Securité des comptes

• Glossaire
• Tous les comptes doivent être protégés
• Importance des mots de passe
• Les bons mots de passe
  • Idées pour choisir un bon mot de passe
• Les mauvais mots de passe
• Longueur du mot de passe
• Un mot de passe ne devrait servir qu'à un seul compte
• Évitez de communiquer vos mots de passe à un tiers par mégarde
• Demande de votre mot de passe par des tiers
• Rappels de mot de passe non sollicités
• Accès à des zones protégées de DMOZ depuis un environnement de cadres
• Stockage de votre mot de passe
• Les comptes ne doivent pas être partagés par plusieurs personnes
• Accès à DMOZ depuis des ordinateurs partagés par plusieurs personnes
• Conduite à tenir dans le cas où des éditeurs savent ou soupçonnent qu'un tiers connaît leur mot de passe
• Voir aussi

Les éditeurs de DMOZ peuvent accéder à des informations confidentielles (notes d'éditeur, contenu des forums de discussion, logs d'édition, etc.) et ont la possibilité de modifier les données du répertoire. En contrepartie, il est de leur responsabilité de prendre toutes précautions raisonnables pour assurer la sécurité de leur compte. Ce qui suit a été écrit dans le but de les y aider.

Glossaire

• Compte - Les privilèges associés dans DMOZ à des éléments d'accréditation donnés.
• DMOZ - Le système situé à http://dmoz.org/.
• Éléments d'accréditation - Un nom d'éditeur et le mot de passe correspondant ou encore toute combinaison de ces deux éléments.
• Mot de passe - Le mot confidentiel dont la saisie, associée au nom d'utilisateur correspondant, est requise pour authentifier un éditeur dans le système DMOZ.
• Nom d'utilisateur - Aussi appelé "nom d'éditeur", c'est l'identifiant unique qui est utilisé conjointement avec le mot de passe correspondant pour authentifier un éditeur dans le système DMOZ.
• Client web - Le dispositif utilisateur employé pour accéder à DMOZ. Les navigateurs Web comme celui de Netscape sont des clients web.
• Tiers - Individu ou groupe non autorisés à accéder à DMOZ et/ou au compte en question. Sont en général mal intentionnés.
• Zone d'accès restreint - Toute partie de DMOZ dont l'accès exige que l'utilisateur s'authentifie correctement au préalable.

Tous les comptes doivent être protégés

Aucun compte, même s'il donne que des accès de niveau très bas, ne devrait être considéré comme insignifiant et par conséquent non concerné par les suggestions ci-dessous. Toute voie donnant à des attaquants un accès privilégié à DMOZ doit être protégée.

Importance des mots de passe

Dans le contexte de DMOZ, les mots de passe des éditeurs sont la seule protection contre les accès non-autorisés aux comptes. Il est donc vital de les garder confidentiels et de ne jamais les révéler à une tierce partie, intentionnellement ou non.

Il est par ailleurs vital que les éditeurs commencent par choisir des mots de passe sûrs.

Les bons mots de passe

Les bons mots de passe sont difficiles à deviner. Les meilleurs sont difficiles à deviner pour ces raisons :

• Ils comportent des lettres majuscules et minuscules.
• Ils comportent des chiffres et/ou des signes de ponctuation en même temps que des lettres.
• Ils peuvent comporter des caractères de contrôle et/ou des espaces.
• Ils sont faciles à retenir et n'ont donc pas besoin d'être écrits. Ils sont longs de sept ou huit caractères.
• Ils peuvent être entrés rapidement pour ne pas être interceptés par quelqu'un qui regarderait par-dessus votre épaule.

Il est recommandé aux éditeurs de changer leur mot de passe au moins tous les deux mois.

Idées pour choisir un bon mot de passe

Prenez deux mots brefs et combinez-les avec un caracère spécial ou un chiffre, comme dog8Store ou montrE-moi. Composez un acronyme qui a un sens spécial pour vous, comme Memlvfpt! (Mozzie est mon lézard vert favori, pour toujours !) ou uhcepp*M (Un humain, c'est plus plus malin).

