Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Forum de discussions générales. Les règles sont simples :
- Pas de publicité, pas de SPAM
- Pas de flood
- Pas de support dans cette section

Modérateur: Equipe

Règles du forum
A lire impérativement : Règlement de phpBB-fr.com

Attention, aucun sujet traitant de phpBB ne doit être posté dans cette section.

Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Think-It » 14 Nov 2008 à 19:50

Bonsoir,

J'ai entendu sur divers forum que le hashage / cryptage d'un mot de passe était obligatoire (dixit la loi ou la CNIL peu importe)...
J'ai donc entamé, pour assouvir ma curiosité, des recherches la dessus pour au final pas trouver grand chose ... J'ai trouvé qu'un véritable topic sur un forum qui disait que la CNIL ou une quelconque loi ne disait rien la dessus.

On est donc bien d'accord que par soucis de sécurité il est vivement conseillé de hasher/crypter les mots de passe, mais je voulais savoir si quelqu'un savait vraiment si c'était obligatoire ? Rien trouvé a ce sujet sur le site de la CNIL...

A+ :)
Think-It
Roi des posts
Roi des posts
 
Messages: 600
Enregistré le: 23 Juil 2003 à 16:26
Localisation: Montpellier

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Théonaute » 14 Nov 2008 à 19:59

Bonjour,

Je n'ai jamais entendu parlé du caractère obligatoire. Tout ce que dit la CNIL c'est qu'il faut déclarer les fichiers que l'on a si on les possède dans un cadre commercial/professionnel et que l'on doit respecter la loi informatique et libertés.
Il n'y a rien dans cette loi concernant le crytpage de mot de passe.

Bien à vous, :wink:
Théonaute | Ancien membre de l'équipe des MODs
Citation :
<?php while(!($succeed = try())) ?>
Je ne suis plus actif dans la communauté phpBB. Je ne fais donc plus de support, de MODs (extensions) ni de support pour mes MODs...
Avatar de l’utilisateur
Théonaute
1/4 hibou
1/4 hibou
 
Messages: 6027
Enregistré le: 22 Jan 2006 à 15:45
Localisation: Au pays des caribous

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Babacooll » 18 Nov 2008 à 08:01

Je ne pense pas que ce soit obligatoire, ça ne rentrerait de toute façon pas dans les compétences de la CNIL que de l'obliger :?

Mais c'est vivement conseillé par contre ;-)
Avatar de l’utilisateur
Babacooll
Floodeur expérimenté
Floodeur expérimenté
 
Messages: 1889
Enregistré le: 20 Déc 2003 à 14:45
Localisation: Belgique

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Gryffondor » 20 Nov 2008 à 02:07

En même temps la liberté de l'internet existe. La moindre des choses qu'on t'offre lorsque tu es propriétaire d'un site, c'est d'en faire ce que tu veux tant que le pays legislateur t'autorise à diffuser le contenu que tu mets à disposition, après tu le gère comme tu veux. Ne serait-ce, faudrait informer tes utilisateurs du fonctionnenemt de tel ou tel chose, surtout si sa relève de l'inhabituel.

Bon apres, ne pas sécuriser un mot de passe, c'est tout simplement ouvrir les portes aux données personnels à bon nombre de personne.
Sécuriser des données dépend de la neccessité de le faire.

Mais à mon avis, si des données très sensibles, par exemple des transactions bancaires transites sur le site, la je pense qu'il y a un minimum d'obligation à prendre vis à vis de toi-même et de tes utilisateurs.
Gryffondor
Maître des floodeurs
Maître des floodeurs
 
Messages: 2338
Enregistré le: 31 Juil 2006 à 19:48
Localisation: A Last Survivor : Là où la fin du monde ne fait que commencer!

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Suyu » 20 Nov 2008 à 18:48

Gryffondor a écrit:Mais à mon avis, si des données très sensibles, par exemple des transactions bancaires transites sur le site, la je pense qu'il y a un minimum d'obligation à prendre vis à vis de toi-même et de tes utilisateurs.

Moi j'aurais pensé au niveau de la vie privée.
Si tu permets l'accès à autrui de la vie privée d'une personne, par un quelconque moyen, t'es en tort non ?
Dev'
Joueur en ligne Nintendo (PM pour plus d'infos)
Avatar de l’utilisateur
Suyu
Posteur habitué
Posteur habitué
 
Messages: 271
Enregistré le: 17 Avr 2008 à 19:31
Localisation: Ercé (35)

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar SiMax » 21 Nov 2008 à 18:42

Bonjour,

Je pense que cela n'est pas obligatoire mais cependant, vous êtes censé protéger la vie privée des utilisateurs de votre site. Je pense que si votre base de données est piratée, il y a une chance pour que l'on vous dise que vous n'avez pas fait le nécessaire pour protéger la vie privée des utilisateurs.
Référencez vos sites sur un annuaire référencement gratuit de qualité - Aide informatique
Avatar de l’utilisateur
SiMax
Posteur habitué
Posteur habitué
 
Messages: 202
Enregistré le: 21 Sep 2008 à 13:56

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Gryffondor » 21 Nov 2008 à 19:14

Oui, une néccéssité mais pas une obligation.
Gryffondor
Maître des floodeurs
Maître des floodeurs
 
Messages: 2338
Enregistré le: 31 Juil 2006 à 19:48
Localisation: A Last Survivor : Là où la fin du monde ne fait que commencer!

