web-dev-qa-db-fra.com

Un administrateur peut-il vérifier les mots de passe des utilisateurs enregistrés?

J'ai un site sur lequel j'ouvre des comptes pour des utilisateurs et leur remets leurs identifiants de connexion.

Maintenant, disons qu'un utilisateur a oublié son mot de passe et veut le réinitialiser. Il clique sur "Mot de passe perdu?" lien sur la page de connexion et un nouveau mot de passe est alors automatiquement envoyé à sa boîte mail.

En tant qu'administrateur, est-il possible de vérifier le nouveau mot de passe de cet utilisateur sans le réinitialiser?

La raison en est que je dois toujours avoir accès aux comptes des utilisateurs enregistrés.

Merci!

7
luqo33

Les mots de passe des utilisateurs sont stockés dans une inscription unidirectionnelle. Même en regardant la base de données, vous ne pouvez pas connaître le mot de passe. Ceci est une fonctionnalité de base de la confidentialité. La plupart des utilisateurs utilisent le même mot de passe sur plusieurs sites. imaginer les risques potentiels pour les utilisateurs si l'administrateur du site peut accéder à leurs mots de passe. Vous pouvez intercepter le mot de passe depuis et y accéder, mais c'est vraiment une très mauvaise pratique. Si je savais qu'un site sur lequel je suis inscrit stocke mon mot de passe de manière lisible par l'homme, ou tente d'intercepter le mot de passe, je le ferais probablement remarquer à l'agence de protection de la vie privée de mon pays, peut-être pas, mais je cesserais d'utiliser ce site pour vous.

Cela étant dit, en tant qu'administrateur, vous n'avez pas besoin du mot de passe pour accéder au profil de l'utilisateur ou à ses données. Les administrateurs ont accès à la plupart des champs de profil directement dans la zone d'administration, et bien sûr via la base de données. Les champs nouveaux ou personnalisés dans les profils utilisateur peuvent être codés avec ou sans accès administrateur, à vous de choisir. Donc, je ne comprends pas l'intérêt d'obtenir les mots de passe des utilisateurs.

9
cybmeta