Affichage des résultats du sondage: Pensez-vous qu'il est préférable de permettre de coller un MdP ?

Votants
26. Vous ne pouvez pas participer à ce sondage.
  • Oui, je suis de cet avis

    19 73,08%
  • Non, je ne suis pas convaincu que ce soit un bonne idée

    2 7,69%
  • Je suis partagé

    3 11,54%
  • je n'ai pas d'avis sur la question

    2 7,69%
+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 709
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 709
    Points : 57 273
    Points
    57 273

    Par défaut Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe ?

    Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe
    lorsqu'ils s'authentifient ?

    Pourquoi permettre aux utilisateurs de coller leurs mots de passe est-elle une bonne chose ?

    Permettre le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe, ces logiciels (ou services) qui vous permettent de choisir, sauvegarder puis entrer des mots de passe dans des formulaires en ligne à votre demande. Les gestionnaires de mots de passe peuvent s’avérer très utiles dans la mesure où ils:
    • rendent plus facile d'avoir des mots de passe différents pour chaque site Web que vous utilisez ;
    • améliorent votre productivité et réduisent la frustration en empêchant les erreurs de frappe lors des authentifications ;
    • rendent plus simple d'utiliser des mots de passe longs et complexes.

    Toutefois, il faut se rappeler que bien qu’ils peuvent offrir une meilleure protection et/ou s’avérer plus pratiques par exemple que garder vos mots de passe dans un document normal et non protégé sur votre ordinateur, ceux-ci ne sont pas forcément la solution idéale pour résoudre les problèmes de mots de passe d’une entreprise.

    En effet, certains de ces services peuvent faire face à des failles de sécurité. C’est le cas par exemple de LastPass qui a dû récemment colmater une faille relative à son système d’authentification à deux facteurs.

    Il est quand même important de noter que ce type de service/application peut encourager à :
    • avoir plusieurs mots de passe sur des sites différents ;
    • ne pas choisir des mots de passe facile à retenir ;
    • ne pas noter des mots de passe par exemple sur une feuille de papier qui sera placée par exemple sur l’écran d’un ordinateur.

    De plus, nombreux sont les services qui vous proposent l’accès à vos mots de passe depuis n’importe quelle plateforme. Il vous suffit donc de mettre à jour votre liste d’identifiants / MdP sur votre ordinateur et vous pourrez quasi instantanément y avoir accès sur votre tablette ou votre téléphone.

    Quelles sont les raisons qui incitent les développeurs à les interdire ?

    Mais il y a également des raisons qui peuvent justifier le fait que les développeurs veulent mettre un terme à la possibilité pour les utilisateurs de coller des mots de passe.

    Tout d’abord, l’une des raisons évoquées est que le collage de mots de passe permet des attaques par force brute. Si le collage de mots de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mots de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.

    Cela est vrai, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à mettre en place pour les attaquants, et qui sont beaucoup plus rapides. Aussi, selon le National Cyber Security Center (NCSC), le risque d'attaques par force brute à l'aide de la fonction copier/coller est donc très faible.

    Une autre raison est que le collage des mots de passe les rend plus faciles à oublier étant donné que les utilisateurs ne seront plus obligés de le taper. En principe, il est vrai que plus vous faites appel à vos souvenirs, moins vous avez de chances de les oublier. Cependant, il peut arriver que des internautes aient des comptes sur des services qu’ils utilisent de façon occasionnelle. Cela signifie qu'ils n'ont pas assez d’occasions pour l’écrire et donc peu de chances de s’en souvenir. Pour le NCSC, cette raison n’est valide que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe et ce n'est pas toujours vrai.

    Une autre raison est que les mots de passe vont traîner dans le presse-papiers. Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » depuis lequel il pourra le coller autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne qui l'utilise) a accès au presse-papiers, et peut voir ce qui y figure. Copier n'importe quoi d’autre surcharge généralement ce qui était déjà dans le presse-papiers et le détruit.

    De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin qu'ils puissent le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou un logiciel malveillant) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

    Les mots de passe restant dans le presse-papiers risquent de représenter un problème si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur étant donné que vous pouvez oublier d'effacer le presse-papiers. Cependant, la NCSC estime que ce n'est pas très risqué, car :
    • la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site, et certains évitent même complètement le presse-papiers en tapant le mot de passe avec un « clavier virtuel » à la place ;
    • le navigateur Internet 'Internet Explorer 6' permet aux pages malvoyantes de copier le presse-papiers, mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
    • les virus installés sur votre ordinateur peuvent embarquer des copieurs de presse-papiers sur eux et se saisir de vos mots de passe collés. Ce n'est toujours pas une bonne raison pour empêcher le collage de mot de passe : lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours toutes les lettres, tous les numéros et tous les symboles saisis sur votre ordinateur, y compris vos mots de passe. Ils vont donc voler votre mot de passe, qu'il s'agisse ou non du presse-papiers, donc vous ne gagnez pas beaucoup à empêcher de coller les mots de passe.

