Votre services ne HASH pas les mots de passe ?!?

sitexw

New Member
#1
Bonjour,
C'est avec stupeur que je viens de découvrir, que les mots de passe (Cpanel, FTP, ...) des clients ne sont pas Hasher !
Comme on peut le voir sur cette image, le mot de passe est affriché en clair !
Sans-titre-1.jpg
(Screen-shot de mon propre compte)

Vous pourrais le constater par vous-même en allant sur : Espace membre => Services => (Sélectionnez un de vos produits) => (Allez en bas de page) Rubrique "Information de connexion".

Pourtant, c'est la base même de la sécurité. Un simple Keylogger sur l'ordinateur du client pourrait mettre en péril sa sécurité ! Voir pire, une intrusion dans vos systèmes pourrait être catastrophique.

Merci de me donner une très très bonne explication.
 
Dernière édition:

pierre_kuhn

Active Member
#2
Bonjour

déjà tu est dans une partie ssl et ensuite on le mets là pour ceux qui veulent le modifier ou le retrouvez ;)
 

sitexw

New Member
#3
Donc, c'est ce que je dis, c'est du grand délire !!!
Si la personne perd son mot de passe, il faut mettre en place un changement de mot de passe sans à avoir à retapez l’ancien.
Mais on ne garde pas des mots de passe en claire dans une BDD !!!!!!
 

sitexw

New Member
#5
Crypter ou pas, ça ne changera rien, car il est tout simplement décryptable. Alors que s'il est Hasher (avec un petit Salt), il est presque impossible, voire même pour le moment impossible (via un Hash sha512) à obtenir l'original.
Enfin, un simple Keylogger (qui prend des screens), suffit à prendre un screen du mot de passe "décrypter"...

De plus, tu ne peux pas changer ton mot de passe Cpanel via Cpanel. Tout ce passe par le gestionnaire PlanetHoster.
 
Dernière édition:

PH-CTO

Administrator
Membre du personnel
#6
Bonjour,

Les mots de passe des clients (pour l'espace membre et le support) sont cryptés ("haschés") en MD5.

Pour l'accès cPanel, vous pouvez changer le mot de passe via le cPanel si souhaité:


Notre espace membre est très sécuritaire. Lorsque le client a un backdoor sur son ordinateur, souvent c'est les mots de passe sauvegardés en clair sur son logiciel filezilla qui sont facilement récupérables ;)

Laissez-nous savoir si vous avez des questions,
 
Dernière édition par un modérateur:

PH-Mina

Administrator
Membre du personnel
#8
Je suis légèrement rassurer, mais MD5 n'est pas une solution de sécurité... Même avec un Salt.
Exemple : MD5Decrypter.co.uk, Over 8.7 billion Decrypted Hashes, Free MD5 Decryptor, MD5 Cracker, MD5 Security Hacking avec 8.7 milliard de combinaison.
Bonjour Sitexw,

Les mots de passe sont également dans le courriel de bienvenue. Il faut que le client prenne soin du mot de passe de son courriel et celui de son espace membre PlanetHoster.

Dès qu'une personne accède à l'interface client, nous gardons en mémoire toutes ses informations (IP, MAC adress, option d'affichage, système d'exploitation, etc).

Le client peut en tout temps changer le mot de passe de son cPanel en se connectant à celui-ci. Le nouveau mot de passe ne sera pas visible via l'onglet "service" dans l'espace membre PlanetHoster.

Si vous avez des questions, n'hésitez pas à nous contacter.
 
Haut