Connaissances Informatiques >> Dépannage >> Les mots de passe >> Content
  Derniers articles
  • Comment changer le mot de passe 
  • Qu'est-ce qu'un ancien mot de passe …
  • Comment faire pour désactiver le mo…
  • Comment supprimer ou réinitialiser …
  • Comment faire pour récupérer un mo…
  • Comment réinitialiser votre mot de …
  • Une empreinte digitale représente-t…
  • de ce que j'ai fait, le gars derriè…
  • Comment supprimer le mot de passe de…
  • Comment débloquer la protection par…
    		•
      Les mots de passe
  • Virus informatiques

  • convertir des fichiers

  • Support pour portable

  • Dépannage ordinateur portable

  • Support PC

  • PC Dépannage

  • Les mots de passe

  • Résoudre les erreurs informatiques

  • Désinstaller Hardware & Software

  • Google

  • VPN

  • Videos

  • AI

  • ChatGPT

  • OpenAI

  • Gemini

  • Browser
    		•
    		 
    Les mots de passe

    Comment pouvez-vous réinitialiser les mots de passe des utilisateurs si vous connaissez son mot de passe actuel ?
    Vous ne devriez jamais utilisez le mot de passe existant d'un utilisateur pour le réinitialiser, même si vous le connaissez. Il s'agit d'une énorme faille de sécurité et d'une violation des meilleures pratiques. Voici pourquoi et comment vous devriez *réellement* réinitialiser les mots de passe :

    Pourquoi utiliser le mot de passe existant est une erreur :

    * Sécurité compromise : Si vous pouvez utiliser l'ancien mot de passe pour en définir un nouveau, toute personne ayant accès à cette fonctionnalité (par exemple, un employé malveillant, un pirate informatique qui compromet votre système) peut modifier silencieusement les mots de passe des utilisateurs et prendre le contrôle des comptes à l'insu de l'utilisateur.

    * Perte de responsabilité : Si vous connaissez le mot de passe d'un utilisateur, vous pouvez théoriquement effectuer des actions en tant qu'utilisateur. Cela rend impossible l’audit et la responsabilité. Vous ne pouvez pas prouver que l’utilisateur a effectué l’action, car vous auriez pu le faire vous-même.

    * Principes de stockage des mots de passe : Les systèmes modernes ne stockent jamais les mots de passe en clair. Ils sont *hachés* et souvent *salés*. Même si vous *pouviez* obtenir le hachage stocké, l'utiliser pour définir un nouveau mot de passe va à l'encontre de l'objectif de l'algorithme de hachage et introduit des vulnérabilités. Essayer d'inverser un hachage est informatiquement difficile et potentiellement impossible (conçu de cette façon !), mais donner accès au mot de passe contourne la sécurité.

    La bonne façon de réinitialiser les mots de passe (même avec un accès administrateur) :

    Les méthodes appropriées impliquent que l'utilisateur lance le processus de réinitialisation ou qu'un administrateur déclenche une réinitialisation qui *force* l'utilisateur à choisir un nouveau mot de passe lors de la prochaine connexion.

    1. Réinitialisation du mot de passe initiée par l'utilisateur (libre-service) : C'est la méthode préférée.

    * Fonctionnalité « Mot de passe oublié » : La plupart des sites Web et des applications disposent d'un lien « Mot de passe oublié » ou « Réinitialiser le mot de passe ».

    * Vérification de l'e-mail : L'utilisateur clique sur le lien, saisit son adresse e-mail (ou son nom d'utilisateur) et le système lui envoie un e-mail contenant un lien unique et limité dans le temps vers une page de réinitialisation de mot de passe.

    * Questions de sécurité/Options de récupération : Moins courant, mais toujours valable :l'utilisateur répond à des questions de sécurité qu'il a préalablement définies ou utilise une méthode de récupération prédéfinie (par exemple, un numéro de téléphone de récupération).

    * Saisie d'un nouveau mot de passe : L'utilisateur clique sur le lien et est redirigé vers une page où il peut saisir et confirmer un nouveau mot de passe. Ce nouveau mot de passe est ensuite haché et stocké en toute sécurité.

    2. Réinitialisation du mot de passe initiée par l'administrateur (forcer une modification) :

    * Panneau d'administration/outil de ligne de commande : L'administrateur utilise un outil avec les autorisations appropriées pour réinitialiser l'*état* du mot de passe, PAS pour *définir* directement un nouveau mot de passe.

    * Drapeau pour changement de mot de passe : Le système définit un indicateur sur le compte de l'utilisateur qui l'oblige à modifier son mot de passe lors de sa prochaine connexion.

    * Mot de passe temporaire (non recommandé) : Dans *certains* cas très spécifiques (et *uniquement* si d'autres options ne sont pas disponibles), un administrateur peut générer un mot de passe *temporaire*. Le système *doit* forcer l'utilisateur de le remplacer par un nouveau mot de passe immédiatement lors de sa première connexion avec le mot de passe temporaire. Il s’agit généralement d’une mauvaise pratique car :

    * Cela nécessite de stocker le mot de passe temporaire, même brièvement.

    * Les utilisateurs ne peuvent pas le modifier immédiatement, ce qui augmente le risque.

    Détails de mise en œuvre (varient selon le système/la langue) :

    Le code et les étapes exacts dépendent du langage et du framework que vous utilisez (par exemple, Python avec Django, PHP avec Laravel, Node.js avec Express, etc.). Voici un aperçu général :

    * Backend (côté serveur) :

    * Hashage de mot de passe : Utilisez un algorithme de hachage puissant comme bcrypt, Argon2 ou scrypt (et non MD5 ou SHA1, qui sont considérés comme défectueux). Les bibliothèques sont facilement disponibles pour toutes les principales langues.

    * Génération de sel : Générez un sel unique pour chaque mot de passe. Le sel est une valeur aléatoire combinée au mot de passe avant le hachage. Cela empêche les attaques de table arc-en-ciel.

    * Stockage du mot de passe : Stockez le *hash* et le *salt* dans votre base de données, jamais le mot de passe en clair.

    * Réinitialiser la génération de jetons : Lorsqu'une réinitialisation est demandée, générez un jeton unique et aléatoire (par exemple, un UUID) et associez-le à l'utilisateur dans la base de données. Incluez un horodatage pour faire expirer le jeton après une certaine période (par exemple, 1 heure).

    * Envoi d'e-mail : Utilisez une bibliothèque ou un service pour envoyer des e-mails. Assurez-vous que vos e-mails sont correctement formatés et ne ressemblent pas à du spam.

    * Validation des jetons : Lorsque l'utilisateur clique sur le lien de réinitialisation, validez le jeton par rapport à la base de données, en vérifiant qu'il existe, qu'il n'a pas expiré et qu'il est associé au bon utilisateur.

    * Mise à jour du mot de passe : Après une validation réussie, autorisez l'utilisateur à saisir un nouveau mot de passe, à le hacher avec un nouveau sel et à mettre à jour la base de données. Invalidez ou supprimez le jeton de réinitialisation.

    * Frontend (côté client) :

    * Formulaires sécurisés : Utilisez HTTPS pour crypter la communication entre le navigateur et le serveur.

    * Compteur de force de mot de passe : Fournissez un retour visuel à l’utilisateur sur la force de son mot de passe.

    * Champ de confirmation : Demandez à l'utilisateur de saisir le nouveau mot de passe deux fois pour éviter les fautes de frappe.

    Exemple (Python conceptuel/Django) :

    ```python

    depuis django.contrib.auth.hashers importer make_password, check_password

    à partir de django.contrib.auth.models importer l'utilisateur

    importer l'uuid

    importer la date et l'heure

    def reset_password_request (e-mail) :

    essayer:

    utilisateur =Utilisateur.objects.get(email=email)

    reset_token =uuid.uuid4()

    user.profile.reset_token =reset_token # En supposant que vous ayez un modèle UserProfile

    user.profile.reset_token_expiry =datetime.datetime.now() + datetime.timedelta(hours=1)

    utilisateur.profile.save()

    # Envoyer un e-mail avec reset_token

    send_password_reset_email(user.email, reset_token)

    retourner vrai

    sauf User.DoesNotExist :

    return False # Ou gérer l'erreur de manière appropriée

    def verify_reset_token(jeton) :

    essayer:

    utilisateur =User.objects.get(profile__reset_token=token, profile__reset_token_expiry__gt=datetime.datetime.now())

    retour utilisateur

    sauf User.DoesNotExist :

    retourner Aucun

    def set_new_password(utilisateur, new_password) :

    user.password =make_password(new_password) # Hachez le nouveau mot de passe

    user.profile.reset_token =Aucun # Invalider le jeton

    user.profile.reset_token_expiry =Aucun

    utilisateur.profile.save()

    utilisateur.save()

    ```

    Considérations clés en matière de sécurité :

    * HTTPS : Utilisez toujours HTTPS pour chiffrer les communications.

    * Limitation du débit : Implémentez une limitation du débit pour empêcher les attaques par force brute sur le point de terminaison de réinitialisation du mot de passe.

    * Expiration du jeton : Définissez un délai d'expiration raisonnable pour les jetons de réinitialisation.

    * Journalisation : Enregistrez les demandes et les tentatives de réinitialisation de mot de passe à des fins d’audit.

    * Audits de sécurité réguliers : Examinez périodiquement la mise en œuvre de la réinitialisation de votre mot de passe pour identifier et corriger les vulnérabilités potentielles.

    * Principe du moindre privilège : Accordez uniquement les autorisations minimales nécessaires aux administrateurs qui peuvent lancer des réinitialisations de mot de passe.

    En résumé, connaître le mot de passe existant d'un utilisateur ne devrait *jamais* être utilisé pour le réinitialiser. Utilisez les méthodes sécurisées, initiées par l'utilisateur ou l'administrateur (forçant le changement à la prochaine connexion) décrites ci-dessus pour protéger les comptes d'utilisateurs et maintenir un système sécurisé.

     
    Article précédent:
    Article suivant:
    Articles recommandés
  • Comment changer un mot de passe pour la messagerie btinternet ? 
  • Comment obtenir le mot de passe de Plantronics Explorer 2xx ? 
  • Comment changer un mot de passe de compte 
  • Comment trouver un nom d'utilisateur et mot de passe 
  • Comment supprimer le mot de passe d'un fichier Excel 
  • Comment réinitialiser un mot de passe administrateur pour la Galerie 2.3 
  • Comment changer votre mot de passe WiFi 
  • Comment supprimer le mot de passe de la page de compte ? 
  • Comment récupérer le mot de passe Outlook 
  • Je me connecte à Hotmail, regarde mes e-mails, je n'ai pas changé le mot de passe et c'est tout à…
    		•
    Connaissances Informatiques © http://www.ordinateur.cc