Bonjour Ludovic,
C'est plutôt une position pragmatique que j'évoque ici. Si ces usagers n'ont pas utilisé leur compte, je pense que c'est probablement en grande partie lié à la complexité des opérations (de leur point de vue !). Aussi, par expérience, je fais une grosse entaille à la prudence de rigueur par mesure des dangers relatifs.
Je ne sais pas trop comment un usager pourrait deviner que les mots de passe sont génériques (attention je pense qu'il faut le fixer avec une relative complexité ! Un truc du genre XNv45!z et on a l'impression que c'est unique ) et d'autre part, deviner la liste des comptes, sachant que sous Moodle le login n'est pas une information qui est affichable autre qu'aux Admin... Je pense donc que le risque est limité.
L'usurpation d'identifiant est légalement répréhensible. Est-ce que le jeu en vaut la chandelle ?
Mais je rejoins ton principe de « bonnes pratiques » que je tempère juste par un peu de pragmatisme. Le but, c'est que l'usager passe le cap de l'authentification. C'est pas toujours si simple.
Patrick