Discussion :

[XDavidX]

Bonjour,
Je cherche une charte ou de documentation et ou un lien web qui stipule clairement que les membres de l'équipe IT , SI ( DBA etc .. ) ne doivent pas avoir accés à un mot de passe visible.
je reprends ci dessous en quelques lignes mes interrogations:

Concernant les bonnes pratiques et la réglementation relative à la confidentialité des informations des utilisateurs d’un service commercial. Particulièrement dans les métiers de la banque.
Le DBA ou les employés des services informatiques doivent-ils avoir accès aux mots de passe "non décryptés" de la clientèle d’un service d’e-banking ?
La loi autorise-t-elle ce principe ? Celui que les employés des services informatiques d'une banque ( ou société financière ) puissent avoir accès à ce genre d’information (mot de passe).
Quelles sont les bonnes pratiques pour que le DBA ou un autres membres de l’it n’aient pas accès à cette information ‘(mot de passe du client ) précisément . On parle d’un mot de passe défini par le client pas d’un mot de passe temporaire.
Quel outil ou mesure est-il possible de prendre pour arriver à crypter les informations de la base de donnée ( MDP ) sans que les personnes de l'informatique ( Dba etc .. ) ne puissent décrypter l'information tout en permettant les authentifications des utilisateurs à la plateforme ( e-banking ) au moment d'une connexion via " login + MDP " ? Ceci sans trop alourdir le système.
Existe t il des "applications" qui peuvent gérer cela et/ou une méthode où la clé de cryptage serait séparer de la clé de décryptage qui serait stockée ou logée chez une tierce partie (chez le département juridique ou le siège de la banque ou de l'entreprise financière ).

Merci

[gangsoleil]

Bonjour,

Il suffit d'utiliser un chiffrage de type hashage pour ne pas pouvoir accéder au mot de passe en clair -- c'est d'ailleurs la base de la sécurité du stockage des mots de passe. On peut citer PBKDF2 par exemple.

[philou44300]

J'avais lu qu'il est aussi bien de "saler" le mot de passe.