des informations assez importantes

sur chaque site on donne notre adresse email + mot de passe

imaginez si seulement 1 / 100 des inscrits utilise le meme mot de passe pour son compte paypal, compte gmail etc

et qu'il y ai 100 000 inscrits sur le site ... ça fait bcp de comptes ...

qu'est-ce qui empêche un admin de vendre ces données ?

Rien, c'est pour ça qu'il ne faut jamais utiliser le même password sur tous les sites.

Et normalement tu chiffres les mots de passe avant de les entrer dans ta BDD

Si il les chiffres c'est qu'il peut les dechifrer aussi. De plus rien n'empeche de les pas les chiffrer.

Non, il existe des façons de chiffrer sans pouvoir déchiffrer ensuite, (cf. crypto à clé publique, par exemple)

Je ne m'y connais pas vraiment, mais je suis curieux de savoir comment on déchiffre du sha1 par exemple (admin ou pas admin). Sinon bien sûr que si le créateur du site a décidé de te voler ton mot de passe il le fera, mais faut juste s'inscrire sur des sites fiables

Ca se déchiffre pas.
Quand tu rentres ton password, on lui applique la fonction de cryptage et ensuite, on compare ce qu'on obtient à ce qu'il y a dans la base.

https://blog.uraniborg.net/post/chiffrement-hachage-et-compagnie-disambiguation/

1. qu'est-ce qui empêche un admin de vendre ces données ?

la loi

C'est de la naïveté pure de croire que les mots de passes sont en clair dans la BDD

C'est de la naïveté de croire qu'ils ne le sont jamais
Fais des recherches sur le net, la sécurité est très fréquemment mise de côté.

Bunyan+1,

dairkil, lis les news technologiques et tu vera que de tres nombreux systeme qui ont ete hackes contenaient des mots de passes en clair. Hasher les mdp est une precaution de securite usuelles. Mais elle n'est pas verifiable par le client du site web. Donc c'est tres difficile de savoir ce qu'il se passe.

remarque que même un pass qui est hash peut être vulnérable à une attaque de brute force à l'aide d'une rainbow_table

bien sur c'est valable que si le pass est léger

De toute façon je vois pas l'intérêt pour un admin de détourner les infos, il va perdre son boulot et avoir un procès sur le dos et ne pourra plus jamais être embaucher de sa vie.

il faut particulièrement faire attention a jeuxvideo.com tant qu'au données inscrites au compte. Non pas parce qu'il y a des risques connus que les administrateur vendent vos données mais bien parce qu'aucune inscription n'est hashé dans la base de donnée ni même les mots de passes. Tout est écris telle quelle et le premier qui réussie a mettre la main sur la BDD récupère tout les données lisible sans le moindre effort.

dairkil Si tu savais les horreurs que j'ai pu voir chez certains grands comptes...

j'ai déjà eu accès à des bases de données de différents sites et je peux vous certifier que les mots de passes ne sont pas tous le temps crypté ( ex : un site de jeu en flash, que vous ne connaissez surement pas ... )

BuretteGraduee -> parce que tu crois que quand l'admin va détourner les données il va le crier haut et fort ?

une vente comme ça, ça se fait discrét sur le deep web je pense.

et si quelqu'un remarque un truc il camoufle cela en un hack / fuite des données.

En plus la plupart des gens sont inscrits sur pas mal de sites différents, alors en retenir quelques uns de mdp ça va, mais quand ça commence à faire plus de 10 sites... Après tu peux toujours utiliser un système qui te stocke tous tes mots de passe mais bon au final si quelqu'un y accède il a accès à toutes tes informations, faudrait l'écrire sur un bout de papier en fait tous les mots de passe... Mais c'est vite fait de le perdre aussi. Et puis si quelqu'un obtient ce papier. Et puis si tu t'amuses à les retenir, et que tu en as pas mal de mdp, et que tu oublié lequel de tes mdp correspond à ce site, cela va finir en "trop de tentatives échoués".

Bref tu n'en finis pas pour cette histoire de mot de passe.

Et merci pour le lien d'explication.

Non, ils ne peuvent pas voir les mots de passe car ceux-ci sont chiffrés dans la base de données.

Si ce que je viens de dire est faux, JVC est pourri au niveau de la sécurité !

+ Toujours utiliser des mdp's différents au moins pour votre mail car à partir de ce dernier, on a accès à tous vos autres comptes (suffit de clic sur mdp oubliés....)