Follow

Oh putain, je viens de tomber sur une appli vraiment merdique...

J'utilise un générateur de mot de passe, donc je génère un mot de passe long et le complète manuellement avec des caractères spéciaux pour le faire accepter au site. Je copie colle, je valide, tout va bien.

Sauf que. Dans le champ dans lequel on entre le mot de passe, il y a "maxlength=25"". Pourquoi, évidemment, on ne sait pas (enfin, moi je dirais bien parce que les concepteurs sont stupides, mais ça n'engage que moi). Sauf que y'a pas d'avertissement ! Du coup, hier, quand j'ai essayé de me connecter sur mon ordinateur portable : mot de passe invalide. Bah oui, il n'accepte pas que j'entre un mot de passe de + de 25 caractères quand je le modifie, par contre quand c'est pour se connecter, pas de soucis...

J'étais dans l'incompréhension. Comment est-ce possible que mon gestionnaire de mot de passe se trompe ?

J'ai remarqué quand j'ai essayé d'enlever un caractère en particulier. La taille de la chaîne, sur le site, n'a pas changé...

@Madeorsk ce site c'est orange.fr ? … ils ont peut être changé depuis mais y'a eu un moment ou j'avais eu ça comme pb…

@aplufr Ah, non ! C'est Wildix. Pas très surpris d'apprendre que je ne suis pas le premier à être touché par ça, par contre...

@Madeorsk J'aime bien le fait qu'il faille complèter manuellement avec des caractères spéciaux parce que le mot de passe de 130 caractères aléatoires « n'est pas assez sécurisé » alors que le site limite l'entropie du mot de passe 😂

Ce n'est pas la première fois que j'ai entendu ce genre d'histoire d'horreur 🙁 J'avais même gardé un lien vers une histoire d'horreur du genre particulièrement dure à avaler… mais la suite de pouets a été supprimée : mastodon.etalab.gouv.fr/@maxau

C'est difficile de se mettre dans la peau des personnes qui conçoivent ces sites web. Incompétence ? Manque de formation ? Je-m'en-foutisme ? Administration qui impose des choses débiles ? Je n'en sais rien 😕

@MartinShadok Ah ouais ça... mdr j'ai l'impression que le site se moque de moi. Dans leur tête mettre un caractère $ transforme un mot de passe pourri en merveille incrackable ?

Je parierais sur méconnaissance couplée à administration débile. Les chefs demandent un truc ("faites un mot de passe sécurisé, disons entre 8 et 25 caractères, avec un caractère spécial, ........"), et les développeurs n'ayant pas connaissance de ce qui rend un mot de passe fort ou non exécutent sans réfléchir. (Et c'est grave car pour moi, expliquer qu'un choix est mauvais et que techniquement il vaut mieux partir sur autre chose, c'est une des tâches d'un développeur. Sûrement une des plus importantes, finalement...)

@Madeorsk
Il y en a pas mal comme ça, ils limite sûrement la longueur par rapport à la taille du champs password alloué dans leur base de données 🤔

Sur plusieurs sites, j'ai eu cette surprise en faisant 'mot de passe oublié' dont le champs n'avait pas de limite de caractères alors qu'à la creation de compte, il y en a une...

@daycode "la longueur par rapport à la taille du champs password alloué dans leur base de données"

Non, techniquement, si tu hashes ton mot de passe, que tu mettes un roman de milliers de caractères ou 3 caractères, le hash sera de la même taille. Bon, bien sûr, encore faut-il avoir hashé le mot de passe, mais je pars du principe que quasiment tout le monde (à part la MGEL) fait ça aujourd'hui.

@Madeorsk les sites qui imposent des contraintes dans le choix des mots de passe sans les préciser, ceux qui ont des critères différents quand tu créé le mot de passe que quand tu te login, ceux qui empêchent le c/C un champ sur deux, ce qui rends l'utilisation de gestionnaire de mot de passe bien chiante, ceux qui ont un "clavier virtuel" pour taper un mot de passe à 8 chiffres (sic) ou autre pratiques débiles, parfois au prétexte de sécurité (sic)… malheureusement tu vas en croiser pleins. ><

@ClovisGauzy Ah oui ça je sais, mais ce cas là se distinguait par un problème d'UX également. En fait, que la règle soit débile, c'est une chose. Mais que je n'en ai pas connaissance et que du coup ça me fasse perdre mon mot de passe, c'en est une autre. J'ai aussi parlé récemment d'un site qui empêchait le c/c (mais uniquement dans l'inscription ??).

@Madeorsk et tu n'as pas encore vu le site où il faut dépiauter le javascript du front pour savoir quel RegExp est utilisée pour définir les caractères autorisés ou non du mot de passe, parce que l'UI te retourne juste "mot de passe non valide", à la création du compte. ><

Sign in to participate in the conversation
Aleph

Generalistic Mastodon instance for open-minded people. Instance Mastodon généraliste pour personnes ouvertes d'esprit.