Pourquoi mon mot de passe sur touslescables.com n'est-il pas entièrement sécurisé ?

Bonjour,
J'ai été surpris de voir mon mot de passe écrit en toute lettre sur mon compte dans "Votre identité" sur touslescables.com.

Vous devez absolument masquer les mots de passe pour des raisons évidentes de sécurité.

Merci d'en tenir compte au plus vite.

Cortdialement,
Fujisan

Bonjour,

Pour information, nous nous sommes livrés à quelques changements.

Le mot de passe n'apparaît plus en clair dans la page de vérification d'une commande.
Il n'apparaît plus en clair dans Votre compte.

Il apparaît en clair donc uniquement sur la page de saisie du mot de passe et le mail que vous demandez à recevoir si vous avez oublié votre mot de passe.

En théorie, c'est peu sécurisé, nous sommes d'accord.
En pratique, les systèmes que vous trouvez sur les sites marchands sécurisés ne sont pas plus sûrs (on peut développer si nécessaire).
Donc pourquoi casser les pieds à nos clients en leur demandant une double saisie du mot de passe et des procédures compliquées en cas d'oubli ?

Les seuls systèmes vraiment sérieux sont ceux des banques.

Ajoutons que, dans Votre compte, vous avez la possibilité de vous déconnecter, ce qui interdit l'accès au compte sans connaître votre mot de passe.

De plus, sur notre site l'accès à vos factures et autres documents (devis, bons de livraison, etc) est bien sécurisé depuis Votre compte. Ces documents sont stockées en dehors du site, ils ne sont accessibles que depuis Voitre compte.

Par ailleurs, toute modification de votre identité fait l'objet d'une alerte par mail, y compris sur votre ancienne adresse mail si l'adresse mail a été modifiée.

Le plus IMPORTANT est que le paiement par carte bancaire est lui TOTALEMENT SECURISE.
Nous le confions à Cyberplus (Banques populaires) dont les procédures de sécurité sont extrêmes et nous n'avons jamais connaissance de votre numéro de carte.

Bonjour,

je me permet de rebondir sur le sujet. Pour information le fait que les mots de passe soient visibles (ou eut été visibles :) ) en clair sur certaines pages n'est pas le plus gros problème, cela donne juste a un hacker potentiel la certitude que les mots de passe sont stockés en clair en base de donnée. Et c'est la le vrai problème, le fait que les mots de passe soient stockés en clair en base de donnée.

Lorsqu'on fait un système d'authentification c'est la règle la plus élémentaire de crypter les mots de passe en DB. De cette façon si un hacker parvient a lire votre base de donnée en exploitant une faille de sécurité de votre site ou de votre hébergeur (des sites gouvernementaux hautement sécurisés ont des failles de sécurités qui sont régulièrement exploitées par des hackers ... donc ne croyez pas en être exempt), il n'aura pas accès a cette information sensible.

On pourrait croire qu'accéder au mot de passe n'est pas un gros problème en soit car le hacker ne pourrait pas faire grand chose sur le site, mais c'est faux. Énormément d'utilisateurs ont tendance a utiliser toujours le même mot de passe (ou 2 ou 3) sur tous les sites qu'ils utilisent. Ici un hacker aurait accès a un mot de passe mais aussi a une adresse email associée. C'est une mine d'or pour un hacker. Avec ça il est assuré de pourvoir se connecter aux comptes emails de quelques utilisateurs qui ont utilisé le même mot de passe ici et pour leur compte email, et a partir de la accéder a n'importe quel autre site sur lequel est inscrit l'utilisateur ... comme facebook, ou tout site de ecommerce (y compris ceux qui mémorisent votre CB comme amazon), ou encore paypal. Vous comprendrez donc a quel point avoir les mots de passe stockés en clair en DB peut avoir de lourdes conséquences pour vos utilisateurs.

Et même dans le cas ou votre site ne serait pas hacké, le simple fait que vous, administrateurs du site, ayez accès a ces mots de passe est un problème. Car après tout vous pourriez tres bien utiliser vous même ces mots de passe pour voler vos utilisateurs et ils n'auraient aucun moyen de savoir que ça vient de vous ... (je ne vous accuse pas de le faire, mais vous ne pouvez pas attendre de vos utilisateur d'avoir une confiance aveugle en vous).

Crypter les mots de passe en DB est une sécurité tres simple a mettre en place (pas plus de quelques jours de développement, voire quelques heures ) et qui n'apporte quasiment aucune contrainte pour l'utilisateur. La seule contrainte étant que lorsqu'il perd son mot de passe, au lieu de lui renvoyer son ancien, on lui renvoie un nouveau mot de passe généré aléatoirement ( et stocké aussi en crypté en DB bien sur), c'est tout. La procédure d'inscription, et de login reste la même d'un point de vue utilisateur.

Je vous invite donc a corriger ce problème au plus vite, et aussi a supprimer ce fil de discussion du forum une fois que vous en aurez pris connaissance, car la c'est une véritable invitation a tenter de hacker votre site.

Je commanderai sous peu pas mal de choses ici car mis a part ce problème votre site semble tres bien et propose beaucoup de matériel a bon prix mais je ferai attention au mot de passe que je choisirai :)

Bonjour,

Il faut reconnaître que vous avez raison.

Ne dramatisons pas mais vous avez raison.

Cela dit, je vous assure qu'il est fréquent de donner par téléphone au client le mot de passe qu'il a oublié, ne soyons pas parano, le client apprécie.
La procédure de renvoi par mail d'un mot de passe aléatoire est beaucoup plus lourde pour le client, pas pour nous car nous savons que c'est facile à mettre en place.