Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Ah ça sert à ça ! Le CA aussi a adopté cette méthode.
-- Delf Do not use this email in Cc! L'alcool tue lentement. On s'en fout. On n'est pas pressé.
Benoit Izac wrote:
Si c'est coté serveur que tu recherches, il suffit de faire comme
bnpparibas.net : une grille où tu cliques pour taper ton mot de passe
(ici des chiffres uniquement).
Ah ça sert à ça ! Le CA aussi a adopté cette méthode.
--
Delf
Do not use this email in Cc!
L'alcool tue lentement. On s'en fout. On n'est pas pressé.
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Ah ça sert à ça ! Le CA aussi a adopté cette méthode.
-- Delf Do not use this email in Cc! L'alcool tue lentement. On s'en fout. On n'est pas pressé.
Fabien LE LEZ
On 09 Apr 2006 20:09:18 GMT, Fred :
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Si c'est pour un probléme légal, emmerder le monde[*] par un moyen technique n'est pas la bonne solution. Mieux vaut t'adresser à un légiste, qui te donnera un texte à mettre en "disclaimer" sur ton site pour dégager ta responsabilité.
D'autre part, empêcher l'enregistrement du mot de passe n'est pas un moyen d'augmenter la sécurité, mais juste un moyen de déplacer le problème : certes, le mot de passe n'est pas stocké sur disque dur, mais le fait de devoir le taper à chaque fois permet aux keyloggers d'être plus efficaces.
[*] N'importe qui peut assurer la sécurité en sacrifiant l'usabilité : il suffit de débrancher la prise Ethernet et le tour est joué.
On 09 Apr 2006 20:09:18 GMT, Fred <nobody@aol.com>:
J'apporte une précision sur la raison de ma question : dans le climat
actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware,
pc zombie ...) il est évident qu'il y aura à un moment ou un autre des
internautes (ou une associations d'usagers) pour mettre en cause la
responsabilité du fournisseur de service qui aura permis la mémorisation des
mots de passe donnant accès à des services sensibles
Si c'est pour un probléme légal, emmerder le monde[*] par un moyen
technique n'est pas la bonne solution. Mieux vaut t'adresser à un
légiste, qui te donnera un texte à mettre en "disclaimer" sur ton site
pour dégager ta responsabilité.
D'autre part, empêcher l'enregistrement du mot de passe n'est pas un
moyen d'augmenter la sécurité, mais juste un moyen de déplacer le
problème : certes, le mot de passe n'est pas stocké sur disque dur,
mais le fait de devoir le taper à chaque fois permet aux keyloggers
d'être plus efficaces.
[*] N'importe qui peut assurer la sécurité en sacrifiant l'usabilité :
il suffit de débrancher la prise Ethernet et le tour est joué.
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Si c'est pour un probléme légal, emmerder le monde[*] par un moyen technique n'est pas la bonne solution. Mieux vaut t'adresser à un légiste, qui te donnera un texte à mettre en "disclaimer" sur ton site pour dégager ta responsabilité.
D'autre part, empêcher l'enregistrement du mot de passe n'est pas un moyen d'augmenter la sécurité, mais juste un moyen de déplacer le problème : certes, le mot de passe n'est pas stocké sur disque dur, mais le fait de devoir le taper à chaque fois permet aux keyloggers d'être plus efficaces.
[*] N'importe qui peut assurer la sécurité en sacrifiant l'usabilité : il suffit de débrancher la prise Ethernet et le tour est joué.
Manu
Emmanuel Florac wrote:
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être intéressant dans ce cas précis : http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) images de petits chats, les robots étant notoirement peu doués pour cette tâche :)
3 images/bidules/lettres c'est peu, l'implémentation du système à interêt à être bonne. Si ça empêche les robots mais pas un bête "brute-force" on a pas beaucoup avancé, non ?
Emmanuel Florac wrote:
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être
intéressant dans ce cas précis :
http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus)
images de petits chats, les robots étant notoirement peu doués pour
cette tâche :)
3 images/bidules/lettres c'est peu, l'implémentation du système à
interêt à être bonne. Si ça empêche les robots mais pas un bête
"brute-force" on a pas beaucoup avancé, non ?
Un nouveau système anti-robots très astucieux, d'ailleurs peut-être intéressant dans ce cas précis : http://arstechnica.com/news.ars/post/20060407-6554.html
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) images de petits chats, les robots étant notoirement peu doués pour cette tâche :)
3 images/bidules/lettres c'est peu, l'implémentation du système à interêt à être bonne. Si ça empêche les robots mais pas un bête "brute-force" on a pas beaucoup avancé, non ?
Olivier Miakinen
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, [...]
Euh... il me semble que, justement, forcer les utilisateurs à retaper leur mot de passe facilitera les attaques de types phishing et keyloging... Non ?
J'apporte une précision sur la raison de ma question : dans le climat
actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, [...]
Euh... il me semble que, justement, forcer les utilisateurs à retaper
leur mot de passe facilitera les attaques de types phishing et
keyloging... Non ?
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, [...]
Euh... il me semble que, justement, forcer les utilisateurs à retaper leur mot de passe facilitera les attaques de types phishing et keyloging... Non ?
