J'aime autant avoir une double authentification sur un site qui a ma carte bleue.Les sites marchands ont le droit de stocker votre numero de carte bleue et on vous demande une double authentification
J'aime autant avoir une double authentification sur un site qui a ma carte bleue.Les sites marchands ont le droit de stocker votre numero de carte bleue et on vous demande une double authentification
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Consultez nos FAQ : Windows, Linux, Virtualisation
Le pire c'est le 3-D Secure avec ta carte bleue (Mastercard ???). Tu es obligé de prendre un rendez-vous avec ton conseiller pour changer le numéro de téléphone associé à ta carte (pour envoyer des codes de vérification par SMS).
Et de souvenirs le rendez-vous dure genre 30 secondes "Bonjour, ton nouveau numéro, Au revoir"
Il faut prévoir tout changement de numéro de portable ... et également savoir que ce système existe
Simple Si j’accède à mon compte Google d'un autre ordinateur ou d'un autre butineur (mais sur l'ordinateur principal), je reçois un courriel pour me demander si j'accepte ou pas ce nouvel accès.
Tant que je n'ai pas accepté, cet accès est bloqué.
J'ai regardé pendant 15 minutes les paramètres de mon compte Google et impossible de trouver l'option magique. Tant pis, mon compte Google n'est pas sûr et c'est maintenant un compte poubelle juste pour Android (et 2-3 trucs pas importants)
Cela va faire 4 ans que je n'arrive pas à créer un compte Hotmail/ Outlook/ MSN/ Microsoft/ ... parce que Microsoft exige un numéro de portable pour la récupération.
Mais cela devient très compliqué : Windows 10 demande un compte (mais tu peux feinter), Visual demande un compte, ...
Ah ... Mais tous ces gens qui appellent pour proposer des contrats d'électricité, vous croyez que ça vient de là ?
Bonjour
Il y a quelques mois j'ai changé l'adresse mail à un pc sous windows 8.1 et windows 10 . L'adresse était une adresse orange.fr pour ouvrir la session user. Comme le système Microsoft à reconnu une adresse mail valide , Microsoft a créé un "compte" avec un mot de passe ... Résultat une adresse "XXXX@orange.fr" + mdp ... possibilité de se connecter via " live.com " !
Mais le plus grave dans l'histoire c'est que si le mdp est piraté ou le compte bloqué le pc devient inutilisable physiquement pour l'utilisateur légitime ...
perso je trouve que le MFA devrait se généraliser d'une manière ou d'une autre, ça éviterait un bon paquet de problèmes de vol de données et autres
la plupart des gens utilisent le même mot de passe partout, et il n'y a pas grand chose à faire contre cette bêtise (ma mère est la première à le faire), sauf à leur imposer le MFA
d'autant plus que ça devient quand même super simple à intégrer avec des outils comme nomado.eu
Ou d'utiliser un gestionnaire de mot de passe.
Le MFA non transparent est une contrainte supplémentaire qui peut devenir soûlant aux yeux de l'utilisateur, qui n'a qu'une envie : être connecté au plus vite. Déjà que j'en connais qui laissent tourner leur ordi toute la nuit par flemme de le redémarrer au petit matin...
Pour le cas des gestionnaires online, les données sont stockées chiffrées, avec sauvegardes, et ne sont déchiffrées que localement, sur ton PC.
Même pour les gestionnaires hors-ligne, tu peux faire une sauvegarde, de la même manière que tu devrais normalement régulièrement sauvegarder l'ensemble de tes données.
Tes craintes ne sont ainsi en aucun cas fondées.
Bonsoir
Rien ne dit que le presta n'est pas victime d'un piratage de sa BDD client ! Pour preuve : https://www.01net.com/actualites/le-...te-657820.html
Balayer ce risque d'un revers de la mains est suicidaire ! Les pirates peuvent s'emparer de clef , écouter le trafic ou trouver une combine pour déchiffrer ce qu'ils veulent ! Qui d'un PC qui se fait piraté ou d'un mauvaise usage de celui ci pour casser des mots de passes ou déchiffrer des mots de passes ?
