"Question de securite "

Salut,

Olivier Croquette wrote:

Beaucoup de sites proposant une inscription et une authentification en
ligne utilisent ce qu'ils appellent des "questions de sécurité".
Les questions proposées ou imposées sont du genre "quel est le nom de
jeune fille de votre mère" ou bien encore "où est né votre père".

Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour le
reste du monde.
D'accord avec toi je trouve ça stupide/ridicule...

Je m'étonne qu'un tel système soit autant utilisé, et même obligatoire
sur certains sites
(Je serais curieux de voir ce que les utilisateur mettent comme question

secrète quand il peuvent en inventer une, je suis certain que la réponse
est encore plus simple à trouver dans certains cas; comprendre: la réponse
dans la question ou facilement trouvable sur google...)

(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas).
Le problème de cette chaine de caractères c'est comment tu t'en souviens 3

ans après quand tu est loin de ton bureau où se trouve ta petite note
gentillement planquée dans un coin difficile d'accès... Ou quand ton
fichier crypté se fait raser par un disque mourant... (Se méfier également
de la copine qui range le bureau: "je peux jeter le CD 'backup
11-12-2002'?")
A coup sur cette chaine va se retrouver inscrite sous un nombre incalculable
de claviers et de post-it ;-)

De plus, je pense que forcer l'utilisation de secrets partagés aussi
faibles, c'est faire une très mauvaise éducation des utilisateurs.
Ça c'est sur, le tout est de trouver des questions immuables et dont

l'utilisateur serait /presque/ le seul à connaitre la réponse (le prenom de
ma mère ne change pas tout les jours).
Perso, mon truc c'est une sorte de dico de conversion que je connais par
coeur... Dans le genre "nom de jeune fille de votre mère" = "nom de jeune
fille de votre grand-mère" (n'importe quoi d'autre par exemple du moment
que la conversion soit toujours la même). Ça rend la tache de celui qui
veut me piquer mon compte MSN un peu plus hard.

Suis-je le seul à m'étonner de cela?
Non, mais de façon un peu égoïste je ne m'en était pas préoccupé avant,

ayant mon petit truc en tête...

Pourquoi autant de sites font-elles appel à cette technique!?
Pour les comptes mail en ligne, c'est une méthode fréquement utilisée;

Par ex: j'ai un compte sur un site et je ne suis pas chez moi, j'oublie mon
mot de passe et on m'envoie un mail sur mon autre compte pour confirmer mon
identité. A la maison, mon ami Fetchmail ne va pas avoir besoin de 5min
pour downloader le mail et question et le mettre hors d'atteinte du
webmail. Je suis embêté...

Dans le cas de la "question de sécurité ridicule", je ne suis pas obligé
d'être chez moi ou d'avoir une machine avec un client ssh/OpenVPN + mes
certif SSL; Je pense que ça a du participer au choix de cette technique
simpliste.
En tout cas, ils pouraient faire des efforts d'imagination et éviter des
trucs du genre "Dans quelle école avez vous terminé vos études?", comme
beaucoup d'écoles publient les nom des diplômés sur leur site...

Autre chose: Mon compte mail chez mon FAI est en POP3, il est presque plus
facile de me piquer le mot de passe direct sur le réseau plutôt que
d'essayer de me piquer la réponse à la question dans une connection HTTPS.
Pourquoi les FAI ne choissisent-il pas POP3s/IMAPs par défaut? Tout les
clients mail dignes de ce nom les supportent...


--
MaXX

Beaucoup de sites proposant une inscription et une authentification en ligne
utilisent ce qu'ils appellent des "questions de sécurité".

Les questions proposées ou imposées sont du genre "quel est le nom de jeune
fille de votre mère" ou bien encore "où est né votre père".

Ce concept me parait justement servir l'inverse du but recherché. La réponse
à ces questions est extrêmement facile à trouver pour mon entourage (famille,
connaissances proches) et pas très difficile pour le reste du monde.

Je m'étonne qu'un tel système soit autant utilisé, et même obligatoire sur
certains sites (une chaine aléatoire de 25 caractères résoud le dilemne dans
ce cas).
De plus, je pense que forcer l'utilisation de secrets partagés aussi faibles,
c'est faire une très mauvaise éducation des utilisateurs.

Suis-je le seul à m'étonner de cela?
Pourquoi autant de sites font-elles appel à cette technique!?

vous pouvez répondre ce qu vous voulez à ce genre de question, il vous
faut seulement vous en souvenir dans le cas où cela doit servir! alors
une chaine alphanumérique améatoire, pourquoi pas!

--
Jean-Paul DROGER (pour me joindre en direct:
anti.droger.jean-paul@allamou.fr enlever "anti." et remplacer "allamou"
par "wanadoo"; to write me directly :anti.droger.jean-paul@allamou.fr,
remove "anti." and replace "allamou" by "wanadoo".

Bonjour.

Je réponds à Olivier Croquette <ocroquette@perso107-g5.free.fr>

Beaucoup de sites proposant une inscription et une authentification en
ligne utilisent ce qu'ils appellent des "questions de sécurité".

Les questions proposées ou imposées sont du genre "quel est le nom de
jeune fille de votre mère" ou bien encore "où est né votre père".

Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour
le reste du monde.

Je m'étonne qu'un tel système soit autant utilisé, et même obligatoire
sur certains sites (une chaine aléatoire de 25 caractères résoud le
dilemne dans ce cas).
De plus, je pense que forcer l'utilisation de secrets partagés aussi
faibles, c'est faire une très mauvaise éducation des utilisateurs.

Suis-je le seul à m'étonner de cela?
Pourquoi autant de sites font-elles appel à cette technique!?

Parce que la plupart des utilisateurs ne comprennent strictement rien au
concept même de sécurité (résidus d'idéologie 68-hard ?), et y sont même
hostiles.
Hier mon frangin, à qui je fais de la télémaintenance, et qui n'avait plus
en tête le mot de passe de son routeur, m'a sermoné "Y'en a marre de mettre
des mots de passe partout :-@".
Il est donc très compréhensible que beaucoup d'utilisateurs réclament un
pense-bête pratique d'emploi :-)

Si on leur disait froidement:
"Si quelqu'un trouve votre code dont vous êtes responsable et fait une
escroquerie avec, vous êtes complice et donc vous assumez à sa place",
... et si la justice ne reconnaissait pas si facilement le droit à la
naïveté qui vous décharge de toute responsabilité dès lors que "c'est trop
compliqué pour les gens normaux",
... alors les mêmes personnes ***réclameraient*** des cadenas bien solides.

Bref c'est encore la loi du moindre effort qui prime. Puisque c'est un autre
qui paye...

Bien entendu il faut choisir une question ouverte et fournir une réponse
totalement improbable ! Et au passage ne jamais utiliser le même mot de
passe sur des sites différents.

Heureusement aucun de ces sites n'a le mauvais goût de proposer des
questions trop pratiques, avec choix de la réponse dans une combobox :-D

Cordialement,

--
/***************************************
* Patrick BRUNET
* E-mail: lien sur http://zener131.free.fr/ContactMe
***************************************/

On 20 Nov 2005 18:47:16 GMT, MaXX <bs139412@skynet.be>:

(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas).
Le problème de cette chaine de caractères c'est comment tu t'en souviens 3

ans après

Généralement, je la stocke en même temps que le mot de passe. Ou bien,
je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de
passe.

Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour le
reste du monde.
D'accord avec toi je trouve ça stupide/ridicule...

Raison de plus pour mentir. Tu t'inventes une mère qui s'appelle
Joséphine, qui est née le 11/08/1952, et hop, le social engineering va
se retourner contre l'attaquant potentiel.

C'est un peu comme les codes de carte de banque : je garde toujours dans
mon portefeuille le sticker argenté à gratter sur lequel est arrivé mon
code. Après l'avoir changé.

Fred
--
My heart is covered With thoughts entangled How could it ever have
felt so real? Is there a place more lonely than I feel within? Could I
have seen? Could I have known? I just took it as the truth
(Within Temptation, Caged)

On 20 Nov 2005 23:01:18 GMT, F. Senault wrote:

Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour le
reste du monde.
D'accord avec toi je trouve ça stupide/ridicule...

Raison de plus pour mentir. Tu t'inventes une mère qui s'appelle
Joséphine, qui est née le 11/08/1952, et hop, le social engineering va
se retourner contre l'attaquant potentiel.

Déjà , pour ceux que j'ai du utiliser, ils ne disent pas : votre question
secrète est "l'age de votre chien" mais ils demandent de choisir ET la
question ET la réponse introduite... donc après un certain nombre de
tentatives ca devient vite long et pelant. De plus si le site a prévu ce
genre de chose, l'admin vera toutes tes tentatives.

De plus, de nouveau pour ceux que j'ai du tester, dans ce cas la le login
mdp n'est pas affiché mais envoyé a l'adresse qui a été utilisée pour
l'inscription... il faut donc : trouver la question, la bonne réponse,
connaitre l'adresse et pouvoir la lire... ce qui, en fonction du site et de
l'interet de pirater les données, rend l'effort a déployer trop important
par rapport aux résultats possibles.

C'est un peu comme les codes de carte de banque : je garde toujours dans
mon portefeuille le sticker argenté à gratter sur lequel est arrivé mon
code. Après l'avoir changé.

ca c'est vil :) faut un peu effacer un des chiffres avec une gomme ;)

Fred

--
Noshi

F. Senault wrote:

Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour le
reste du monde.
D'accord avec toi je trouve ça stupide/ridicule...

Raison de plus pour mentir. Tu t'inventes une mère qui s'appelle

Joséphine, qui est née le 11/08/1952, et hop, le social engineering va
se retourner contre l'attaquant potentiel.
C'est plus au moins ce que je fait... tant les réponses sont constantes pour

une question donnée... Le jour où un mec saura lire dans les pensées je
crois que là on sera tous dans la ***** pour rester poli...

C'est un peu comme les codes de carte de banque : je garde toujours dans
mon portefeuille le sticker argenté à gratter sur lequel est arrivé mon
code. Après l'avoir changé.
Excellent! Je n'avais jamais poussé la perversion à ce point ;-)

Enfin c'est un peu comme le fichier mdp.txt (666 & en clair sinon c'est pas
drôle) sur mon bureau KDE avec un faux mot de passe root pour chacune de
mes machines...

--
MaXX

Fabien LE LEZ wrote:

On 20 Nov 2005 18:47:16 GMT, MaXX <bs139412@skynet.be>:

(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas).
Le problème de cette chaine de caractères c'est comment tu t'en souviens 3

ans après
Généralement, je la stocke en même temps que le mot de passe. Ou bien,

je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de
passe.
OK, mais quand tu est loin du point de stockage ou qu'il est

innaccessible/corrompu/grillé? Se souvenir de
nb_de_site*chaine_aléatoire_de_25_char ça relève du défi ou alors j'ai pas
bien compris ce que tu voulais dire...


--
MaXX

On 21 Nov 2005 17:48:01 GMT, MaXX <bs139412@skynet.be>:

OK, mais quand tu est loin du point de stockage ou qu'il est
innaccessible/corrompu/grillé?

Pour l'éloignement, je n'ai pas de solution.
Pour la corruption du système de stockage, je ne peux pas croire que
ça existe encore chez des lecteurs de fr.comp.securite. Ce ne sont
tout de même pas les systèmes de backup qui manquent !

MaXX wrote:

Généralement, je la stocke en même temps que le mot de passe. Ou bien,
je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de
passe.

OK, mais quand tu est loin du point de stockage ou qu'il est
innaccessible/corrompu/grillé? Se souvenir de
nb_de_site*chaine_aléatoire_de_25_char ça relève du défi ou alors j'ai pas
bien compris ce que tu voulais dire...

Je ne sais pas pour Fabien, mais en tout cas moi je ne retiens pas la
chaine que je rentre.
Je préfère rentrer n'importe quoi et l'oublier, pour rendre cette
"fonctionalité" inutilisable.

Les sites bien faits permettent de réinitialiser le mot de passe par des
emails de toute façon. Les autres, il faut contacter le support.