Ce qui est sûr c'est que la politique de mot de passe imposé n'est pas la meilleure, loin s'en faut.
Premier problème, le mot de passe de Mme Michu est connu des administrateurs du site, et ce n'est pas vraiment safe, même avec la meilleur volonté on ne peut exclure une fuite accidentelle.
Deuxième problème , un mot de passe doit changer régulièrement, et là ça n'est pas possible.
Troisième problème, comment est choisi le mot de passe de Mme Michu ?
- Par un algorithme ? Le risque est que si on décode un mot de passe on puisse en déduire les autres.
- Au hasard ? Si on utilise un bon outil c'est fiable, si c'est fait en fonction de l'humeur de celui qui le 'crée' c'est beaucoup plus problématique.

Je m'arrête là mais il y aurait encore à dire sur le sujet.

Je suis d'accord avec lesoutier pour dire que ce n'est certainement pas la bonne façon de gérer les mots de passe (en plus de ne pas être conforme au RGPD).
Si la raison est de pouvoir dépanner un utilisateur en se connectant à sa place, il existe des plugins qui permettent la connexion d'un administrateur en utilisant son propre mot de passe avec l'identifiant d'un utilisateur du site. Ainsi pas besoin de connaître les mdp des utilisateurs.

+1
Si cela concerne des sites en France, donc la CNIL :
https://www.cnil.fr/fr/authentificat...e-elementaires

Hao à tous. Merci beaucoup pour vos retours.
Je suis parfaitement conscient que cette politique est loin d'être conforme RGPD d'une part, et sécuritaire d'autre part. Mais je suis régulièrement confronté à un refus en bloque lorsque j'évoque les RGPD et la gestion des mots de passe. Je vais fouiller la proposition de jfque concernant l'intervention à l'aide d'une extension tierce et ferais en sorte de faire passer cette solution. Merci JFQUE :-)