Bonjour !
Contexte : j'étais entrain de changer mon mot de passe. Premier problème : apparemment le site a tronqué mon nouveau mot de passe, rendant toute nouvelle connexion impossible. J'ai donc demandé une récupération de mot de passe. Par chance je venais de renseigner mon numéro de mobile.
Problème : je reçois un sms contenant mon mot de passe. En clair. Celui que je venais de renseigner, moins quelques caractères. Je ne suis pas un expert absolu, mais je travail dans le développement web, et en aucun cas le moindre mot de passe ne doit être retenu en clair de quelque manière que ce soit.
Rapide explication : un mot de passe est encrypté, ils subit de nombreuses transformations mathématiques avant d'être stocké. C'est l'encryption qui est comparée pour authentifier un utilisateur, jamais le mot de passe lui-même. Le mot de passe ne dois pas être retenu par le serveur, question de sécurité.
Je tombes des nues devant ce manque incroyable de considération pour une question de sécurité aussi basique. Je ne pense pas qu'on puisse justifier cela. Des procédures de récupération de mot de passe existent, elles passent généralement par une adresse mail externe et un changement de mot de passe. Certainement pas par l'envoi du mot de passe en clair, comme si de rien n'était.
