dakadaka : Attention

[Frár]

Je viens de voir ceci sur reddit : https://imgur.com/gallery/9ONjZZr. 

Source  reddit :

 

Je n'ai aucune idée si cette information est fiable, mais dans le doute pour les utilisateurs du warfo qui sont sur DAKA, il vaut mieux utiliser un unique mdp pour ce site et je jamais l utiliser ailleurs. Je pensais que c'était important de vous prévenir au cas où.

[Theo4016]

Il y a 10 heures, Frár a dit :

il vaut mieux utiliser un unique mdp pour ce site et je jamais l utiliser ailleurs

 

C'est vrai pour tous les sites internet.

 

Sinon, c'est une information de 4chan, sans aucune source. Donc bon je suis pas sûr qu'il faille transmettre ce genre d'infos

[Yom]

Oui c'est alerte n'a rien de spécifique a DakkaDakka, c'est le cas de l’intégralité des sites internet. Les admins ont toujours ce genre de possibilité informatique, c'est la raison d'être des comptes admin (pouvoir tout administrer)

 

Après il peut exister des admin malveillant, tout comme l'est cette dénonciation mais c'est un autre problème et c'est fort heureusement rarrissime.

Modifié le 23 avril 2018 par Yom

[Theo4016]

il y a 6 minutes, Yom a dit :

Oui c'est alerte n'a rien de spécifique a DakkaDakka, c'est le cas de l’intégralité des sites internet. Les admins ont toujours ce genre de possibilité informatique, c'est la raison d'être des comptes admin (pouvoir tout administrer)

 

Non, ce n'est pas vrai. Ce que cet article dénonce, c'est d'avoir des mots de passe stockés en clair en base de données (c'est-à-dire, en se connectant à la base de données, on voit directement les mots de passe).

 

Or la bonne pratique est de les chiffrer : cela signifie qu'on effectue des transformations à sens unique dessus, pour aboutir à un ensemble de caractères à partir duquel on ne peut pas retrouver le mot de passe initial. C'est cela qu'on stocke en base de données, et ça évite donc de pouvoir voir directement les mots de passe de l'utilisateur.

 

Donc les admins ne peuvent pas tout faire, notamment si un site est bien développé, un administrateur ne peut pas voir les mots de passe de ses utilisateurs.

[Frár]

Theo le fait que tu utilise chiffrer au lieu de crypter indique tu connais très bien ton affaire. C'est juste pour informer la communauté et de prendre des précautions d'usage

[cracou2]

Citation

Or la bonne pratique est de les chiffrer : cela signifie qu'on effectue des transformations à sens unique dessus, pour aboutir à un ensemble de caractères à partir duquel on ne peut pas retrouver le mot de passe initial. C'est cela qu'on stocke en base de données, et ça évite donc de pouvoir voir directement les mots de passe de l'utilisateur.

 

En fait pas exactement car la relation est bijective (on peut chipoter sur l'injectivité, je ne rentre pas dans les détails). Ce que le site considère est une empeinte obtenue par une fonction de hachage. A chaque fois que vous entrez le mot de passe, le site calcule l'empreinte et donne l'accès si elle est la même que celle stockée.

 

Mon conseil pour les mdp est de suivre la procédure suivante:

 

1) pour les trucs critiques (banque, gmail...) avoir un mdp unique et jamais utilisé ailleurs.

L'inclusion de caractères spécifiques permet d'éviter l'attaque simple par rainbow tables. Attention à ne jamais utiliser de caractères spécifiques à un clavier donné (pour éviter le gag d'être en angleterre sans la bonne touche...)

 

2) pour les autres utiliser une fomule commune conue de vous seul et PAS UN MOT DE PASSE TORDU qui de toute façon n'a pas de sens.

Exemple:

- votre clef commune est "toto1"

- votre clef de site est "les deux premières lettres du nom du site"

 

Dans le cas du warfo le mot de passe sera "toto1wa". Evidemment c'est un exemple bidon: il vaut mieux que l'on ne reconnaisse pas le nom du site dans votre code . Un truc comme "toto1warhammer-forum" est totalement débile.

 

Cela génère un mdp différent pour chaque forum et réduit fortement le risque de se faire massivement pirater les comptes.