Qui n’a jamais utilisé plusieurs fois le même mot de passe pour se créer un compte sur un site web ? Trop de sites qui demandent de “s’enregistrer”, trop de mots de passe à retenir, et pas de réutilisation de l’authentification possible dans la plupart des cas (mais OpenID peut être une solution…)

Et des fois (souvent ?), impossible de se souvenir du $^¨ù%*µ de mot de passe qu’on a utilisé sur le site X. Mais pas de panique, le site X vous propose souvent un lien “mot de passe oublié ?“. Et là attention…

photo credit: guspim

En effet, certains sites vous renvoient votre mot de passe en clair… Ce qui signifie donc que votre mot de passe n’est pas haché (i.e., le site ne stocke pas une “empreinte” de votre mot de passe comme base de comparaison, mais votre mot de passe lui-même). Dans ce cas, comment savoir comment est véritablement protégé votre mot de passe ?

D’autres sites vont vous renvoyer un lien pour vous permettre de réinitialiser votre mot de passe… Dans ce cas-là, il faut examiner plus en détail… Pensez aussi au système de “question personnelle” permettant parfois d’enregistrer un nouveau mot de passe… Est-ce que le nom de jeune fille de votre mère est suffisant pour accéder à votre compte ? Ou bien c’est carrément plus foklorique des fois…

Attention donc aux processus gérant l‘oubli de mot de passe sur le site web que vous utilisez. Plus d’infos dans cette étude.