Si un site Web me montre à quoi mon mot de passe a été changé, est-il stocké en texte brut?
Je viens de changer le mot de passe sur un site Web lié à l'école. Une fois la modification effectuée avec succès, la page suivante indique à quoi le mot de passe a été modifié. Puis-je en conclure que le mot de passe est pas stocké uniquement en tant que hachage?
Non, vous ne pouvez pas conclure cela.
Le mot de passe peut être haché uniquement côté serveur, ce qui implique que le mot de passe est envoyé en texte brut au serveur et stocké dans une variable. Ensuite, rien n'empêche l'application Web d'afficher le mot de passe envoyé à l'utilisateur, dans le cas où le même script qui a reçu le mot de passe vous donne des commentaires sur la modification du mot de passe.
D'un autre côté, si un tout autre module vous donne le mot de passe en texte brut (peut-être une fonction de récupération de mot de passe), vous pouvez conclure qu'il n'est pas haché.
Edit: Pour éviter toute confusion, dans ce cas, "texte brut" ne fait en aucun cas référence à SSL, il suggère simplement que le mot de passe n'est pas envoyé pré-haché au serveur.
Vous ne pouvez pas conclure que le mot de passe a été stocké en texte brut s'il est affiché de nouveau peu de temps après l'avoir modifié. D'un autre côté, s'il est affiché après un certain temps (jours par exemple), cela peut être un bon indice que le mot de passe n'est en effet pas haché (il est stocké en texte brut ou crypté).
Quoi qu'il en soit, la réaffichage d'un mot de passe n'est clairement pas une meilleure pratique car elle peut compromettre beaucoup plus que le site Web actuellement visité.
Comme d'autres l'ont mentionné, cela ne signifie pas nécessairement que le mot de passe est stocké en texte brut mais est un mauvais signe et une mauvaise pratique.
Voici quelques façons de déterminer si votre mot de passe est stocké en texte brut:
- Utiliser la récupération du mot de passe pour voir s'il vous est envoyé par e-mail (cela indique un texte en clair ou un cryptage bidirectionnel tout au plus).
- Vérifiez les exigences de mot de passe, s'il y a une faible longueur maximale (par exemple 15-20 caractères), c'est un bon indicateur qu'il est stocké en texte brut.
En général, vous devez utiliser un mot de passe unique pour chaque site, surtout si vous voyez des indicateurs indiquant qu'il n'est pas stocké correctement.
Demandez simplement à l'administrateur.
Vraiment, mon expérience est qu'ils vous diront s'ils stockent le mot de passe en texte brut.
Pour répondre directement à votre question, non sur la base des informations que vous avez fournies, il n'est pas possible de savoir si le mot de passe est stocké (localement ou à distance) en texte brut au-delà de cette session.
Non ce n'est pas le cas. Le mot de passe est probablement envoyé à la page où il vous est affiché et en même temps il est stocké. Nous ne pouvons pas dire s'il est stocké haché ou non, mais afficher le mot de passe ne signifie pas qu'il n'est pas haché. Comme les autres réponses, je conviens que c'est une terrible idée de montrer le mot de passe sur la page suivante en texte brut. C'est mauvais de toute façon de le montrer. Ce n'est pas le meilleur exemple, mais que se passe-t-il si vous changez votre mot de passe lorsque vous êtes (dans votre cas) avec un étudiant à côté de vous. Vous lui dites de se retourner pendant que vous tapez votre mot de passe. Vous dites que vous lui avez tapé votre mot de passe, il se retourne, la page suivante se charge et la personne peut simplement voir votre mot de passe. Mon ami était dans la même situation et j'ai vu son mot de passe.