Erwann ABALEA
This message is in MIME format. The first part should be readable text, while the remaining parts are likely unreadable without MIME-aware tools. ---559023410-1903590565-1144650343=:11051 Content-Type: TEXT/PLAIN; charset=iso-8859-15; format=flowed Content-Transfer-Encoding: 8BIT
On Sun, 9 Apr 2006, Fred wrote:
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Si l'information permettant de s'authentifier tient dans une zone de saisie et est humainement mémorisable, alors c'est un mot de passe, et il peut être enregistré.
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes clients ...
Non, vous voulez vous protéger contre une éventuelle mise en cause...
Personnellement, je vote +1 contre un site qui déciderait à ma place de ce que je peux sauvegarder ou non.
Et si je voulais mettre en place quelque chose de réellement non mémorisable, je le rendrais dynamique: OTP, TLS+certif client, ...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Tous cela, il faut que ça change. Je PAYE mon abonnement Internet et j'exige que mon vote et mes opinions soient pris en considération. -+- Rocou In GNU - Les payeurs ne sont pas les conseilleurs -+- ---559023410-1903590565-1144650343=:11051--
This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.
---559023410-1903590565-1144650343=:11051
Content-Type: TEXT/PLAIN; charset=iso-8859-15; format=flowed
Content-Transfer-Encoding: 8BIT
On Sun, 9 Apr 2006, Fred wrote:
J'apporte une précision sur la raison de ma question : dans le climat
actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware,
pc zombie ...) il est évident qu'il y aura à un moment ou un autre des
internautes (ou une associations d'usagers) pour mettre en cause la
responsabilité du fournisseur de service qui aura permis la mémorisation des
mots de passe donnant accès à des services sensibles
Si l'information permettant de s'authentifier tient dans une zone de
saisie et est humainement mémorisable, alors c'est un mot de passe, et il
peut être enregistré.
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes
clients ...
Non, vous voulez vous protéger contre une éventuelle mise en cause...
Personnellement, je vote +1 contre un site qui déciderait à ma place de ce
que je peux sauvegarder ou non.
Et si je voulais mettre en place quelque chose de réellement non
mémorisable, je le rendrais dynamique: OTP, TLS+certif client, ...
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
Tous cela, il faut que ça change. Je PAYE mon abonnement Internet et
j'exige que mon vote et mes opinions soient pris en considération.
-+- Rocou In GNU - Les payeurs ne sont pas les conseilleurs -+-
---559023410-1903590565-1144650343=:11051--
This message is in MIME format. The first part should be readable text, while the remaining parts are likely unreadable without MIME-aware tools. ---559023410-1903590565-1144650343=:11051 Content-Type: TEXT/PLAIN; charset=iso-8859-15; format=flowed Content-Transfer-Encoding: 8BIT
On Sun, 9 Apr 2006, Fred wrote:
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Si l'information permettant de s'authentifier tient dans une zone de saisie et est humainement mémorisable, alors c'est un mot de passe, et il peut être enregistré.
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes clients ...
Non, vous voulez vous protéger contre une éventuelle mise en cause...
Personnellement, je vote +1 contre un site qui déciderait à ma place de ce que je peux sauvegarder ou non.
Et si je voulais mettre en place quelque chose de réellement non mémorisable, je le rendrais dynamique: OTP, TLS+certif client, ...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Tous cela, il faut que ça change. Je PAYE mon abonnement Internet et j'exige que mon vote et mes opinions soient pris en considération. -+- Rocou In GNU - Les payeurs ne sont pas les conseilleurs -+- ---559023410-1903590565-1144650343=:11051--
R12y
On Sun, 09 Apr 2006 20:09:18 +0000, Fred wrote:
il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe
Eh bien dans ce cas, c'est au fournisseur du navigateur qu'ils s'en prendront! Puisque c'est le navigateur qui le permet. Ceci dit, en changeant à tous les coups l'URL du formulaire d'identification, tu pourrais faire sauter le truc.
il est évident qu'il y aura à un moment ou un autre des
internautes (ou une associations d'usagers) pour mettre en cause la
responsabilité du fournisseur de service qui aura permis la mémorisation des
mots de passe
Eh bien dans ce cas, c'est au fournisseur du navigateur qu'ils s'en
prendront! Puisque c'est le navigateur qui le permet.
Ceci dit, en changeant à tous les coups l'URL du formulaire
d'identification, tu pourrais faire sauter le truc.
il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe
Eh bien dans ce cas, c'est au fournisseur du navigateur qu'ils s'en prendront! Puisque c'est le navigateur qui le permet. Ceci dit, en changeant à tous les coups l'URL du formulaire d'identification, tu pourrais faire sauter le truc.
Le Mon, 10 Apr 2006 07:04:15 +0000, Manu a écrit :
3 images/bidules/lettres c'est peu, l'implémentation du système à interêt à être bonne. Si ça empêche les robots mais pas un bête "brute-force" on a pas beaucoup avancé, non ?
C'est sûr. Tu as regardé le lien ?
-- L'église est une secte qui a réussi. Ernest Renan.