Les mauvais mots de passe

Évitez de choisir ce genre de mots de passe :

• Votre nom, le nom de votre conjoint ou de votre compagnon ou compagne.
• Le nom de votre animal familier ou de votre enfant.
• Les noms d'amis ou de collègues proches.
• Les noms de vos personnages de fiction favoris.
• Le nom de votre patron.
• Un nom de personne, quel qu'il soit.
• Le nom du système d'exploitation dont vous vous servez.
• Des informations provenant de votre profil ou de votre site personnel si vous en avez un.
• Le nom de votre poste de travail en réseau.
• Votre numéro de téléphone ou le numéro d'immatriculation de votre voiture.
• Une partie de votre numéro de sécurité sociale, quelle qu'elle soit.
• Une date de naissance, quelle qu'elle soit.
• Toute information facile à obtenir vous conernant (comme votre adresse ou le nom de votre université ou école).
• Des mots comme wizard, guru, gandalf, etc.
• Tout nom d'utilisateur de votre machine sous quelque forme que ce soit (tel quel, en majuscules, redoublé, etc.).
• Un mot d'un dictionnaire (français ou non).
• Des noms de lieux ou des noms propres quelconques.
• De simples suites de lettres prises sur le clavier, comme azerty ou uiop.
• Des mots de passe que vous avez vu indiqués comme de "bons" exemples.
• Les mêmes à l'envers.
• Tous ce qui précède, précédé ou suivi d'un seul chiffre.

Si le mot de passe d'un éditeur est conforme à l'une des définitions d'un "mauvais" mot de passe, il lui est fortement recommandé de le changer immédiatement pour un "bon" mot de passe.

Longueur du mot de passe

Seuls les huit premiers caractères des mots de passe sont significatifs. Cela signifie que le système considère le mot de passe coefficient comme exactement identique à coefficientdex. L'exception à cette règle est le mot de passe demandé pour modifier votre profil (donc également votre mot de passe), qui le mot de passe complet. Les éditeurs doivent en tenir compte lorsqu'ils choississent et entrent leur mot de passe.

Un mot de passe ne devrait servir qu'à un seul compte

Les éditeurs ne devraient employer leurs mots de passe DMOZ actuels ou passés sur aucun autre système.

Évitez de communiquer vos mots de passe à un tiers par mégarde

Lorsque les éditeurs veulent accéder à des zones de DMOZ à accès restreint, la plupart des clients web leur demandent de s'identifier au moyen d'une boîte de dialogue. Il est important que les éditeurs ne la remplissent pas aveuglément, car cela pourrait entraîner la divulgation des informations correspondantes à une tierce partie. Les éditeurs devraient toujours lire attentivement les informations données par la boîte de dialogue. De nombreux clients y indiquent le nom de domaine du système qui réclame que vous vous identifiez. Cette ligne devrait contenir "dmoz.org" ou "netscape.com" ; les variantes de ces noms de domaines euvent être aux mains de tierces parties, qui ne devraient pas se voir transmettre les éléments permettant d'identifier un éditeur.

Certains outils produits par des éditeurs nécessitent d'accéder à des zones protégées de DMOZ. Pour éviter de confier leur mot de passe ODP à une adresse qui n'est forcément sûre, les éditeurs devraient toujours ouvrir une session directement dans l'ODP avant d'employer ces outils.

Demande de votre mot de passe par des tiers

Nul n'a de raison valable de demander qu'un éditeur lui communique son mot de passe ni de demander qu'un éditeur change son mot de passe pour un autre indiqué par la personne qui s'adresse à lui. Les membres du staff ont déjà accès aux mots de passe des éditeurs et aucun éditeur ne demandera jamais à connaître le vôtre. Si un éditeur reçoit une demande de communication de son mot de passe, il doit purement et simplement l'ignorer.

Rappels de mot de passe non sollicités

Des tiers peuvent se servir de la fonction de rappel du mot de passe pour demander qu'il soit envoyé à l'adresse de courriel associée à ce compte. Le compte de courriel indiqué par les éditeurs dans leur profil doit donc être sûr et accessible uniquement au titulaire du compte. Il n'est jamais approprié de servir de comptes de courriel partagés pour DMOZ.

Si des éditeurs reçoivent un rappel de mot de passe qu'ils n'ont pas demandé, ce n'est pas nécessairement un motif pour eux de s'inquiéter -- le mot de passe a été envoyé à l'éditeur concerné et non à l'émetteur de la demande. Il est possible que le rappel ait été demandé par accident.

