Picto thématique

Règle n° 26 - Aucune information n’est exposée sur l’existence d’un compte utilisateur.

De très nombreux sites utilisent des identifiants personnels pour la connexion. Cela peut être des pseudonymes, des noms et le plus fréquemment des adresses de courriel. Des personnes mal intentionnées peuvent tenter de se connecter avec certains identifiants prévisibles, et exploiter la réponse du site pour déterminer l’existence d’un compte. Une fois vérifié qu’un compte existe, il devient possible de tenter de se connecter avec différents mots de passe ou via une attaque par force brute. Pour éviter cela, le site doit éviter de révéler qu'un identifiant est associé à un compte.

PrécédenteSuivante
#Conception #Données personnelles #Développement #Privacy

Objectif

  • Prévenir les tentatives d’usurpation de comptes ou d’identité,
  • Améliorer la sécurité des utilisateurs et utilisatrices.

Mise en œuvre

En réponse à une tentative de création de compte, de connexion (ou une série de tentatives), ou à une demande de renvoi du mot de passe, ne pas afficher de messages du type :
  • « Cet email est déjà utilisé »
  • « Mot de passe incorrect »
  • « Veuillez suivre la procédure de réinitialisation du mot de passe envoyée par mail »
  • « Compte verrouillé »
Privilégier les messages du type :
  • « Si vous avez déjà un compte, utilisez la récupération de mot de passe. »
  • « Identifiants incorrects. Veuillez vérifier votre adresse et mot de passe. »
  • « Si un compte existe pour cette adresse, un email de réinitialisation a été envoyé. »
  • « Impossible de se connecter. Réessayer plus tard ou utilisez la récupération de mot de passe. »

    • Contrôle

    Vérifier qu'aucune information n'est donnée sur l'existence d'un compte utilisateur lors de tentatives de création de compte, de connexion ou de récupération du mot de passe.

    Auteur Opquast - Consulter la licence

    PrécédenteSuivante

    Découvrez la certification Opquast

    • Une formation et une certification 100% en ligne
    • 14 heures en ligne en autonomie, disponible 24h/24, 7j/7
    • guide de 200 pages, des quiz, un glossaire, des examens blancs, des articles des videos
    • Pour tous les professionnels du Web : marketing, commerciaux, UX, chefs de projet, designers, développeurs, ingénieurs informatiques.
    • Une approche multidisciplinaire : SEO, accessibilité, sécurité, écoconception… pour tous les professionnels, débutants comme confirmés.

    Module de sensibilisation
    Inscription gratuite