IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 873
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 873
    Points : 205 800
    Points
    205 800
    Par défaut NCSC : « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr »
    « Autorisez votre site Web à accepter le collage de mots de passe, cela le rend plus sûr »,
    le NCSC britannique assure aux concepteurs de sites Web qu'il s'agit d'une bonne pratique de sécurité

    Il y a des chances que vous soyez déjà tombé sur un site Web qui vous empêche de coller un mot de passe. La raison qui motive cette décision a déjà fait l’objet de plusieurs débats.

    Interrogée à ce sujet, le National Cyber Security Center, une organisation du gouvernement du Royaume-Uni qui fournit des conseils et une assistance aux secteurs public et privé pour éviter les menaces de sécurité informatique, estime que lorsque la raison évoquée est « la sécurité », cela ne contribue pas à l’améliorer. Au contraire même, l’organisation indique : « nous pensons qu’empêcher le collage de mot de passe est une mauvaise chose qui réduit la sécurité. Nous pensons que les utilisateurs doivent être autorisés à coller leurs mots de passe dans des formulaires, ce qui contribuerait à améliorer la sécurité ».

    Dans un billet de blog, elle note que cela relève du domaine de la légende urbaine que de penser qu’empêcher de coller un mot de passe améliore la sécurité : « personne n'a produit un document, une règle, un RFC (un document de normes techniques pour planifier le fonctionnement d'Internet) ou quoi que ce soit d'autre qui ait permis de commencer cette pratique. Si vous en connaissez un, faites-le-nous savoir en utilisant le formulaire de commentaires ci-dessous. Nous pensons que c'est l'une de ces idées de ‘meilleures pratiques’ qui a un attrait instantané de bon sens. Compte tenu de la situation dans son ensemble aujourd'hui, cela n'a vraiment aucun sens ».

    Alors pourquoi permettre de coller son mot de passe est une bonne chose ?

    La principale raison évoquée par l’organisation est qu'il contribue à réduire la surcharge de mots de passe : « autoriser le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe ».

    Et de rappeler par la suite que les gestionnaires de mots de passe sont très utiles, car ils :
    • rendent beaucoup plus facile la possibilité d'avoir des mots de passe différents pour chaque site Web que vous utilisez
    • améliorent votre productivité et réduisent la frustration en évitant les erreurs de frappe lors des connexions
    • simplifient l'utilisation de mots de passe longs et complexes.

    Bien sûr, ils ont rappelé que les gestionnaires de mots de passe ne sont pas une solution miracle : « bien que les gestionnaires de mots de passe puissent offrir une meilleure protection que, par exemple, le fait de conserver vos mots de passe dans un document normal (et donc non protégé) sur votre ordinateur, ils ne sont pas une solution miracle pour résoudre tous les problèmes de mot de passe d'une organisation ».

    Néanmoins, il propose un scénario pour souligner encore plus l’utilité d’admettre le collage de mot de passe : imaginez si vous n'aviez pas de gestionnaire de mots de passe, ou même ce document non protégé sur votre ordinateur avec vos mots de passe. Sans gestionnaire de mots de passe, il serait pratiquement impossible de se souvenir de tous vos mots de passe. Pour y faire face, vous devez faire certaines de ces mauvaises choses :
    • réutiliser les mêmes mots de passe sur différents sites Web ;
    • choisir des mots de passe très simples (et si faciles à deviner) ;
    • écrire des mots de passe dans des endroits faciles à trouver (comme des Post-It à côté de l'écran).


    Nom : pass.png
Affichages : 18219
Taille : 233,0 Ko

    Quelles sont les raisons évoquées pour justifier cette pratique ?

    Le NCSC en a évoqué trois et a noté qu’elles comportent ce petit grain de vérité trompeur qui peut sembler très convaincant.

    Le collage de mots de passe permet des attaques par force brute

    Les défenseurs de ce système expliquent que si le collage de mot de passe est autorisé, cela représente une vulnérabilité où des logiciels malveillants ou des pages Web pourraient coller à plusieurs reprises des suppositions de mot de passe dans la zone de mot de passe jusqu'à ce qu'ils parviennent à la bonne combinaison.