Le Mon, 10 Apr 2006 07:04:15 +0000, Manu a écrit :
3 images/bidules/lettres c'est peu, l'implémentation du système à
interêt à être bonne. Si ça empêche les robots mais pas un bête
"brute-force" on a pas beaucoup avancé, non ?
C'est sûr. Tu as regardé le lien ?
--
L'église est une secte qui a réussi.
Ernest Renan.
Le Mon, 10 Apr 2006 07:04:15 +0000, Manu a écrit :
3 images/bidules/lettres c'est peu, l'implémentation du système à interêt à être bonne. Si ça empêche les robots mais pas un bête "brute-force" on a pas beaucoup avancé, non ?
C'est sûr. Tu as regardé le lien ?
-- L'église est une secte qui a réussi. Ernest Renan.
Guillaume F
"Fred" a écrit dans le message de news: 4437f27c$0$2076$
Bonsoir,
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Merci
Tu peux utiliser un clavier virtuelle par ex
Guillaume
"Fred" <nobody@aol.com> a écrit dans le message de news:
4437f27c$0$2076$626a54ce@news.free.fr...
Bonsoir,
Je recherche en ligne un article ou site qui explique, si possible avec un
codage universel pour tous les navigateurs, d'empêcher l'enregistrement du
mot de passe et/ou de l'identifiant de connexion à un service sécurisé
https, même si l'internaute accepte de mémoriser ce mot de passe dans les
propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en
ces temps d'attaques répétées me semble important, l'internaute n'étant
souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
"Fred" a écrit dans le message de news: 4437f27c$0$2076$
Bonsoir,
Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Merci
Tu peux utiliser un clavier virtuelle par ex
Guillaume
Emmanuel Florac
Le Sun, 09 Apr 2006 20:09:18 +0000, Fred a écrit :
Merci de citer cet exemple car c'est justement avec une grille de ce type que nous nous sommes rendus compte que le mot de passe était quand même mémorisé ...
Ben oui, c'est super nul comme système...
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Le Sun, 09 Apr 2006 20:09:18 +0000, Fred a écrit :
Merci de citer cet exemple car c'est justement avec une grille de ce type
que nous nous sommes rendus compte que le mot de passe était quand même
mémorisé ...
Ben oui, c'est super nul comme système...
--
Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Le Sun, 09 Apr 2006 20:09:18 +0000, Fred a écrit :
Merci de citer cet exemple car c'est justement avec une grille de ce type que nous nous sommes rendus compte que le mot de passe était quand même mémorisé ...
Ben oui, c'est super nul comme système...
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
Stephane Catteau
Fred devait dire quelque chose comme ceci :
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Sauf que tu inverses totalement les données du problème. Le site n'est en aucune façon responsable ou ne serait-ce que lié de prêt ou de loin à l'enregistrement du mot de passe lié à ce site. Par conséquent, il ne peut pas être mis en cause pour cela. Par contre, un site qui m'interdirait d'enregistrer mon mot de passe, que ce soit par un moyen logiciel ou en m'invitant très fortement à ne pas le faire, aurait du souci a se faire. En effet, si le mot de passe m'est un jour volé par phishing ou un keylogger, parce que je suis obligé de le retaper à chaque fois, il est clair que je me retournerais contre le site, car il est au minimum co-responsable de ce vol et des conséquences qui ont suivi.
Fred devait dire quelque chose comme ceci :
J'apporte une précision sur la raison de ma question : dans le climat
actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware,
pc zombie ...) il est évident qu'il y aura à un moment ou un autre des
internautes (ou une associations d'usagers) pour mettre en cause la
responsabilité du fournisseur de service qui aura permis la mémorisation des
mots de passe donnant accès à des services sensibles
Sauf que tu inverses totalement les données du problème. Le site n'est
en aucune façon responsable ou ne serait-ce que lié de prêt ou de loin
à l'enregistrement du mot de passe lié à ce site. Par conséquent, il ne
peut pas être mis en cause pour cela.
Par contre, un site qui m'interdirait d'enregistrer mon mot de passe,
que ce soit par un moyen logiciel ou en m'invitant très fortement à ne
pas le faire, aurait du souci a se faire. En effet, si le mot de passe
m'est un jour volé par phishing ou un keylogger, parce que je suis
obligé de le retaper à chaque fois, il est clair que je me retournerais
contre le site, car il est au minimum co-responsable de ce vol et des
conséquences qui ont suivi.
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Sauf que tu inverses totalement les données du problème. Le site n'est en aucune façon responsable ou ne serait-ce que lié de prêt ou de loin à l'enregistrement du mot de passe lié à ce site. Par conséquent, il ne peut pas être mis en cause pour cela. Par contre, un site qui m'interdirait d'enregistrer mon mot de passe, que ce soit par un moyen logiciel ou en m'invitant très fortement à ne pas le faire, aurait du souci a se faire. En effet, si le mot de passe m'est un jour volé par phishing ou un keylogger, parce que je suis obligé de le retaper à chaque fois, il est clair que je me retournerais contre le site, car il est au minimum co-responsable de ce vol et des conséquences qui ont suivi.
