Le 28/02/2018 à 13h 31

Alors c’est ok pour moi ^^ d’ailleurs, dans ton lien, il y a un mot : “cryptage” qui me dérange :p
On pourrait continuer comme ça toute la journée ^^

et pis, si on y pense, je peux très générer un bi-clef rsa, jeter la clé privé, chiffrer à l’aide la clé publique, et pour identifier les utilisateurs, je chiffre le mdp soumis dans le formulaire par l’utilisateur, puis je compare le résultat avec ce que j’ai en base. Résultat: bah c’est plus réversible ^^

Ce que je veux dire, c’est qu’il n’y a pas d’obligation d’utiliser des fonctions de hashage, juste un mécanisme cryptographique non réversible :p

Le 28/02/2018 à 10h 40

Tu joues sur les mots ^^ en plus c’est pas vrai !

“Le mot de passe ne doit jamais être stocké en clair. Lorsque
l’authentification a lieu sur un serveur distant, et dans les autres cas
si cela est techniquement faisable,  le mot de passe doit être
transformé au moyen d’une fonction cryptographique non-réversible et
sûre, intégrant l’utilisation d’un sel ou d’une clé.”

 https://www.cnil.fr/fr/authentification-par-mot-de-passe-les-mesures-de-securite-elementaires

Après, je suis d’accord pour dire que du sel et du poivre c’est le plus commun et ça évite d’avoir à gérer l’usage d’une clé

Le 28/02/2018 à 10h 20

Tes doutes envers un piratage boulanger me semble justifié, j’aurais eu les mêmes.

 D’autant que ce qui t’es arrivé peut faire penser à un vol de BDD, après, les MPD étaient
peut-être juste hashé avec un algo comme du MD5, si ton mdp n’était pas très fort, voire pire,
un mot du dictionnaire, un attaquant a juste a Googlé le hash pour trouvé son équivalent en clair.

Cette théorie est d’autant plus valable si tu utilisais une addresse fourni par un géant comme Google
(gmail) par exemple, car, je doute que ce soit eux qui ont été piraté ^^

Ca ne mange pas de pain, mais tu peux toujours passé ton adresse mail sur le site : https://haveibeenpwned.com/, tu peux faire des recherches sur ce service, c’est un site sérieux,
pas un 2eme moyen de te faire avoir :p

Enfin, tu reconnais ton erreur d’utiliser un même mdp sur 2 sites différents et c’est sûr c’est pas top, mais a moins que les mdp aient fuité par une campagne de phishing, mais j’en doute, dans cette situation, t’y es pour rien ;)

Le 28/02/2018 à 09h 46

 Bonjour,

@Marcellusio: Je n’ai pas tout compris de ton commentaire,

Tu affirme “on a tenté de me prendre mon compte Spotify”, comment le sais-tu?
Et est-ce que tu utilisais le même mdp pour boulanger & spotify?

Et tu te demandes si le mot de passe était chiffré, (j’imagine que tu parles de ton mdp
qui serait stocké chiffré (ou pas) dans les Bases de données chez boulanger) donc tu penses
que boulanger se serait fait volé ses bases de données?

Enfin, tu confirmes que MDP et @ mail auraient effectivement fuités, tu te bases sur quoi?
 
En tout cas, cette affaire me laisse perplexe " />