    Selon le NCSC, c'est une vérité, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à configurer pour les attaquants, mais qui sont beaucoup plus rapides pour ce jeu de devinettes. Le risque d'attaques par force brute utilisant le copier-coller est très faible.

    Coller des mots de passe les rend plus faciles à oublier, car vous avez moins de chances de les composer sur votre clavier

    Le NCSC reconnaît que le principe est vrai.

    Cependant, il précise que dans le monde réel, les gens ont des mots de passe pour des choses qu'ils n'utilisent presque jamais. Cela signifie qu'il n'y a pas assez de temps pour pratiquer et donc peu de chances de s’en souvenir. Toute cette justification ne fonctionne que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe - et ce n'est pas toujours vrai.

    Les gens sont également obligés d'avoir des mots de passe pour les choses qu'ils utilisent si souvent qu'ils ne pourraient pas oublier le mot de passe même s'ils le voulaient (ce qui est assez gênant si vous êtes obligé de changer le mot de passe régulièrement), et en taper l’ancien mot de passe encore et encore est quelque qui peut entamer leur journée. Les gestionnaires de mots de passe sont un bâton sur lequel ces personnes s'appuient et la pratique consistant à interdire le collage de mot de passe les en empêche.

    Les mots de passe vont traîner dans le presse-papiers

    Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » où il peut être collé autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne l'utilisant) a accès au presse-papiers et peut voir ce qu'il contient. Copier n'importe quoi écrase généralement ce qui était déjà dans le presse-papiers et le détruit.

    De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin de pouvoir le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou malware) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

    Les mots de passe restants dans le presse-papiers peuvent être plus problématiques si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur. Vous pourriez oublier de vider le presse-papiers. Cependant, ce n'est pas vraiment un risque, car :
    • la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site Web, et certains évitent complètement le presse-papiers en tapant le mot de passe avec un clavier virtuel à la place ;
    • le navigateur Web Internet Explorer 6 permet aux pages Web malveillantes de copier le presse-papiers; mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
    • les virus installés sur votre ordinateur peuvent contenir des copieurs de presse-papiers et récupérer vos mots de passe collés. Ce n'est pas encore une bonne raison pour interdire de coller des mots de passe ; lorsque votre ordinateur est infecté, vous ne pouvez pas lui faire confiance du tout. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours également chaque lettre, chiffre et symbole tapé sur votre ordinateur, y compris vos mots de passe. Ils voleraient votre mot de passe, qu'il soit ou non dans le presse-papiers, donc vous ne gagnez pas vraiment beaucoup avec cette pratique.

    Conclusion

    En définitive, l’organisation pense qu’interdire le collage de mot de passe est une mauvaise pratique et que l’autoriser est la bonne chose à faire, notant que « les avantages l'emportent sur les inconvénients, et par beaucoup ».

    « Plutôt que d'empêcher le collage de mots de passe, aidez vos ordinateurs à éviter d'attraper des virus en premier lieu en suivant nos conseils sur la sécurisation informatique de l'entreprise. Et installez les mises à jour logicielles - la version informatique de manger cinq fruits et légumes par jour. C'est l'un des meilleurs moyens de sécuriser votre ordinateur ».

    Source : NCSC

    Et vous ?

    Êtes-vous déjà tombé sur un site qui vous empêche de coller votre mot de passe ?
    Qu'est-ce qui pourrait, selon vous, expliquer cette pratique ?
    Que pensez-vous des arguments avancés par la NCSC pour déconseiller cette pratique ?
    Comment protégez-vous vos mots de passe ?
    Êtes-vous pour ou contre le fait d'empêcher de coller un mot de passe ?
    Êtes-vous pour ou contre l'utilisation d'un gestionnaire de mots de passe ?

  2. #2
    Membre émérite
    Profil pro
    Inscrit en
    Juin 2009
    Messages
    951
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2009
    Messages : 951
    Points : 2 909
    Points
    2 909
    Par défaut
    Les virus installés sur votre ordinateur peuvent contenir des copieurs de presse-papiers et récupérer vos mots de passe collés. Ce n'est pas encore une bonne raison pour interdire de coller des mots de passe ; lorsque votre ordinateur est infecté, vous ne pouvez pas lui faire confiance du tout. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours également chaque lettre, chiffre et symbole tapé sur votre ordinateur, y compris vos mots de passe. Ils voleraient votre mot de passe, qu'il soit ou non dans le presse-papiers, donc vous ne gagnez pas vraiment beaucoup avec cette pratique.
    Sans doute la partie la plus pertinente pour pouvoir juger de la qualité des propos, qui pour moi sans très bon.

