Un problème de compréhension à l’origine d’un problème de sécurité monstrueux
par Aurélien Bardon
Beaucoup de sites internet, qu’ils soient marchands ou non, utilisent l’email en guise de login.
Ainsi il faut saisir un email et un mot de passe pour créer un compte, accéder au suivi de commande ou à des informations liées à son profil…
Un nombre non négligeable de sites (et pas forcément les plus petits) ne cryptent pas dans leurs bases de données les mots de passe.
Ainsi lorsque vous utilisez la fonction « rappel du mot de passe », vous récupérez « en clair » votre mot de passe.
Tous les employés de ce type de sites ayant accès à la base peuvent connaître votre mot de passe.
Il est donc recommandé de toujours utiliser des mots de passe différents. OK, jusque ici rien de vraiment nouveau.
Le problème que je souhaite mettre en exergue à travers ce billet est lié à un problème de compréhension apparemment très fréquent chez un utilisateur « non geek ».
Sur les formulaires de création de compte, nous avons donc :
-
Votre email : INPUT
Votre mot de passe : INPUT
Et bien, après un petit sondage auprès de non professionnels du web (mais utilisateurs quotidien), il s’avère que la majorité pense qu’il faut indiquer son mot de passe de messagerie afin que la création de compte fonctionne !
Ainsi, ils donnent accès à leur webmail, le point névralgique de l’ensemble de leur sécurité en ligne.
Le remède ? Éduquer (et twitter ce billet bien entendu :-).
Aurélien Bardon
Dites STOP aux régressions SEO avec Oseox
Je vous recommande de lire également