Discussion :

[abc.xyz]

Bonjour,

lorsque je me connecte à ma banque en ligne je tape un login et pass. Et pour sortir de mon espace en ligne au lieu de cliquer sur deconnexion je ferme habituellement l'onglet du navigateur de sorte que je puisse par la suite accéder à mon espace en ligne sans retaper mes login et pass.(je sais c'est pas malin dans le cas où je me ferais voler mon ordi).

Et bien imaginons maintenant que je me fasse effectivement voler mon ordi avec lequel je me connecte habituellement à ma banque en ligne.

Et que donc en réaction sur un autre ordi (que celui volé) par peur j'accède à ma banque en ligne pour y changer le pass.

Les voleurs ont t'ils accès à mon espace en ligne par le biais de l'ordi volé (car la dernière fois je vous rappelle que pour me déconnecter de mon espace en ligne sur l'ordi volé je n'ai pas cliqué sur deconnexion mais j'ai fermé l'onglet du navigateur comme à mon habitude) maintenant que j'ai changé le pass?

merci

[Celira]

Hum... Je dirais que ça dépend de comment est conçu le site.

Les systèmes du type "remember me" fonctionnent souvent par cookie. Cocher la case crée un cookie sans date limite dans l'ordinateur Client.
A l'ouverture du site, si le cookie existe, tu es automatiquement connecté, le cookie contenant normalement un Token ou quelque chose du genre qui permet de savoir à quel compte il correspond.
Le cookie continue à exister jusqu'à ce que tu cliques sur "déconnecter" ou que tu effaces les cookies de ton navigateur.
Après, savoir si le cookie survit à un changement de mot passe ou non, ça dépend de comment fonctionne la correspondance entre le cookie et le compte.

Cela étant dit, ça m’étonnerait fort que les sites de banque utilisent des cookies permanents et des fonctions "remember me". Il est probable qu'ils utilisent plutôt des sessions à durée de vie limitée, avec des identifiants de sessions uniques stockés quelque part, et qu'un changement de mot de passe réinitialise la session.
Enfin, j'espère

[ABCIWEB]

Oui tu ne risque rien dans la mesure où les sites qui demandent un maximum de protection ne permettent pas d'enregistrer le mot de passe sur ton ordinateur. Evidemment il faut veiller à ce que tu n'aies pas de fichier texte créer par toi-même où est enregistré ce mot de passe très confidentiel sinon en cas de vol de l'ordi....

La session est fermée dans tous les cas lorsque tu ferme le navigateur, mais aussi au bout d'un certain temps (quelques minutes) si tu ne navigue plus sur le site.

Par ailleurs le cadenas visible dans la barre d'adresse indique qu'on utilise une connexion cryptée "https" ce qui évite le vol de session depuis l'extérieur (espionnage du réseau).

Et pour finir le clavier virtuel d'authentification évite de pouvoir enregistrer les frappes du clavier au cas où ton ordinateur serait infesté par un virus de type keylogger.

Dans l'ensemble c'est donc très bien sécurisé. C'est pour cela qu'on est infesté de mail qui font du fishing pour tenter de nous faire rentrer les mots de passe dans un formulaire. Etant donné que le piratage est quasi impossible techniquement, ils comptent sur une erreur de l'utilisateur.

[Celira]

Pour être sûre j'ai fait le test : sur le site de ma banque et sur celui de celle de ma moitié, si tu laisses l'onglet/le navigateur ouvert et que tu ne fais rien sur le site pendant un certain temps (genre 10, la session se ferme. Si tu ferme le navigateur, la session se ferme.

Donc pour qu'un tiers puisse accéder à tes comptes, il faut qu'il récupère ton ordi alors qu'il est allumé, que tu sois allé sur le site moins de n minutes et que tu ais laissé le navigateur ouvert. C'est quand même une situation assez peu probable, à moins que tu accèdes au site de ta banque depuis un ordi public (genre cyber-café) et que tu ne prennes aucune précaution.

[abc.xyz]

ben moi justement pour ma banque en ligne si tu fermes l'onglet une fois connecté sans cliquer sur deconnexion et que tu revas ensuite sur le site depuis le même ordi et bien le compte est bien ouvert. Cependant cela me parait peu probable que le compte soit toujours ouvert si entre le temps de la fermeture de l'onglet et du repassage sur le site quelqu'un a changé le pass depuis un autre ordi (que celui volé). JE PENSE..ENFIN CA ME PARAIT LOGIQUE MAIS J EN SUIS PAS CERTAIN.

[Celira]

Si tu retournes le site 1/2 heure plus tard, tu es toujours connecté ?
Tu n'aurais pas un plugin sur ton navigateur qui mémorise les mots de passe ou quelque chose du genre ?

[ABCIWEB]

La session n'est pas effacée lorsque tu ferme l'onglet mais lorsque tu ferme le navigateur (toutes les fenêtres). Cela te permet d'avoir plusieurs onglets ouverts pour visiter différentes parties du site sans avoir à t'authentifier pour chaque onglet.

Le bouton déconnexion sert justement à pourvoir fermer ta session sans avoir besoin de fermer le navigateur. Sinon c'est le timeout qui ferme automatiquement ta session si tu ne navigue plus sur le site durant x minutes.

Le système est conçu pour offrir le meilleur compromis entre sécurité et convivialité. Le seul maillon faible c'est l'utilisateur. A toi de fermer ta session en utilisant le bouton de déconnexion ou en fermant toutes les fenêtres de ton navigateur dès que tu n'utilise plus le site.