    Source : NCSC

    Et vous ?

    Quels choix avez-vous faits dans vos développements ?

  2. #2
    Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2017
    Messages
    39
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mars 2017
    Messages : 39
    Points : 67
    Points
    67

    Par défaut

    lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance.
    Bein, au point où on en est, même quand l'ordinateur n'est pas infecté, vous ne devriez tout simplement pas du tout lui faire confiance.

  3. #3
    Membre éclairé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    294
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 294
    Points : 757
    Points
    757

    Par défaut

    Tout d’abord, l’une des raisons évoquées est que le collage de mot de passe permet des attaques par force brute. Si le collage de mot de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mot de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.
    Je comprend pas l'argument ? En quoi un logiciels ne peux pas faire la même chose en écrivant le mot de passe à tester ? Interdire de colle ne va en rien empêcher la force brut ...

    Perso j'utilise KeePass au quotidien et je n'ai pas souvenir d'un logiciel qui m'ai empêché de coller à par le lock screen des sessions Windows en RDP.

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2017
    Messages : 1
    Points : 0
    Points
    0

    Par défaut

    De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.

  5. #5
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    517
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 517
    Points : 1 362
    Points
    1 362

    Par défaut

    J'avais vu une conf à la defconf ou un gars était furieux car il n'avait pas pu utiliser un keylogger car l'utilisateur faisait du copier-coller de ses mots de passe depuis un txt... donc oui c'est plutôt bon plan
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  6. #6
    Futur Membre du Club
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    5
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2009
    Messages : 5
    Points : 8
    Points
    8

    Par défaut Une solution de contournement.

    Si le copier/coller de mdp est impossible, j'utilise alors keepass2+KP2A-InputStick-Plugin sur mon smartphone connecté en bluetooth sur une clef usb 'InputStick' (www.inputstick.com) inséré sur le PC. La clef est vue comme un clavier USB. C'est une solution facile pour coller toute chaîne de caractères, mots de passe ou autres.

  7. #7
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    785
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 785
    Points : 1 472
    Points
    1 472

    Par défaut

    C'est une bonne pratique Opquast, qui fait office de référence dans le milieu du web. La proposition a fait consensus, et ils expliquent pourquoi ils recommandent l'autorisation du copier coller

  8. #8
    Membre habitué
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    mars 2017
    Messages
    71
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : mars 2017
    Messages : 71
    Points : 177
    Points
    177

    Par défaut

    Citation Envoyé par akoho Voir le message
    vous ne devriez tout simplement pas du tout lui faire confiance.
    En voila un commentaire plein de bon sens, +1

    Concernant le sujet, je me vois mal taper chacun de mes mot de passes de +30 caracteres pour chaque site sur lequel je dois m'identifier (genere avec KeepassX). Si il n'est pas possible de copier/coller, les mots de passes auront tendance a etre simple (pour se retenir / taper facilement). Les mots de passes simple ouvre la porte au bruteforce...

  9. #9
    Membre averti
    Profil pro
    Inscrit en
    mai 2011
    Messages
    171
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 171
    Points : 368
    Points
    368

    Par défaut

    Citation Envoyé par almarean Voir le message
    De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.
    Je suis connecter a plus d'une centaine de sites differents avec chacun un login parfois different, parfois le meme, par contre tous avec des mots de passe differents qui respectent tous les bonnes practices d'un mot de passe.
    En plus certain sites obligent les utilisateurs a mettrent certains types de mot de passe. Franchement, je n'ai pas envie de me souvenir de tous mes mots de passe.

  10. #10
    Membre éclairé
    Profil pro
    Inscrit en
    février 2013
    Messages
    343
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2013
    Messages : 343
    Points : 851
    Points
    851

    Par défaut

    J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les saisies de formulaire d'authenification.

Discussions similaires

  1. [WD17] comment permettre aux utilisateurs de modifier leurs mots de passe windev
    Par levolutionniste dans le forum WinDev
    Réponses: 1
    Dernier message: 20/10/2016, 17h17
  2. Permettre aux internautes de commenter des articles
    Par lieutenantcolombo dans le forum Général Conception Web
    Réponses: 1
    Dernier message: 06/07/2009, 16h40
  3. Permettre aux utilisateurs de créer leur propre formulaire
    Par dubitoph dans le forum Formulaires
    Réponses: 2
    Dernier message: 05/06/2009, 09h25
  4. Réponses: 71
    Dernier message: 23/01/2009, 13h27
  5. Permettre aux utilisateurs de changer de mot de passe
    Par LaJess dans le forum JavaScript
    Réponses: 3
    Dernier message: 12/01/2009, 09h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo