Ben oui mais c'est un peu le but ici, non ? Pas d'être violent mais que les gens arrêtent de penser qu'un mot de passe peut voyager.
"Communiquer" par contre, me va très bien. Je ne sais pas pourquoi je l'avais remplacé par "transmettre".
Un peu violent ;-) cela pourrait prêter à confusion, "transmis" étant très large.
Est-ce que ça ne risque pas de donner l'impression que, par contre, si c'est pas à l'utilisateur, ça va ? :D
Mais c'est vrai que je me m'étais pas posé la question de la vérifiabilité. Est-ce que si on est obligé de créer un compte pour vérifier on est toujours dans le critères "vérifiable" ?
Sur cette BP, on vise vraiment l'envoi par mail, de manière unitaire et vérifiable (on aurait sans doute plus de mal à tester l'envoi par courrier).
Cela dit, je ne ferme pas la porte à l'idée de l'étendre à toute notion de transmission à l'utilisateur. Si on suit ta proposition, mais en voie active ça donnerait :
{Le site ne transmet pas de mot de passe à l'utilisateur}
Et pourquoi pas juste {Les mots de passe ne sont pas transmis.} tout court ?
Nous c'est ce qu'on faisait avec Opquast (pendant dix ans) mais on savait que c'était mal :)
C'est risqué. C'est le mode de fonctionnement par défaut de beaucoup de services et systèmes (services administratifs et collectivités, CMS, etc.) et pas du tout considéré comme un dernier recours…
Ça peut tout à fait s'expliquer dans une mise en œuvre en disant que c'est une solution en dernier recours. Cela étant posé, elle peut alors passer en candidate ;)
La limite des mots de passe choisis par l'utilisateur me semble également nécessaire. Il est parfois plus simple d'envoyer un mot de pass temporaire par mail, à changer lors de la première connexion (en cas d'oubli ou de première connexion).
Comment on fait alors, en particulier en cas de mot de passe oublié ? On oblige le lien de reinitialisation, ou des codes par sms ? D’un point de vue utilisateur, si le premier me semble satisfaisant, je suis très embêté à chaque fois qu’on me demande un tél.
Quel est le gain de cette BP pour l’utilisateur ? La sécurité ?
Ce que dit Luc est intéressant (si j'ai bien compris) : limiter aux mots de passe créés par l'utilisateur.
<p>Je ne sais pas si ça se fait toujours mais j'ai déjà eu ça : il m'est arrivé en cas d'oubli de mot de passe, qu'un site envoie un mot de passe généré aléatoirement à utiliser pour se connecter, avec l'obligation de re-définir un nouveau mot de passe à la connexion.<br />
Le cas échéant, est-ce qu'il ne faudrait pas expliciter qu'on parle de mot de passe défini par l'utilisateur ?<br />
{Les mots de passe définis par l'utilisateur ne sont pas transmis par mail}</p>