Accès à des zones protégées de DMOZ depuis un environnement de cadres

Il est fortement recommandé aux éditeurs de n'accéder à aucun zone réservée de DMOZ depuis un environnement de cadres ("frames"), c'est-à-dire un jeu de cadres réalisé par un tiers (même si c'est quelqu'un de confiance) qui appelle une URL pointant sur une zone réservée de DMOZ depuis un cadre. On a découvert de nombreuses vulnérabilités des navigateurs qui permettent à un tiers mal intentionné d'influencer les interactions entre un utilisateur et un site sans rapport avec lui ; il est probable que de nombreux clients pâtissent de ce genre de failles dans le futur, si ce n'est maintenant. Si les éditeurs tiennent à accéder à DMOZ depuis un environnement de cadres, il leur est recommandé d'enregistrer le jeu de cadres et tous les fichiers associés sur un disque local et de l'utiliser à partir de ce disque.

Stockage de votre mot de passe

Il est conseillé aux éditeurs de mémoriser leur mot de passe et de le fournir via leur client Web sur demande de dmoz.org. Le mot de passe ne devrait jamais être écrit sur papier, ni stocké dans un calepin électronique, ni transmis à une autre destination que dmoz.org sous aucune forme et par aucun moyen, qu'il soit électronique ou mécanique, qu'il s'agisse de photocopie, d'enregistrement ou de quoi que ce soit d'autre. Il est en outre demandé que les mots de passe ne soient pas transmis au sein des URL sous quelque forme que ce soit, spécialement la variante http://username:password@dmoz.org/.

Les comptes ne doivent pas être partagés par plusieurs personnes

Les comptes d'éditeurs sont créés à raison d'un par personne. Il est interdit aux éditeurs de détenir plusieurs comptes. Par conséquent, ils ne doivent pas non plus partager leur compte avec des tiers, même s'il s'agit de personnes en qui ils ont confiance. Si un non-éditeur souhaite avoir accès à DMOZ, il faut lui conseiller de faire acte de candidature pour avoir un compte en propre.

Accès à DMOZ depuis des ordinateurs partagés par plusieurs personnes

La méthode d'authentification employée par DMOZ a pour conséquence que de nombreux clents Web placent les éléments d'accréditation de l'utilisateur en cache de façon à les réutiliser. Typiquement, cette information n'est effacée que le client est fermé. Le résultat, c'est si des éditeurs accèdent à DMOZ au moyen d'ordinateurs ou de terminaux qu'ils partagent avec d'autres personnes ils doivent des précautions particulères pour s'assurer que leurs éléments d'accréditation sont effacés du client une fois leur session terminée ou s'ils leur ordinateur ou leur terminal sans surveillance. La manière d'y parvenir change en fonction de la plate-forme employée et les éditeurs sont encouragés à contacter leur administrateur système s'ils ne sont familiers avec ce processus.

Si le client employé sait l'utiliser, DOZ fournit un mécanisme de "logout" qui tente d'effacer du client les éléments d'accréditation de l'éditeur. Pour l'utiliser, les éditeurs doivent se connecter à l'URL http://editors.dmoz.org/logout/ et saisir un mot de passe incorrect dans le formulaire d'authentification.

Conduite à tenir dans le cas où des éditeurs savent ou soupçonnent qu'un tiers connaît leur mot de passe

Si un éditeur soupçonne qu'un tiers peut s'être procuré leur mot de passe, il doivent le changer immédiatement. S'ils soupçonnent que leurs éléments d'accréditation ont été obtenus par tromperie ou dans l'intention de nuire, il leur est conseillé de contacter staff@dmoz.org et / ou un éditeur meta en fornissant les détails appropriés, y compris les éventuels courriels associés avec leurs en-têtes. N.B. : Aucun document transmis par un éditeur ne doit comporter son mot de passe ; si c'est le cas, il faut l'effacer.

Si le mot de passe d'un éditeur ne fonctionne plus ou si l'éditeur pense que son compte de courriel a été piraté, il doit immédiatement envoyer un courriel au staff et à un éditeur meta en demandant de l'aide.

Voir aussi :

• Changer de mot de passe - Permet aux éditeurs de changer leur mot de passe.

• Editer son profil - Permet aux éditeurs de changer l'adresse de courriel à laquelle les rappels du mot de passe sont envoyés.

• Mot de passe oublié - Permet aux éditeurs de demander que leur mot de passe soit envoyé à l'adresse de courriel associée à leur compte.

• UNIX Password Security - Article très complet de Walter Belgers.