    Pour moi l'histoire de prévenir de coller pour améliorer la sécurité vient sans doute plus de l'équation "plus chiant" = "plus sure" surtout sur des cas récent.

    On peut imaginer qu'a l'époque des années fin 90 début 2000, les virus étaient sans doute moins évolué et pouvaient se limiter à détecter un mot de passe dans le presse papier plutôt que d'analyser chaque frappe, mais c'est sans doute beaucoup moins le cas aujourd'hui.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Inscrit en
    Janvier 2014
    Messages
    1 542
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 542
    Points : 5 866
    Points
    5 866
    Par défaut
    Je suis d’accord avec l'avis de l'article : les sites qui empêchent les collage de MP ça m'agace au plus haut point, c'est stupide et inutile.
    C'est pas parce qu'on colle un MP qu'on utilise le même pour tous les sites, on peu générer un mot de passer sécure, le coller sur le site et le coller dans une base de mpd, et donc utiliser un mot de passe unique pour chaque site, mais par collage.
    On peux décider de gérer sois même sa base de MDP sans forcément utiliser un gestionnaire de mpd, car beaucoup se sont révélés avoir des failles de sécurité.

  4. #4
    Membre expert
    Profil pro
    undef
    Inscrit en
    Février 2013
    Messages
    1 001
    Détails du profil
    Informations personnelles :
    Localisation : France, Lot (Midi Pyrénées)

    Informations professionnelles :
    Activité : undef

    Informations forums :
    Inscription : Février 2013
    Messages : 1 001
    Points : 3 657
    Points
    3 657
    Par défaut
    Pour résoudre ce problème j'ai fait ce que tout le monde sait faire ici pour coder un petit programme capable de tromper cette n-ième itération du grand projet "Une idée de merde pour l'Humanité" qui vise à compliquer chaque instant de la vie des utilisateurs sans aucune plus-value.

  5. #5
    Rédacteur
    Avatar de omen999
    Profil pro
    Inscrit en
    Février 2006
    Messages
    1 299
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 1 299
    Points : 3 554
    Points
    3 554
    Par défaut
    disons plutôt : « Autorisez votre site Web à accepter le collage de mots de passe, cela ne le rendra pas moins sûr »
    ce qui n'a pas tout à fait le même sens...

  6. #6
    Invité
    Invité(e)
    Par défaut
    Bonsoir

    Êtes-vous déjà tombé sur un site qui vous empêche de coller votre mot de passe ?
    Oui

    Qu'est-ce qui pourrait, selon vous, expliquer cette pratique ?
    Eviter les inscriptions de "boots" sur certains forum. Car ils postent des conneries.

    Que pensez-vous des arguments avancés par la NCSC pour déconseiller cette pratique ?
    C'est que beaucoup d'argument sont bâtis sur des "dogmes" ou "obsolètes"

    Comment protégez-vous vos mots de passe ?
    J'ai mon propre système de sécurité.

    Êtes-vous pour ou contre le fait d'empêcher de coller un mot de passe ?
    Pour coller le mot de passe ... suffit de devoir recopier une longue chaine et c'est de suite rengaine et source d'erreur à tout recopier à la mano.

    Êtes-vous pour ou contre l'utilisation d'un gestionnaire de mots de passe ?
    Contre

Discussions similaires

  1. [JavaScript] WebcamQRCode: Scannez les codes QR à partir de votre site web
    Par marcbuils dans le forum Contribuez
    Réponses: 1
    Dernier message: 10/06/2015, 23h08
  2. [Plugin] WebcamQRCode: Scannez les codes QR à partir de votre site web
    Par marcbuils dans le forum jQuery
    Réponses: 0
    Dernier message: 23/10/2012, 10h08
  3. Réponses: 10
    Dernier message: 06/06/2011, 12h45
  4. [MySQL] protéger un site web par un mot de passe
    Par rachidalliance dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 12/07/2010, 10h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo