Jump to content

Mot de passe transmis par e-mail à l'inscription


Gu1llaume

Recommended Posts

Bonjour,

 

Hier, une de nos nouvelles clientes s'est plainte publiquement de son expérience d'achat sur notre boutique :

 

Ah non j'oubliais, une autre truc m'a choqué : le mot de passe est envoyé par mail en clair. Si les clients s'embêtent à choisir des mots de passe sécurisé, c'est vraiment moche et une très mauvaise pratique niveau sécurité.

 

 

Elle nous reproche de lui avoir transmis son mot passe, qu'elle a créé lors de son inscription, en clair par e-mail... Je suis assez  d'accord s'est moche surtout quand on force https sur toute la boutique mais c'est le comportement de base de Prestashop, toutes versions confondus et donc utilisé sur des milliers de boutiques.

 

Je voulais savoir comment réagir ? Dois-je prendre des mesures pour enlever le champs password du template d'inscription ? J'hésites... Qu'avez-vous fait pour votre boutique ?

 

Guillaume

Link to comment
Share on other sites

Hier, une de nos nouvelles clientes s'est plainte publiquement de son expérience d'achat sur notre boutique :

Elle s'est plainte sur ce forum ?

 

 

Ah non j'oubliais, une autre truc m'a choqué : le mot de passe est envoyé par mail en clair. Si les clients s'embêtent à choisir des mots de passe sécurisé, c'est vraiment moche et une très mauvaise pratique niveau sécurité.

Un client qui est choqué par absolument tout ce qu'il voit, par expérience, je sais que c'est un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres...

Et c'est quoi ce mot de passe sécurisé ? azerty ? 12345678 ? son prénom ?

 

Tu peux toujours la rassurer en lui disant que le mot de passe n'est pas stocké en clair dans la bdd et que le mail ne sert qu'à vérifier que le mot de passe est bon.

 

Ni rien, ni personne ne l’empêche de supprimer ce mail afin d'avoir une sécurité totale et absolue.

 

 

  • Sad 1
Link to comment
Share on other sites

Merci pour les réponses. Oui techniquement je sais bien que je peux virer la variable du template, mais bon cet e-mail contenant les identifiants peut être utile à d'autres du coup je me tâte...

 

Elle s'est plainte sur le groupe Facebook de la boutique, et je suis assez d'accord avec toi coeos.pro :-)

Link to comment
Share on other sites

Oui insiste en disant que le mot de passe est confidentiel car crypté dans la base de données.

 

Moi même j'ai toujours trouvé un peu limite le fait d'envoyer le mot de passe par mail. Il y a tellement de gens qui se trompent dans leur adresse mail (en oubliant ou ajoutant un point entre leur nom et leur prénom par exemple) que niveau sécurité c'est pas terrible.

 

Tu peux aussi lui donner la manip pour aller changer son mot de passe dans son espace "Mon Compte".

 

Tu peux aussi ne rien faire parce que comme tu l'as dit il y a des gens qui ralent pour tout et n'importe quoi juste par plaisir :)

Link to comment
Share on other sites

  • 2 years later...

Bonjour,

Je m'inscris sur ce forum juste pour répondre à ce port. Même si c'est pour le déterrer cela peut servir à ceux qui sont dans la même situation que l'OP.

En effet c'est une très mauvaise pratique de renvoyer le mot de passe de l'utilisateur en clair dans l'email de confirmation d'inscription, de plus c'est bien inutile.

L'utilité théorique serait de confirmer à l'utilisateur le mot de passe qu'il a choisi. Pourquoi pas, dira t-on mais que se passerait il s'il oublie son mot de passe et qu'il n'est pas afficher dans l'email d'inscription ? bah la fonctionnalité de récupération de mot de passe est là.

Voilà c'est inutile maintenant pourquoi c'est dérangeant niveau sécurité. Même si le mot des passe est hashé,  non pas chiffré ou crypté qui est un mot qui n'existe même pas (https://chiffrer.info), l'envoyer via un email renvient à l'envoyer à travers internet, sur plusieurs serveurs, avec un email possiblement en clair aussi. Bref déjà sur le transport ce n'est pas top. De plus le mot de passe est forcément en clair à un instant sur l'ordinateur et dans le compte du client. Si l'un ou l'autre est compromis par un pirate, celui-ci peut être récupéré.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Ni rien, ni personne ne l’empêche de supprimer ce mail afin d'avoir une sécurité totale et absolue.

Du coup non supprimer le mail après coup ne permet pas "d'avoir une sécurité totale et absolue" car envoyer le mot de passe par message entraine forcément des problème de sécurité sans que l'utilisateur ne puisse choisir d'éviter cela.

De plus, une bonne partie des utilisateurs réutilise le même mot de passe pour plusieurs comptes. Du coup divulguer le mot de passe du compte de votre prestashop peut permettre de divulguer les mots de passe de bien d'autre compte.

On 11/16/2016 at 9:47 AM, coeos.pro said:

Un client qui est choqué par absolument tout ce qu'il voit, par expérience, je sais que c'est un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres...

Et c'est quoi ce mot de passe sécurisé ? azerty ? 12345678 ? son prénom ?

Bravo la condescendance, mais lorsqu'un utilisateur rapporte un problème de sécurité, il vous aide, il n'est pas "un casse bonbon dont la vie est assez vide pour avoir tout le temps d’embêter les autres" alors merci de l'écouter. N'oubliez pas que vous n'avez pas un savoir absolu, soyez humble et apprenez à dire merci quand les gens vous donnent de bons conseils même si vous êtes "PrestaShop Superstar".

PS:  coeos.pro, j'ai regardé votre module de sécurité (http://www.coeos.pro/product.php?id_product=124). Sincèrement, au vu de la description détaillé on voit directement que vous ne maitrisez pas bien les protections face aux attaques. Si vous pouviez donc éviter de donner des conseils sur des sujets de sécurité comme celui-ci ce serait pas mal. Merci.

Edited by WebDave
Add PS (see edit history)
  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...