Comment ne pas gérer la sécurité des informations sur un formulaire de création de compte

Il y a quelques semaines, j’ai fait part d’une désagréable expérience d’achat où mon mot de passe m’a été envoyé par courriel suite à la création de mon compte. Comme je l’ai écrit, il s’agit d’une pratique irresponsable et qui met en danger la sécurité en ligne des usagers de ce site web. À proscrire!

Dernièrement, j’ai fait un achat de billets de spectacle pour une salle de spectacle à Laval. Vous me voyez venir? Par contre, cette fois-ci, j’étais plus fâché qu’horrifié par la situation.

Une image vaut mille mots (ou maux, comme vous voulez)

motdepasse

C’est bien ça. Quand j’ai vu le message d’erreur passer, je suis resté bouche bée. Le mot de passe que j’ai tenté d’utiliser contenait des caractères spéciaux. Vraiment?!

Êtes-vous surpris de vous que je vous dise que la majorité de mes mots de passe ne rentre pas dans l’une ou l’autre de ses catégories? Voyons donc! Un mot de passe valide doit être composé uniquement de chiffres et de lettres. J’aurais bien aimé être un oiseau et assister à la rencontre technique où cette règle s’est décidée.

Par curiosité, même si je m’en doutais un peu, j’ai été voir par quel moyen le champ du mot de passe était validé. Vu que c’était du .NET et qu’un validateur Regex côté client est utilisé, j’ai pu constater l’horreur de mes yeux vus.

Oui, oui. Vous avez bien lu. Le mot de passe est validé à l’aide d’une Regex qui prend la forme suivante: ^[a-zA-Z0-9]\\w{5,11}$.

Ironiquement, dans ma prospection de liens de la semaine, j’étais tombé sur l’article Stop forcing your arbitrary password rules on me. Drôlement à propos avec le billet de cette semaine.

La Regex utilisée est tellement mauvaise qu’elle impose l’utilisation de mots de passe pouvant être craqués en quelques secondes, au pire. C’est surtout ça le nœud du problème, en fait.

En bout de compte

J’ai cité ce formulaire en exemple pour démontrer que la sécurité des données sur le web est souvent tournée à la légère alors que ce devrait être quelque chose de pris très sérieusement. Certes, ce cas-ci est significativement moins mauvais que l’exemple cité en introduction.

Le point que je soulève n’est pas une inquiétude dramatique. Toutefois, il s’avère que, en tant que consommateur et développeur web, je suis déçu lorsqu’un site web comme celui-ci propose une solution proposant une gestion aussi faible de ma sécurité de mes informations.

La cerise sur le Sundae était la chose suivante. Le formulaire était incrusté dans une page web à l’aide d’un IFrame. Ni la page hôte et ni la page hébergée sur le site du fournisseur était sécurisée à l’aide d’un certificat SSL (HTTPS). Ça donne une idée du problème, non?

Advertisements

2 avis sur « Comment ne pas gérer la sécurité des informations sur un formulaire de création de compte »

  1. Vincent dit :

    De toutes façons j’espère que tu hash (et salt) les mots de passe avant de les stocker, donc, peut importe la taille du mot de passe de l’utilisateur, l’espace utilisé est toujours le même… Pas d’histoire de varchar(12) vs (500), caractères spéciaux, etc.

Laisser un commentaire

Entrer les renseignements ci-dessous ou cliquer sur une icône pour ouvrir une session :

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l’aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment ce contenu :