Affichage des résultats du sondage: Pensez-vous qu'il est préférable de permettre de coller un MdP ?

Votants
38. Vous ne pouvez pas participer à ce sondage.
  • Oui, je suis de cet avis

    29 76,32%
  • Non, je ne suis pas convaincu que ce soit un bonne idée

    3 7,89%
  • Je suis partagé

    4 10,53%
  • je n'ai pas d'avis sur la question

    2 5,26%
+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 962
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 962
    Points : 66 082
    Points
    66 082

    Par défaut Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe ?

    Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe
    lorsqu'ils s'authentifient ?

    Pourquoi permettre aux utilisateurs de coller leurs mots de passe est-elle une bonne chose ?

    Permettre le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe, ces logiciels (ou services) qui vous permettent de choisir, sauvegarder puis entrer des mots de passe dans des formulaires en ligne à votre demande. Les gestionnaires de mots de passe peuvent s’avérer très utiles dans la mesure où ils:
    • rendent plus facile d'avoir des mots de passe différents pour chaque site Web que vous utilisez ;
    • améliorent votre productivité et réduisent la frustration en empêchant les erreurs de frappe lors des authentifications ;
    • rendent plus simple d'utiliser des mots de passe longs et complexes.

    Toutefois, il faut se rappeler que bien qu’ils peuvent offrir une meilleure protection et/ou s’avérer plus pratiques par exemple que garder vos mots de passe dans un document normal et non protégé sur votre ordinateur, ceux-ci ne sont pas forcément la solution idéale pour résoudre les problèmes de mots de passe d’une entreprise.

    En effet, certains de ces services peuvent faire face à des failles de sécurité. C’est le cas par exemple de LastPass qui a dû récemment colmater une faille relative à son système d’authentification à deux facteurs.

    Il est quand même important de noter que ce type de service/application peut encourager à :
    • avoir plusieurs mots de passe sur des sites différents ;
    • ne pas choisir des mots de passe facile à retenir ;
    • ne pas noter des mots de passe par exemple sur une feuille de papier qui sera placée par exemple sur l’écran d’un ordinateur.

    De plus, nombreux sont les services qui vous proposent l’accès à vos mots de passe depuis n’importe quelle plateforme. Il vous suffit donc de mettre à jour votre liste d’identifiants / MdP sur votre ordinateur et vous pourrez quasi instantanément y avoir accès sur votre tablette ou votre téléphone.

    Quelles sont les raisons qui incitent les développeurs à les interdire ?

    Mais il y a également des raisons qui peuvent justifier le fait que les développeurs veulent mettre un terme à la possibilité pour les utilisateurs de coller des mots de passe.

    Tout d’abord, l’une des raisons évoquées est que le collage de mots de passe permet des attaques par force brute. Si le collage de mots de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mots de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.

    Cela est vrai, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à mettre en place pour les attaquants, et qui sont beaucoup plus rapides. Aussi, selon le National Cyber Security Center (NCSC), le risque d'attaques par force brute à l'aide de la fonction copier/coller est donc très faible.

    Une autre raison est que le collage des mots de passe les rend plus faciles à oublier étant donné que les utilisateurs ne seront plus obligés de le taper. En principe, il est vrai que plus vous faites appel à vos souvenirs, moins vous avez de chances de les oublier. Cependant, il peut arriver que des internautes aient des comptes sur des services qu’ils utilisent de façon occasionnelle. Cela signifie qu'ils n'ont pas assez d’occasions pour l’écrire et donc peu de chances de s’en souvenir. Pour le NCSC, cette raison n’est valide que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe et ce n'est pas toujours vrai.

    Une autre raison est que les mots de passe vont traîner dans le presse-papiers. Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » depuis lequel il pourra le coller autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne qui l'utilise) a accès au presse-papiers, et peut voir ce qui y figure. Copier n'importe quoi d’autre surcharge généralement ce qui était déjà dans le presse-papiers et le détruit.

    De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin qu'ils puissent le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou un logiciel malveillant) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

    Les mots de passe restant dans le presse-papiers risquent de représenter un problème si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur étant donné que vous pouvez oublier d'effacer le presse-papiers. Cependant, la NCSC estime que ce n'est pas très risqué, car :
    • la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site, et certains évitent même complètement le presse-papiers en tapant le mot de passe avec un « clavier virtuel » à la place ;
    • le navigateur Internet 'Internet Explorer 6' permet aux pages malvoyantes de copier le presse-papiers, mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
    • les virus installés sur votre ordinateur peuvent embarquer des copieurs de presse-papiers sur eux et se saisir de vos mots de passe collés. Ce n'est toujours pas une bonne raison pour empêcher le collage de mot de passe : lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours toutes les lettres, tous les numéros et tous les symboles saisis sur votre ordinateur, y compris vos mots de passe. Ils vont donc voler votre mot de passe, qu'il s'agisse ou non du presse-papiers, donc vous ne gagnez pas beaucoup à empêcher de coller les mots de passe.

    Source : NCSC

    Et vous ?

