Commentaires sur : Les banques à la masse niveau sécurité

Par : dader

dader — Tue, 16 Dec 2008 14:54:56 +0000

Un jour ou l’autre, faudra que quelqu’un leurs dise de passer sous openID… et au passage, de changer leur equipe de dev…

Par : Alexis

Alexis — Sun, 16 Nov 2008 09:54:54 +0000

regardez la différence entre un service comme mint.com ou wasabe.com qui vous permet de gérer votre compte bancaire a la Web2 et la pauvreté des services en ligne founis par les banques (je suis a la caisse d’epargne).

Par : traduc

traduc — Sat, 08 Nov 2008 18:44:34 +0000

La préoccupation des banques est plus de conserver notre argent que d’empêcher la fraude, la ou il y quelques mois il fallait 48 h pour passer de l’argent d’un compte à un autre il faut maintenant 15 jours par contre, il compte débiteur est bien débité dans les 48 heures.

Par : Maniak

Maniak — Thu, 06 Nov 2008 15:23:08 +0000

J’ai constaté la même chose avec ma Visa émise par ma banque Suisse. Comme quoi en Suisse, on a le secret bancaire mais pas la sécurité des mot de passe…la honte

Par : Palleas

Palleas — Tue, 04 Nov 2008 12:38:12 +0000

De toutes façon c’est tout le système bancaire qui est obsolète, sachant que toute l’infrastructure est en Cobol (ou autre vieux langage chelou, je ne sais jamais )…

Par : Joris

Joris — Tue, 04 Nov 2008 12:30:31 +0000

C’est la faute du stagiaire de la banque, il manque d’XP ^^

Par : Eric

Eric — Tue, 04 Nov 2008 12:19:17 +0000

Elles ne sont pas si à la ramasse que ça.
Tu peux aussi dire que ta CB n’est pas sécurisée parce que ton PIN n’a que des chiffres, et pas plus de 4.

Le tout c’est de regarder l’usage. Ton compte sur un serveur a besoin d’être gros parce qu’il faut qu’il résiste à des milliers voire des milliards d’essais.
Il doit même pouvoir résister à une tentative de résolution à partir de l’empreinte du mot de passe lui même (pour peu que quelqu’un ait accès à la base).
Celui qui réussit a accès à tout et les conséquences sont définitives.

Ici c’est différent. La banque est un point central qui peut se permettre de bloquer temporairement l’accès après un certain nombre d’échecs.
Si tu n’as que 3 essais un PIN de quelques chiffres est suffisant. S’ils demandent 6 c’est probablement pour éviter que des idiots y mettent le PIN de la CB directement. S’ils demandent lettre et chiffre c’est pour éviter que on ait des dates anniversaire ou des prénoms.
Pas besoin d’aller plus loin s’ils sont capable de tracer des tentatives multiples. Personne ne pourra tenter un millier de combinaisons pour débloquer le paiement donc aucun besoin de le code résiste à une telle tentative.

En fait leur boulot est même encore plus simple car il n’y a aucune conséquence définitive. Tu es capable de refuser un paiement fait sans la puce de ta CB et sans signature (donc tout ce qui est fait online). Si la banque est sympa elle peut même t’alerter de problèmes potentiels quand elle constate des échecs.
Bref, même si ça casse il n’y a aucune conséquence, et donc la sécurité doit être appropriée, mesurée en conséquence.

Mais tout cela est encore plus positif pour nous que pour la banque. Demandes un identifiant secret très fort, et la banque va commencer à te dire que finalement cet identifiant est une clef d’accès, et donc qu’il t’authentifie, bref, que tu ne pourras plus dénoncer le paiement si cet identifiant a été validé.
Un identifiant simple c’est juste une sécurité, pas une authentification. Bref, ça reste à l’avantage de l’utilisateur.