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Galdon » 21 Nov 2008 à 21:00

C'est vrai que le cryptage perso de phpBB3 est embêtant quand on veut faire fonctionner son site, par exemple, avec la table users (un bon vieux md5() aurait été plus simple).

Ne pas crypter les mots de passe procure un autre avantage : éviter les réinitialisations des pass lors d'une migration vers un autre système de forum (j'ai eu le tour lors de mon passage de fluxBB vers phpBB3).

Mais si un pirate a accès à ta base, ça serait la cata parce que pas mal de personnes utilisent le même couple pseudo/pass pour pleins de forums, voir des sites marchands.
Tutos After Effects (effets spéciaux, motion design et plein d'autres trucs super cools 8) ...)
Galdon
Posteur néophyte
Posteur néophyte
 
Messages: 69
Enregistré le: 03 Sep 2008 à 14:32

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar SiMax » 21 Nov 2008 à 21:32

C'est vrai qu'il faudrait que tous les fournisseurs de "logiciels" (phpBB, punBB, joomla!, etc.) s'accordent sur un cryptage :)
Référencez vos sites sur un annuaire référencement gratuit de qualité - Aide informatique
Avatar de l’utilisateur
SiMax
Posteur habitué
Posteur habitué
 
Messages: 202
Enregistré le: 21 Sep 2008 à 13:56

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Théonaute » 21 Nov 2008 à 23:10

Il n'y a rien d'embêtant dans le sens où il y a une seule fonction à appeler pour vérifier un mot de passe, donc même chose que si c'était du md5, sauf qu'il est plus sécuritaire que du md5, qui est facilement craquable maintenant.

Concernant une entente pour le cryptage, ça risque pas d'arriver, car les concertations pour normaliser sont souvent difficiles, et ce serait rendre la tâche plus simples aux "pirates" qui n'auraient qu'un seul code à craquer pour avoir des répercutions plus grandes.

Bien à vous, :wink:
Théonaute | Ancien membre de l'équipe des MODs
Citation :
<?php while(!($succeed = try())) ?>
Je ne suis plus actif dans la communauté phpBB. Je ne fais donc plus de support, de MODs (extensions) ni de support pour mes MODs...
Avatar de l’utilisateur
Théonaute
1/4 hibou
1/4 hibou
 
Messages: 6027
Enregistré le: 22 Jan 2006 à 15:45
Localisation: Au pays des caribous

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar SiMax » 22 Nov 2008 à 16:23

Vu comme ça, c'est pas faut :D

Mais dans ce cas il faudrait que le code pour vérifier le cryptage soit plus simple à trouver...
Référencez vos sites sur un annuaire référencement gratuit de qualité - Aide informatique
Avatar de l’utilisateur
SiMax
Posteur habitué
Posteur habitué
 
Messages: 202
Enregistré le: 21 Sep 2008 à 13:56

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Théonaute » 22 Nov 2008 à 17:20

Théonaute | Ancien membre de l'équipe des MODs
Citation :
<?php while(!($succeed = try())) ?>
Je ne suis plus actif dans la communauté phpBB. Je ne fais donc plus de support, de MODs (extensions) ni de support pour mes MODs...
Avatar de l’utilisateur
Théonaute
1/4 hibou
1/4 hibou
 
Messages: 6027
Enregistré le: 22 Jan 2006 à 15:45
Localisation: Au pays des caribous

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar SiMax » 22 Nov 2008 à 19:12

:o :shock:

J'avais pas pensé à faire la recherche en anglais :D

Merci beaucoup (même si j'ai trouvé mais bon).

Par contre ce que je n'ai jamais trouvé c'est pour ensuite sur un site qui utilise les sessions de phpBB3, connecter automatiquement avec les cookies :)
Référencez vos sites sur un annuaire référencement gratuit de qualité - Aide informatique
Avatar de l’utilisateur
SiMax
Posteur habitué
Posteur habitué
 
Messages: 202
Enregistré le: 21 Sep 2008 à 13:56

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar Théonaute » 23 Nov 2008 à 01:00

Le forum de coding contient un sujet là dessus et il y a un tuto dans le centre de docs.

Indice : search.php

Bien à vous, :wink:
Théonaute | Ancien membre de l'équipe des MODs
Citation :
<?php while(!($succeed = try())) ?>
Je ne suis plus actif dans la communauté phpBB. Je ne fais donc plus de support, de MODs (extensions) ni de support pour mes MODs...
Avatar de l’utilisateur
Théonaute
1/4 hibou
1/4 hibou
 
Messages: 6027
Enregistré le: 22 Jan 2006 à 15:45
Localisation: Au pays des caribous

Re: Hash/Crypt d'un mot de passe, juridiquement obligatoire ?

Messagepar SiMax » 23 Nov 2008 à 11:58

Merci !
Référencez vos sites sur un annuaire référencement gratuit de qualité - Aide informatique
Avatar de l’utilisateur
SiMax
Posteur habitué
Posteur habitué
 
Messages: 202
Enregistré le: 21 Sep 2008 à 13:56


Retourner vers Discussions générales

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 2 invités