Oui et tout le monde ne le fait pas ... Pour ma part je fais de la sauvegarde. Un ransomware crypte et chiffre des fichiers systèmes et c'est terminé ! Il y a même des variantes de ransomware qui peuvent s'en prendre à des fichiers et parties systèmes logiquement interdites d'accès à un user classique. Je vais retrouver l'article.
Désolé de ne pas être en accord avec toi ... la j'ai 2 contres exemples qui prouvent le contraire .
Et comme les données contenues dans la BDD sont chiffrées... ils ne peuvent rien faire avec.
La clé doit rester en local, de préférence dérivée à partir du mot de passe maître (ou chiffrée avec un clé dérivée du mot de passe maître). Si elle quitte l'ordinateur client, c'est un gestionnaire de merde, et je te recommande d'en changer.
Ce type de trafic passe généralement au minimum sur du TLS.
De surcroît les données doivent être déchiffrées localement, pas côté serveur, sinon, encore une fois, c'est un gestionnaire de merde.
S'ils peuvent déchiffrer des données arbitraires... attaquer un gestionnaire de mots de passe ne serait d'aucune utilité.
Prendre la peine de voler une clé ne sert à rien quand tu es capable de défoncer directement n'importe quel mur.
Si le PC client est corrompu, gestionnaire de mots de passe ou non, c'est de toute manière fini.
Tout comme tout le monde ne met pas sa ceinture de sécurité.
Mais le jour où il y a un accident...
Sans compter que tes mots de passes, tu peux les renouveler, via les fonctionnalités "mots de passe perdus" (sur les sites où tu veux t'authentifier).
Sachant que si tu utilises un gestionnaire de mots de passe en ligne, ou utilise un gestionnaire de mot de passe hors ligne sur plusieurs devices, tu auras déjà une redondance de tes données, donc le problème ne se posera pas.
Il ne faut pas se leurrer, rien n'est fiable à 100%.
Sur un gestionnaire de mots de passes externe sérieux, le risque est limité mais pas 0. Dans le cas ou un système clé publique clé privée est implémentée, il suffit que les clés privées soient écrasés (sans décryptage de celles-ci) pour ne plus pouvoir se connecter. Il faut alors espérer que les sauvegardes du presta soient fiables. Il y a déjà eu des cas ou des hébergeurs se sont fait crypter leur données sans restauration possible. Et comme le monstre yahoo ou le système a été compromis pour 1 milliard de comptes si je me souviens et pendant des années.
Comme le dit Neckara, les mots de passe sont renouvelables.
D’où l’intérêt d'une authentification multi-facteur, il faut compromettre les deux systèmes pour entrer. Le problème étant que si le second facteur est le téléphone mobile, et qu'on le perd ou se le fait voler, ou qu’on a tout simplement plus de batterie, plus d'authentification possible. Il faut donc bien gérer le truc.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Consultez nos FAQ : Windows, Linux, Virtualisation
Si on est vraiment parano, on peut utiliser un gestionnaire de mot de passe offline protégé par un mot de passe et un token USB/NFC qu'on garde sur son porte clé comme une YubiKey. Comme ça on peut s'authentifier avec sur PC et android et utiliser un gestionnaire TOTP sécurisé. On peut aussi mettre dessus ses clés GPG. Le secret et/ou le chiffrage se font sur la clé et l'extraction est sensée être impossible car bloquée par le hardware.
L'authentification par SMS c'est déprécié : c'est utilisé pour voler les comptes des stars et PDG dans diverses niouzes.
Sinon, on peut aussi noter ses codes sur un carnet qu'on laisse dans un coffre... très dur à pirater...
Sur proton, on peut générer des codes à usage unique pour s'authentifier à la place du 2e facteur en cas de panne de batterie.
C'est pour ça que j'ai quitté google, yahoo ou MS pour le courriel.
Un jour, en déplacement pro inhabituel. Tous les comptes se sont verrouillés avec demande d'authentification par SMS (ou mail mais tous étaient bloqués...), sauf qu'étant à l'étranger, mon fournisseur de téléphone ne captait qu'à 800m de mon hôtel suite aux contrats locaux, et la data sur mon tél. refusait de marcher (c'était il y a longtemps). La galère complète.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager