Noël approche et nous sommes très nombreux à nous tourner vers les achats en ligne.
Confinement oblige, de nombreuses entreprises se sont mises à la vente à distance et ont mis en place de la vente à distance via leurs sites internet, avec plus ou moins de bonheur.
J'ai quelques exemples récents de sites qui ne permettent pas de modifier le mot de passe, ou deux sites qui m'ont envoyé mon mot de passe en clair à l'inscription. J'espère qu'ils n'ont pas stocké mes informations de carte bleue de la même manière (en vrai ils n'ont pas gardé mes données bancaires).
Ca, c'est ce qu'il ne faut faire sous aucun prétexte. Donc que faut-il faire ?
Il faut tout d'abord ne pas stocker le mot de passe en clair, et demander à la personne qui gère votre site de faire le chiffrement de mot de passe sur le PC du client et non sur vos serveurs. Votre site internet n'a pas besoin de connaître les mots de passes de ses clients pour les authentifier.
Donc quand un client s'inscrit, un mail comme celui ci dessous est largement suffisant (oui, pour les bonnes pratiques j'affiche le site).
Et si votre client a oublié son mot de passe ? Vous lui envoyez un lien de réinitialisation pour qu'il choisisse un mot de passe.
Dans tous les cas, vous n'avez aucune, mais absolument aucune raison de noter les mots de passe de vos clients quelque part. Un mot de passe stocké, c'est un problème si un jour vous êtes atteint par une attaque informatique et vos clients vous demanderont des comptes.