J’ai reçu un e-mail aléatoire de Discourse indiquant que quelqu’un avait demandé une réinitialisation de mon mot de passe. Je regardais un film quand cet e-mail est arrivé, c’était effrayant. J’ai immédiatement changé mon mot de passe et ma clé d’authentification.
Quelqu’un pourrait-il s’il vous plaît examiner cela ? J’ai peur.
Il n’y a probablement pas lieu de s’inquiéter. Discourse envoie ce message à l’adresse e-mail d’un utilisateur si quelqu’un clique sur le lien « J’ai oublié mon mot de passe » sur le formulaire de connexion de <s’inscrire> et saisit l’adresse e-mail de l’utilisateur dans le formulaire :
Rien n’empêche qui que ce soit de saisir une adresse e-mail dans le formulaire. C’est la pratique standard pour gérer les mots de passe oubliés sur le web. La fonctionnalité de sécurité intégrée est que l’e-mail de réinitialisation du mot de passe n’est envoyé qu’à l’adresse e-mail saisie dans le formulaire. Ainsi, à moins que la personne qui a déclenché l’e-mail n’ait également accès à la boîte de réception de l’e-mail, elle ne pourra pas accéder au site.
Vous pourriez envisager d’activer l’authentification à deux facteurs sur votre compte Discourse. Cela vous donnera une couche de sécurité supplémentaire, au cas où quelqu’un aurait accès à votre compte de messagerie. Vous pouvez activer l’authentification à deux facteurs à partir de la page Sécurité de votre compte Discourse. Si vous rencontrez des difficultés pour la configurer, vous pouvez obtenir de l’aide ici.
Il est peu probable que vous deviez contacter HackerOne à ce sujet. HackerOne s’adresse aux personnes qui ont découvert une faille exploitable et répétable dans Discourse. Je pense que ce que vous rencontrez est le fonctionnement attendu du formulaire « J’ai oublié mon mot de passe ».
Modification : êtes-vous administrateur du site ? Si oui, il est possible que votre adresse e-mail soit définie dans le paramètre username de contact du site. Cette adresse e-mail est affichée sur la page À propos du site. Il serait facile pour quelqu’un de la récupérer. Idéalement, tout le personnel du site devrait activer l’authentification à deux facteurs sur ses comptes Discourse.
Merci pour votre réponse rapide et je pense que vous avez raison !
Je n’ai pas de page d’inscription, seulement une page de connexion. Juste au-dessus de la page de connexion, il y a un court message indiquant mon adresse e-mail pour me contacter et je pense que quelqu’un a simplement utilisé cette adresse e-mail pour créer un lien de réinitialisation de mot de passe. C’est malin ! J’ai changé l’adresse e-mail et elle n’est plus connectée à aucun compte.
Merci beaucoup ! Quand cela s’est produit, en une fraction de seconde, j’ai vu tant de variations, j’essayais de travailler sur tous les résultats possibles.
L’authentification à deux facteurs est activée depuis le début.
Eh bien, c’était une fausse alerte, ce dont je suis heureux de dire et du fond du cœur, j’aimerais apprécier la plateforme incroyable que Discourse a créée. Je suis très heureux de l’utiliser !! 
Ces e-mails me font toujours un peu paniquer, alors je comprends.
Il y avait en fait une faute de frappe dans ma réponse. Le lien « mot de passe oublié » se trouve sur la fenêtre modale de connexion, pas sur la fenêtre modale d’inscription, il est donc probable qu’ils aient simplement cliqué sur ce lien et accédé au formulaire.
C’est excellent !
Techniquement, je ne pense pas qu’une personne ait besoin de connaître l’e-mail d’un compte pour demander une réinitialisation de mot de passe, juste le nom d’utilisateur.
Si le nom d’utilisateur est public, n’importe qui pourrait le saisir dans le formulaire “mot de passe oublié” et un e-mail comme celui-ci serait envoyé.
Aucun risque de sécurité tant que les boîtes de réception e-mail sont sécurisées.
Je comprends que pour certaines personnes, cela pourrait sauver des vies, mais en même temps, cela pourrait aussi leur donner une crise cardiaque.
Existe-t-il un moyen de le désactiver pour le nom d’utilisateur ?
De plus, y a-t-il des mesures que vous recommanderiez à cet égard ?
N’utilisez pas de services d’e-mail gratuits et douteux, à l’exception de Gmail et Hotmail, mais y compris mail.ru, alibaba, etc. Et utilisez des mots de passe forts ainsi qu’un VPN lorsque vous utilisez un Wi-Fi gratuit ou peu fiable. Mesures de sécurité normales.
Mais cela n’a rien à voir avec Discourse, cependant.
Je suis un utilisateur Apple et je suis abonné à iCloud Plus, qui propose Private Relay (en gros un VPN).
Oui, j’utilise un mot de passe extrêmement fort et long, suggéré et conservé dans les trousseaux iCloud.
Est-ce que cela suffirait ?
Vous pouvez utiliser le paramètre d’administration hide email address taken (masquer l’adresse e-mail prise), qui nécessiterait alors l’adresse e-mail complète pour les demandes de réinitialisation de mot de passe :
Les conseils sur la création d’un mot de passe pour votre compte de messagerie sortent du cadre de ce forum, bien que je sois sûr que vous trouverez de bonnes ressources proposées par votre fournisseur de messagerie à ce sujet. 
Comme Jakke l’a mentionné, cela dépend de votre service de messagerie. iCloud est probablement assez sécurisé, mais je n’y connais rien.
Il existe souvent une option d’authentification à deux facteurs, ce qui signifie que vous avez besoin d’un mot de passe et d’une clé de sécurité physique pour vous connecter, ou d’un code d’authentification généré par une application d’authentification.
Je crois que le message dit que si vous n’avez pas demandé le message, il n’y a pas lieu de s’inquiéter. N’est-ce pas ?
Pour la réinitialisation du mot de passe ici chez Meta, l’e-mail indique :
« Quelqu’un a demandé à réinitialiser votre mot de passe. Si ce n’est pas vous, vous pouvez ignorer cet e-mail en toute sécurité. »
Cela peut probablement être personnalisé pour dire quelque chose de différent pour différents sites.
Avec l’option de réinitialisation du mot de passe, il est également indiqué de contacter le personnel de Discourse si quelqu’un a perdu l’accès à son e-mail, je ne connais pas leur processus pour cela.
L’administrateur peut modifier (presque) tous les textes ici. Allez simplement dans admin > personnaliser > texte.
Même ce texte est assez général, il fonctionne pour (presque) tous les forums — juste parce que les choses sont ainsi, demander un nouveau mot de passe n’est pas un risque de sécurité. Cela peut être un peu ennuyeux, si cela arrive assez souvent (comme c’est arrivé sur Instagram il y a quelque temps).
C’était utile, merci !!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