    Quels choix avez-vous faits dans vos développements ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2017
    Messages
    52
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : mars 2017
    Messages : 52
    Points : 97
    Points
    97

    Par défaut

    lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance.
    Bein, au point où on en est, même quand l'ordinateur n'est pas infecté, vous ne devriez tout simplement pas du tout lui faire confiance.

  3. #3
    Membre éclairé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    301
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 301
    Points : 869
    Points
    869

    Par défaut

    Tout d’abord, l’une des raisons évoquées est que le collage de mot de passe permet des attaques par force brute. Si le collage de mot de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mot de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.
    Je comprend pas l'argument ? En quoi un logiciels ne peux pas faire la même chose en écrivant le mot de passe à tester ? Interdire de colle ne va en rien empêcher la force brut ...

    Perso j'utilise KeePass au quotidien et je n'ai pas souvenir d'un logiciel qui m'ai empêché de coller à par le lock screen des sessions Windows en RDP.

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    mai 2017
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : mai 2017
    Messages : 2
    Points : 1
    Points
    1

    Par défaut

    De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.

  5. #5
    Membre expérimenté Avatar de SkyZoThreaD
    Homme Profil pro
    Technicien maintenance
    Inscrit en
    juillet 2013
    Messages
    524
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : juillet 2013
    Messages : 524
    Points : 1 373
    Points
    1 373

    Par défaut

    J'avais vu une conf à la defconf ou un gars était furieux car il n'avait pas pu utiliser un keylogger car l'utilisateur faisait du copier-coller de ses mots de passe depuis un txt... donc oui c'est plutôt bon plan
    La liberté est à la sociologie ce que l'instant présent est à la physique relativiste.

  6. #6
    Futur Membre du Club
    Profil pro
    Inscrit en
    janvier 2009
    Messages
    5
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2009
    Messages : 5
    Points : 8
    Points
    8

    Par défaut Une solution de contournement.

    Si le copier/coller de mdp est impossible, j'utilise alors keepass2+KP2A-InputStick-Plugin sur mon smartphone connecté en bluetooth sur une clef usb 'InputStick' (www.inputstick.com) inséré sur le PC. La clef est vue comme un clavier USB. C'est une solution facile pour coller toute chaîne de caractères, mots de passe ou autres.

  7. #7
    Membre expérimenté
    Avatar de Jarodd
    Profil pro
    Inscrit en
    août 2005
    Messages
    796
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 796
    Points : 1 513
    Points
    1 513

    Par défaut

    C'est une bonne pratique Opquast, qui fait office de référence dans le milieu du web. La proposition a fait consensus, et ils expliquent pourquoi ils recommandent l'autorisation du copier coller

  8. #8
    Membre habitué
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : mars 2017
    Messages : 76
    Points : 191
    Points
    191

    Par défaut

    Citation Envoyé par akoho Voir le message
    vous ne devriez tout simplement pas du tout lui faire confiance.
    En voila un commentaire plein de bon sens, +1

    Concernant le sujet, je me vois mal taper chacun de mes mot de passes de +30 caracteres pour chaque site sur lequel je dois m'identifier (genere avec KeepassX). Si il n'est pas possible de copier/coller, les mots de passes auront tendance a etre simple (pour se retenir / taper facilement). Les mots de passes simple ouvre la porte au bruteforce...

  9. #9
    Membre confirmé
    Profil pro
    Inscrit en
    mai 2011
    Messages
    245
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2011
    Messages : 245
    Points : 537
    Points
    537

    Par défaut

    Citation Envoyé par almarean Voir le message
    De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.
    Je suis connecter a plus d'une centaine de sites differents avec chacun un login parfois different, parfois le meme, par contre tous avec des mots de passe differents qui respectent tous les bonnes practices d'un mot de passe.
    En plus certain sites obligent les utilisateurs a mettrent certains types de mot de passe. Franchement, je n'ai pas envie de me souvenir de tous mes mots de passe.

  10. #10
    Membre éprouvé
    Profil pro
    Inscrit en
    février 2013
    Messages
    382
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2013
    Messages : 382
    Points : 962
    Points
    962

    Par défaut

    J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les saisies de formulaire d'authenification.

  11. #11
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 43
    Points : 102
    Points
    102

    Par défaut

    J'en pense que nous ne sommes pas représentatifs pour donner un avis basé sur notre expérience...
    Je suis déjà tombé sur des sites qui bloquent le copier-coller, voire la capture d'écran.

    C'est pas très compliqué, il suffit d'ouvrir son langage de script préféré qui peut utiliser l'api windows pour simuler des frappes clavier ou la capture d'écran.
    De même, mon gestionnaire de mdp simule des frappes clavier, donc la plupart du temps je ne me rends même pas compte de ces limitations.

    Si on parle de sécurité, ça reste mieux d'utiliser un gestionnaire de mpd plutôt que "toto123" comme pass identique sur 100 sites. De toutes façon, si on vole et casse mon gestionnaire de mdp, alors l'attaquant a probablement assez de droits pour enregistrer les frappes clavier.

