait changer régulièrement de mot de passe, par sécurité !
– Mais non, mais… »

Après avoir vainement tenté d'expliquer à son collègue que ce n'est pas comme ça qu'il faut s'y prendre, mon ami a reçu une série d'épithètes en tous genres avant que de se faire raccrocher au nez. PEBKAC.
PEBKAC #8752 proposé par Darwin le 09/10/2013 | 20 commentaires | 👍🏽 👎🏽 +200
Si l'admin connait par coeur, ou à a accès aux mots de passe de tous les utilisateurs, il n'y a pas qu'un seul PEBKAC dans cette histoire.

Mais on va lui laisser le bénéfice du doute.. peut-être qu'il l'a su parce que le "nouveau mot de passe" n'était pas conforme a la stratégie de sécurité de la boite...
Commentaire #114519 écrit par b0fh le 09/10/2013 à 08h44 | 👍🏽 👎🏽
Votre système c'est de la merde. Quand je rentre un mauvais mot de passe, il devrait remarquer immédiatement que c'est moi, et changer automatiquement mon mot de passe pour le nouveau.

@b0fh : rien ne dit qu'il connait par cœur les mots de passe. Il a peut être ouvert entre temps sa base de donnée (càd le tas de post-it's dans son tiroir) pour voir quel était le mot de passe du collègue. Et qu'un admin réseau connaisse les mots de passe des utilisateurs, c'est pas tellement un pebkac.
Commentaire #114527 écrit par Link le 09/10/2013 à 09h13 | 👍🏽 👎🏽
oh punaise, le gars qui m'appelle pour demander de l'aide, qui réfute chacune de mes propositions comme si j'étais demeuré, qui est convaincu de son truc (pourquoi demander alors ?) et qui EN PLUS me raccroche au pif... BOFH activé, il va attendre avant de revoir son compte celui-là.
Commentaire #114530 écrit par Lou Montana le 09/10/2013 à 09h24 | 👍🏽 👎🏽
http://img1.joyreactor.com/pics/post/funny-pictures-auto-house-md-woma[...]
Commentaire #114531 écrit par mini le 09/10/2013 à 09h25 | 👍🏽 👎🏽
Il est quand même pas censé demander un mot de passe au téléphone, car son collègue est censé ne jamais donner de mot de passe au téléphone. Règle de base pour éviter le social engineering : n'importe qui pourrait se faire passer pour un admin et récupérer des mots de passe ainsi.
Commentaire #114539 écrit par Pyrhan le 09/10/2013 à 09h39 | 👍🏽 👎🏽
Fond d'écran du poney mâchonneur, non modifiable. Et curseur de souris nyan cat.
Commentaire #114541 écrit par mini le 09/10/2013 à 09h40 | 👍🏽 👎🏽
Non mais j'vous jure hein.... Des Tanches pareilles faudrait les mettre sous verre!
Commentaire #114543 écrit par Fox le 09/10/2013 à 09h44 | 👍🏽 👎🏽
Arrêtez moi si je me trompe, mais n'est-ce pas déjà un PEBKAC de stocker un mot de passe en clair dans une BDD ?
Commentaire #114549 écrit par Raizarachi le 09/10/2013 à 09h58 | 👍🏽 👎🏽
Pour moi, non. Si l'admin doit intervenir sur la machine d'un utilisateur, et qu'il a seulement le hash du mot de passe, il fait comment ?
Commentaire #114556 écrit par Link le 09/10/2013 à 10h13 | 👍🏽 👎🏽
A mon avis, il connait le mot de passe, parce qu'il a déjà eu affaire à cet utilisateur et qu'il a déjà dû rentrer le mot de passe à sa place.
Commentaire #114559 écrit par Florent le 09/10/2013 à 10h22 | 👍🏽 👎🏽
@Link : Généralement l'admin a tous les droits sur toutes les machines (chose que l'utilisateur lambda n'a pas, donc dans bien des situations le mot de passe de l'utilisateur ne sert à rien).
Commentaire #114567 écrit par Acorah le 09/10/2013 à 10h53 | 👍🏽 👎🏽
S'il doit effectuer une tache d'administration, il se connecte en administrateur local sur le poste (et surtout pas avec le compte administrateur du domaine comme on le voit souvent...).
Si c'est pour une tache concernant le profile de l'utilisateur, il demande à l'utilisateur de se connecter devant lui.
Jamais il ne doit demander son mot de passe à l'utilisateur ou pire, le stocker en clair quelque part.
Commentaire #114569 écrit par n0p le 09/10/2013 à 11h14 | 👍🏽 👎🏽
Kaamelott powaaa !!

... désolé, je m'excuse platement et j'accepterais le mâchonnage du poney pour cette réaction impulsive et incontrôlée...
Commentaire #114570 écrit par Morrock le 09/10/2013 à 11h18 | 👍🏽 👎🏽
Ou au pire il connaît la méthode de hash, l'a appliquée au mot de passe fourni, et constaté que ce n'était pas ce que la DB contenait.
Commentaire #114571 écrit par mini le 09/10/2013 à 11h19 | 👍🏽 👎🏽
il n'y a qu'à voir les têtes dans Futurama
Commentaire #114575 écrit par nonolelion le 09/10/2013 à 11h52 | 👍🏽 👎🏽
Ce que j'en ai compris, c'est qu'il tapait le mot de passe qu'il voulait, sans avoir paramétré au préalable...

Et dans ces cas-là, avec un tel comportement : rapport à mon supérieur, éventuellement au sien. Faut pas trop déconner quand même.
Commentaire #114577 écrit par Tryskel. le 09/10/2013 à 12h05 | 👍🏽 👎🏽
Mais... mais... Mais c'est trop bien, je veux :D
Commentaire #114612 écrit par Tipaicse le 09/10/2013 à 15h21 | 👍🏽 👎🏽
Va dire ça aux techniciens d'un célèbre fournisseur d'électricité qui demande au client qui appelle d'épeler le nouveau mot de passe qu'il veut avoir pour "réinitialiser" un compte en ligne qui ne fonctionne pas/plus.
Commentaire #114624 écrit par JeDisÇa le 09/10/2013 à 16h46 | 👍🏽 👎🏽
Ou comme l'a dit b0fh, il sait simplement que le mot de passe doit faire au moins 8 caractères, avec au moins 1 minuscule, 1 majuscule et 1 chiffre (par exemple) et que azerty ne risque pas d'être le mot de passe de l'utilisateur.
Commentaire #114642 écrit par Milyyym le 09/10/2013 à 17h54 | 👍🏽 👎🏽
Pas forcement, ma solution favorite est de hacher et saler les mots de passes, mais du coup ça nécessite de les transmettre en clair et donc de passer par un canal sécurisé.

Si tu n'a pas le moyen de sécuriser la connexion vaut mieux stocker en clair dans une base de donnée bien protégée, ce qui permettra d'utiliser une authentification de type "challenge-response".

* Oui je sait on peur faire du challenge-response avec des hashs, mais du coup ils deviennent aussi sensibles que les mots de passes eux-même et c'est de toute façon pas géré par les méthodes courantes.

C'est pourquoi je considère que stocker les mots de passe en clair n'est pas un PEBKAC en soi, faut voir si l'environnement le justifie ou non.
Commentaire #114681 écrit par MilkEnd le 10/10/2013 à 00h04 | 👍🏽 👎🏽