Mots interdits dans un mot de passe : select, insert, update, delete, drop

 (id.uni-lj.si)
2 points par GN⁺ 2024-01-22 | 1 commentaires | Partager sur WhatsApp

Réinitialisation du mot de passe de l’identité numérique

  • Si vous avez oublié votre mot de passe après avoir activé votre identité numérique, vous pouvez le réinitialiser via cette page.
  • Vous devez saisir vos informations personnelles dans le formulaire ci-dessous et connaître votre nom d’utilisateur.
  • Le nom d’utilisateur ressemble à une adresse e-mail, par exemple jn1234@student.uni-lj.si.
  • Si vous avez oublié à la fois votre nom d’utilisateur et votre mot de passe, vous devez contacter le helpdesk de l’université.

Saisie des informations personnelles

  • Des informations personnelles sont nécessaires pour retrouver votre identité numérique dans la base de données.
  • Vous devez obligatoirement renseigner le prénom, le nom, la date de naissance, l’ID étudiant et la faculté de rattachement.
  • Le choix de la faculté propose différentes options, comme l’Académie des beaux-arts et du design, l’Académie de musique, ou encore l’Académie de théâtre, radio, cinéma et télévision.

Définir le nom d’utilisateur et le nouveau mot de passe

  • Le nom d’utilisateur ressemble à une adresse e-mail. Par exemple, pour John Smith, il s’agit de js1234@student.uni-lj.si.
  • Vous devez choisir un mot de passe robuste et facile à retenir, et éviter les mots de passe trop prévisibles.
  • Le mot de passe doit comporter au moins 10 caractères, ne pas contenir votre nom, et respecter 3 des 4 critères suivants : majuscules, minuscules, chiffres, caractères spéciaux (-_.+@).
  • Le mot de passe ne doit pas contenir de combinaisons de caractères telles que script, select, insert, update, delete, drop, --, ', /*, */.
  • Vous devez saisir le mot de passe deux fois afin d’éviter les fautes de frappe.

L’avis de GN⁺

  • Cette page aide les utilisateurs ayant oublié le mot de passe de leur identité numérique à le réinitialiser facilement.
  • Les règles de définition d’un mot de passe robuste jouent un rôle important dans la protection des informations numériques des utilisateurs.
  • La procédure consistant à contacter le helpdesk de l’université lorsqu’on a oublié à la fois le nom d’utilisateur et le mot de passe offre aux utilisateurs un moyen d’obtenir une aide supplémentaire.

À lire aussi

1 commentaires

 
GN⁺ 2024-01-22
Avis Hacker News

  • Récit d’un développeur à qui un administrateur a demandé d’ajouter certaines chaînes interdites. Le site ne stocke pas les mots de passe et fournit une interface pour la gestion de comptes externes. Il circule une rumeur selon laquelle une application legacy pourrait avoir une validation étrange empêchant la connexion avec des mots de passe contenant certaines chaînes, mais aucun exemple précis n’est connu.

  • Récit d’une expérience de piratage d’une grande plateforme sociale pendant l’enfance. En exploitant une méthode qui supprimait simplement les mots interdits, il a été possible d’injecter des balises HTML valides et de prendre le contrôle de ce que voyaient les visiteurs de la page.

  • Avis selon lequel ce type d’exigence peut parfois être une bonne idée. Beaucoup de gens écrivent du mauvais code et de mauvaises architectures système, et il manque souvent des personnes ayant suffisamment de compétences, d’autorité organisationnelle et de temps pour corriger cela et imposer des changements. Aux États-Unis, il peut arriver qu’on doive faire du business via des sites web codés de façon déplorable. Dans ce cas, il peut être préférable de partir du principe que l’implémentation est atroce, comme c’est souvent le cas, et de recommander des mesures d’atténuation en conséquence.

  • Critique de l’approche qui consiste à restreindre quelques mots-clés et à espérer que les hackers n’inventeront rien d’imprévu, au lieu d’utiliser des procédures stockées et des techniques appropriées pour empêcher totalement l’injection SQL. On n’est plus en 2005 : éviter que les entrées utilisateur se mélangent au SQL n’a plus rien de sorcier. Stocker des mots de passe sans les chiffrer était déjà stupide en 2005.

  • Commentaire disant qu’il utiliserait truncate à la place.

  • Avis selon lequel cela semble venir d’anciens systèmes. Certaines universités et banques utilisent encore de vieux mainframes pour l’authentification centralisée, et stockent parfois les mots de passe en clair avec une limite à 8 caractères, uniquement en majuscules. Les principales raisons de ne pas moderniser ces systèmes sont le coût et la complexité.

  • Témoignage d’un étudiant selon lequel toutes les chaînes interdites ne sont pas vérifiées.

  • Récit de quelqu’un qui a dû définir ce type d’exigences dans son travail. Toutes les chaînes devraient être correctement échappées et les requêtes paramétrées utilisées pour éviter les attaques par injection SQL, mais dans une logique de défense en profondeur, il faudrait rejeter dans tous les champs les contenus qui ressemblent à du SQL ou du HTML.

  • Commentaire très confiant affirmant que son mot de passe ne sera jamais détecté.

  • Supposition optimiste selon laquelle ces exigences pourraient provenir d’un WAF (pare-feu applicatif web) trop zélé.