M4veR1K Posted July 1, 2019 Share Posted July 1, 2019 Bonsoir, Récemment, nous avons tous reçu un mail intitulé "Informations personnelles" dans lequel on nous indique que Kinkoid utilise désormais un système d'identifiant unifié. A la fin du mail, on nous rappelle de même nos identifiants. Dont notre mot de passe en clair. En plus d'être une mauvaise pratique d'envoyer des mots de passe par mail, cela constitue une énorme faille de sécurité. Cela laisse supposer que vous stockez les mots de passe des utilisateurs en clair sur vos serveurs ou que votre fonction de hashage des mots de passe est facilement réversible. Un mot de passe ne doit pas pouvoir être décrypté. Si une personne s'introduit dans votre système et récupère les informations utilisateurs, c'est le jackpot. Je tiens à rappeler que de nombreux utilisateurs utilisent toujours le même mot de passe pour plusieurs sites. En l'occurrence, il est possible qu'en récupérant un compte HentaiHeroes, on récupère éventuellement un compte bancaire. Il est urgent de changer la méthodologie de sauvegarde des mots de passe ou de nous assurer que ce problème a été corrigé depuis l'envoi du mail. Cette faille a été mentionnée plusieurs fois sur le forum anglais : Autres liens utiles sur la question (en anglais) : https://stackoverflow.com/questions/2094680/when-is-it-a-good-idea-to-store-passwords-in-clear-text/2094713 https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Password_Storage_Cheat_Sheet.md 7 Link to comment Share on other sites More sharing options...
Fred42 Posted July 21, 2019 Share Posted July 21, 2019 J'ai aussi été choqué par cette pratique. La CNIL recommande : Dans tous les cas, le mot de passe ne doit pas être communiqué à l'utilisateur en clair par courrier électronique Et : Le mot de passe ne doit jamais être stocké en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non-réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé. Une partie importante des joueurs étant français, il est obligatoire de respecter ses recommandations. En l'absence d'application rapide, je vous signalerai à la CNIL. 4 1 Link to comment Share on other sites More sharing options...
Xilo Posted July 25, 2019 Share Posted July 25, 2019 Ça me paraît tellement gros et prioritaire que je préférerais ne pas avoir d'event pendant 1 mois (ou le temps qu'il faudra) que de rester dans la présente situation! 1 Link to comment Share on other sites More sharing options...
test_anon Posted March 8, 2020 Share Posted March 8, 2020 (edited) Je déterre ce sujet. Ce n'est pas seulement une faille de sécurité majeure, mais aussi une infraction du RGPD, les mots de passes étant considérés comme une donnée personnelle. Les sanctions peuvent aller jusqu'à 4% du CA ou 20 millions d'€ d'amendes. Les mots de passes doivent être stockés hashé, et au possible avec une fonction appropriée (i.e. "lente"), comme bcrypt. Ne pas avoir de réponses est vraiment inquiétant. Edited March 8, 2020 by test_anon 2 1 Link to comment Share on other sites More sharing options...
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now