Comment faire fuir à coup sûr vos utilisateurs ?

NiKo — Sun, 24 Aug 2008 15:45:00 +0200

C’est bien connu, il est déjà sufisament dur de faire (re)venir des utilisateurs sur vos services en ligne pour ne pas les faire partir à la moindre occasion. C’est pourtant ce que fait un site dédié à la guitare que j’ai tenté de consulter récemment. Connaissant les tendances dérivistes des services juridiques de certaines entités, je m’abstiendrai donc de faire un lien hypertexte direct vers ce dernier, et même de le citer textuellement^[1].

Je tombe sur ce site, qui propose apparemment moult ressources sur l’instrument et qui m’intéressent potentiellement, mais au moment de consulter l’article objet de ma convoitise, on me notifie du message suivant :

Jusque-là, rien de profondément choquant même si on peut imaginer que nombre d’internautes ne s’embêteront pas à créer un compte pour consulter la ressource et passeront à la concurrence^[2].

Allez, je suis dans un bon jour, je demande la création d’un compte. Je me retrouve face à un formulaire assez copieux, exigeant bien entendu des informations hautement nécessaires pour consulter un tutoriel de guitare comme ma localisation géographique, mon nom de famille, ma date de naissance, sans oublier bien entendu les inévitables propositions d’abonnement à des newsletter très étroitement liées à la pratique de la guitare :

Sentant le SPAM arriver à grand pas, je rentre mon email suffixé pour détecter a posteriori le service à l’origine d’éventuels courriels indésirables reçus. Ben non :

Vous noterez le plus fort, c’est que non seulement le service n’est pas à même de valider convenablement une adresse email (le signe + est acceptable), mais en plus on me soupçonne ouvertement de SPAM potentiel.

Normalement, à ce stade, je me casse sur Mars, comme on dit. Mais pour la beauté de l’exercice, je corrige mon adresse email, pérsévère en entrant un mot de passe et valide à nouveau le formulaire :

Oui, cela commence à faire beaucoup. Je ne réexpliquerai pas ici pourquoi limiter les caractères dans les mots de passe est idiot, cela a déjà été fait ici-même précédemment.

Toujours dans la perspective de poursuivre cette expérience amusante, j’arrive enfin à valider le formulaire sans retours d’erreur et m’identifie donc sur le service pour consulter la ressource en question. Patatra :

Non seulement la création d’un compte était obligatoire, mais maintenant il faut s’abonner (c’est à dire payer) pour consulter la ressource en question, chose qui n’avait été aucunement stipulée auparavant. Sachant bien entendu qu’à ce stade, je n’ai toujours aucune idée de la qualité des contenus proposés par le site.

Bref, je leur souhaite malgré tout un avenir comptable radieux, même si je ne peux m’empêcher de pouffer à l’idée du chiffre d’affaire généré par le se(r)vice.

Notes

[1] Mais les curieux trouveront bien entendu sans peine le site en question.

[2] Sur le Web, vous avez quasiment systématiquement un concurrent qui propose la même chose que vous gratuitement. C’est comme ça, et c’est aussi un peu pour ça que c’est chouette.

Ce billet intitulé Comment faire fuir à coup sûr vos utilisateurs ? a été rédigé par Nicolas Perriault et publié sur le blog Prendre un Café sous licence Creative Commons BY-NC-SA.

Demander à restreindre les caractères utilisés dans les mots de passe est idiot

NiKo — Wed, 04 Jun 2008 12:25:00 +0200

Voulant créer un compte sur un nouveau service en ligne, j'ai eu la désagréable surprise d'obtenir ce message d'erreur au moment de la validation de mon mot de passe :

Password may only contain alphanumeric characters

Pour les anglophobes, on me demande de n'utiliser que des caractères alphanumériques pour mon mot de passe.

Ce n'est pas la première fois que je tombe sur la mise en place de pareil procédé. Quel est l'intérêt d'imposer cette limitation ? Je pense que plus un mot de passe utilise une plage de caractères diversifiée, plus il est sécurisé. Je peux éventuellement imaginer les problèmes que pourraient poser l'utilisation de caractères codés sur deux octets, ou encore l'angoisse d'une faille XSS potentielle chez les plus paranos, mais de là à interdire purement et simplement les tirets, underscores, espaces^[1], je trouve ça tout simplement idiot à tomber par terre.

Voila, c'est dit.

Edit : Quelques astuces sur la sécurisation des mots de passe.

Notes

[1] Alors que l'utilisation de deux espaces dans un mot de passe est très sécurisante

Ce billet intitulé Demander à restreindre les caractères utilisés dans les mots de passe est idiot a été rédigé par Nicolas Perriault et publié sur le blog Prendre un Café sous licence Creative Commons BY-NC-SA.

Prendre un Café - Tag - ergonomie

Comment faire fuir à coup sûr vos utilisateurs ?

Notes

Demander à restreindre les caractères utilisés dans les mots de passe est idiot

Notes