Je voudrais aussi (désolé du multipost) préciser qu’il n’existe aucun cryptage d’aucune façon lors de l’envoi d’email.
Entre le serveur Web, qui envoie à un serveur SMTP d’envoi, il n’y a généralement pas de cryptage.
Entre le SMTP d’envoi et le SMTP de destination (celui qui inclut votre boîte), il n’y a aucun cryptage, c’est du SMTP en clair sur le port TCP 25.
Si vous n’êtes pas l’unique utilisateur de la boîte, il est possible que le mot de passe soit visualisé par un autre utilisateur (légitime ou non).
C’est donc dangereux de toute façon d’envoyer par email un mot de passe.
Le
08/12/2012 à
18h
37
Il y a fort longtemps que j’ai mis en œuvre les formes hashées des mots de passe pour mes services avec inscription.
Dans mon cas il s’agit de gérer ses devoirs en ligne.
Au début, j’utilisais un hashage CRC32 sans grain de sel, une horreur, mais bien meilleure que rien.
J’ai migré vers un hashage MD5 [du mot de passe et du CRC32 du mot de passe et d’une partie aléatoire constante] : efficace. J’ai mis en place la migration automatiquement lors de l’authentification des utilisateurs (car c’est le seul moment où je dispose de la version en clair).
De plus, les applications Facebook demandant la présence d’une politique de confidentialité sur le site, j’ai précisé en détails tout ce qui est conservé, ainsi que la forme du mot de passe.
2 commentaires
[MàJ] Mots de passe envoyés par mail, une pratique encore assez répandue
07/12/2012
Le 08/12/2012 à 18h 48
Je voudrais aussi (désolé du multipost) préciser qu’il n’existe aucun cryptage d’aucune façon lors de l’envoi d’email.
C’est donc dangereux de toute façon d’envoyer par email un mot de passe.
Le 08/12/2012 à 18h 37
Il y a fort longtemps que j’ai mis en œuvre les formes hashées des mots de passe pour mes services avec inscription.
Dans mon cas il s’agit de gérer ses devoirs en ligne.
Au début, j’utilisais un hashage CRC32 sans grain de sel, une horreur, mais bien meilleure que rien.
J’ai migré vers un hashage MD5 [du mot de passe et du CRC32 du mot de passe et d’une partie aléatoire constante] : efficace. J’ai mis en place la migration automatiquement lors de l’authentification des utilisateurs (car c’est le seul moment où je dispose de la version en clair).
De plus, les applications Facebook demandant la présence d’une politique de confidentialité sur le site, j’ai précisé en détails tout ce qui est conservé, ainsi que la forme du mot de passe.