Login sécurisé ?

[xpatval]

Bonjour, matin de M....,

Dans le cadre d'un site marchand, où la création d'un compte est obligatoire afin de pouvoir acheter, la sécurisation du login (s'enregistrer, ou créer un nouveau compte) par SSL est-elle franchement recommandée, ou bien inutile ?

xpatval

[robinsonvendredi]

C'est un sujet super intéressant.

Je crois que le risque lié à l'absence de certificat SSL n'est pas le plus important.

Le certificat SSL n'est vraiment nécessaire AMHA que si on collecte des données très sensibles (santé, défense...).

En revanche, il y a 2 risques bien réels: les fuites de données chez l'hébergeur, et en interne chez le client.

1.Chez l'hébergeur :

- Au niveau des documents confidentiels comme des schémas techniques,

- Au niveau de la base clients

Moi je suis partisan d'un cryptage de certaines données et documents avec une clé différente pour chaque client.

2.Chez le client : le piratage de données dans l'entreprise par du personnel mal intentionné.

Trop de systèmes d'identification ne reposent que sur 2 variables (nom, mot de passe), certains même sur email-mot de passe et parfois même le mot de passe est en cookie.... là tu as de grandes chances d'avoir des fuites côté client.

Nous avons opté pour un système avec trois variables (nom, No compte, mot de passe), les informations sensibles, comme les prix, ne s'affichent qu'en fonction d'un profil testé sur la base lors de l'identification, avec un contrôle du groupe et du profil individuel de l'utilisateur avant de créer les variables de session.

En fait, de mon point de vue, le No de compte est rapidement nécessaire, dès qu'on veut mettre en place un système d'identification vraiment professionnel.

Notamment, le No de compte assure l'intégrité des comptes web (par exemple, un client peut avoir deux utilisateurs nommé avec un seul No de compte).

Autre utilité : le No de compte peut être celui du fournisseur dans les comptes du client, ce qui permet au client de s'identifier depuis sa plate-forme d'achat sur l'extranet du fournisseur.

Bon là je m'éloigne un peu du sujet, c'est la passion qui parle...

[xpatval]

Vaste sujet, ô combien sensible, effectivement.

De ta réponse, j'en tire (poussif, comme phrase) deux choses:

Le numéro de compte associé à l'identification de l'acheteur (id + mdp), permettant la navigation avec affichage des prix peut être un obstacle pour l'utilisateur. Disons que, et c'est purement personnel, je ne serai pas tenté de me balader sur un site marchand, être "obligé" de créer un compte, simplement pour connaître les tarifs des produits mis en vente. Avec ou sans certification SSL.

Et, paradoxalement, l'utilisateur un temps soit peu averti des risques liés au paiement en ligne, si risque il existe, peut être "rassuré" de se logger en utilisant une connexion sécurisée (à mon sens...).

Cela étant, l'adjonction d'un numéro de compte, lors de la création de celui-ci, est effectivement des plus utiles...

Eternel débat sur la sécurisation des données...

xpatval

[robinsonvendredi]

Le numéro de compte associé à l'identification de l'acheteur (id + mdp), permettant la navigation avec affichage des prix peut être un obstacle pour l'utilisateur. Disons que, et c'est purement personnel, je ne serai pas tenté de me balader sur un site marchand, être "obligé" de créer un compte, simplement pour connaître les tarifs des produits mis en vente.

<{POST_SNAPBACK}>

Oui mais tu peux avoir différents groupes de clients .

Pour le groupe par défaut "visiteurs" seuls les tarifs catalogue public s'affichent (ou pas de prix du tout).

De même pour les stocks, parfois il n'est pas souhaitable que tout le monde connaisse les niveaux de stocks.

En revanche, le client qui s'enregistre peut passer à un groupe "client1" qui a accès à une info plus poussée-Autre option, il est en groupe "prospect" et ce sera à l'administrateur de lui attribuer un groupe.

En principe dans les logiciels de gestion il existe différentes catégories tarifaires qui peuvent correspondre à divers groupes de clients sur le web.

En tout cas c'est ce que nous avons retenu comme approche.

Après tu gères une variable de session "groupe", qui selon les paramétrages définis par l'administrateur, permet d'accéder à telle ou telle information sous telle ou telle forme.

Sinon, pour le SSL sur la page d'identification, c'est vrai qu'il peut rassurer le client, sauf les fois où il tombe sur l'affichage du certificat en cours de réactualisation (désirez vous poursuivre avec un certificat périmé ?) là c'est la cata !