  12. #12
    Membre habitué
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Secteur : Arts - Culture

    Informations forums :
    Inscription : septembre 2005
    Messages : 99
    Points : 153
    Points
    153

    Par défaut

    De toute façon ils oublient une chose, les navigateurs peuvent servir à mémoriser le couple identifiant/mot de passe et le coller automatiquement

  13. #13
    Nouveau Candidat au Club
    Homme Profil pro
    Formateur et intégrateur Google Suite
    Inscrit en
    janvier 2017
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Formateur et intégrateur Google Suite
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : janvier 2017
    Messages : 1
    Points : 1
    Points
    1

    Par défaut

    @Faqus Peux-tu nous dire quel est ton gestionnaire de mots de passe s'il te plaît?

  14. #14
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    1
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 1
    Points : 1
    Points
    1

    Par défaut

    Je copie-colle régulièrement des mots de passe, mais j'aimerai bien un raccourci "coller et oublier" qui collerait le mot de passe puis l'effacerait du presse-papier

    Cela limiterait également le temps pendant lequel un keylogger pourrait le récupérer
    Cela éviterait de le coller à nouveau par erreur dans une conversation...
    Ou bien si je suis sur le poste d'une autre personne, que cette personne puisse le colle si je n'ai rien copié par la suite
    La solution pour l'instant est de copier immédiatement un mot ou même une lettre prise au hasard pour remplacer le mdp (ou toute autre donnée sensible) en mémoire

    Je ne sais pas si un tel raccourci existe nativement dans un systême (sauf extension, plugin ou logiciel)

  15. #15
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    43
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 43
    Points : 102
    Points
    102

    Par défaut

    Citation Envoyé par Cantatrice Chauve Voir le message
    @Faqus Peux-tu nous dire quel est ton gestionnaire de mots de passe s'il te plaît?
    Password Safe. Si Bruce Schneier dit que c'est bien, quel autre gourou croire sur parole ? (en même temps, il est co-auteur)

  16. #16
    Nouveau membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    janvier 2016
    Messages
    25
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : janvier 2016
    Messages : 25
    Points : 30
    Points
    30

    Par défaut mdp

    Dans tous les cas les Messieurs au boulot noir pourront le deviner, je préfère plutôt authentification par emprunt

  17. #17
    Modérateur
    Avatar de Vil'Coyote
    Homme Profil pro
    Développeur adélia & Web
    Inscrit en
    février 2008
    Messages
    4 390
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur adélia & Web
    Secteur : Industrie

    Informations forums :
    Inscription : février 2008
    Messages : 4 390
    Points : 6 790
    Points
    6 790

    Par défaut

    quoi que tu dises, quoi que tu fasses, quoi que tu penses le problème se trouvera toujours entre la chaise et le clavier.
    la vie n'est pas cirrhose des foies ...

    Avant de poster un message Rechercher n'est pas qu'une option.
    FAQ Web - Tuto Web

  18. #18
    Membre régulier
    Inscrit en
    octobre 2013
    Messages
    81
    Détails du profil
    Informations forums :
    Inscription : octobre 2013
    Messages : 81
    Points : 84
    Points
    84

    Par défaut

    J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les
    a l'air d'etre une bonne idée maison ... !

  19. #19
    Futur Membre du Club
    Homme Profil pro
    Technicien Help Desk
    Inscrit en
    juin 2017
    Messages
    4
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 23
    Localisation : Canada

    Informations professionnelles :
    Activité : Technicien Help Desk

    Informations forums :
    Inscription : juin 2017
    Messages : 4
    Points : 5
    Points
    5

    Par défaut

    De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.
    Plate à dire j'ai travailler 4 ans dans le public. Tu peux mettre Soleil2017 ou juste dragon ils vont l'oublier. L'informatique ca leurs passe au dessus de la tête. Plus rapide d'aller aux comptoirs de plaindre que ca marche pas et que tu as un mec qui fait tous le taff pour toi que de régler par eux même et de se forcer à se souvenir de leurs mots de passes. Beaucoup de personnes en haut de 40 ans qui ne sont pas habile avec l'informatique vont soit l'écrire sur un bout de papier ou se fier à un technicien pour l'aider ou un jeune qui travail dans un magasin de vente d'électronique. Donc pour moi je suis d'accord avec le copier coller je te dirai que ca sauve du temps parfois. Exemple y'a un wifi dans ma compagnie que le mot de passe ressemble à Xf5?2MComAd-/FkadL0ec&642.D Donc oui ca aide haha

Discussions similaires

  1. [WD17] comment permettre aux utilisateurs de modifier leurs mots de passe windev
    Par levolutionniste dans le forum WinDev
    Réponses: 1
    Dernier message: 20/10/2016, 17h17
  2. Permettre aux internautes de commenter des articles
    Par lieutenantcolombo dans le forum Général Conception Web
    Réponses: 1
    Dernier message: 06/07/2009, 16h40
  3. Permettre aux utilisateurs de créer leur propre formulaire
    Par dubitoph dans le forum Formulaires
    Réponses: 2
    Dernier message: 05/06/2009, 09h25
  4. Réponses: 71
    Dernier message: 23/01/2009, 13h27
  5. Permettre aux utilisateurs de changer de mot de passe
    Par LaJess dans le forum JavaScript
    Réponses: 3
    Dernier message: 12/01/2009, 09h18

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo