Mes différents mots de passe exposés dans des fuites de données se décomposent en trois catégories :
- les mots de passe utilisés en développement, sur mon propre PC uniquement (on s'en fout)
- un vieux mot de passe qui traînait encore sur 3 sites, exposé dans une unique faille (je l'ai changé)
- ceux utilisés pour les banques et assurances qui forcent à utiliser des mots de passe de 4 ou 6 chiffres (pas grave, c'est pas critique… oh wait! 😱)
Et on applaudit bien fort Free qui nous fait un magnifique combo : "contraintes de mot de passe catastrophiques" + UX pourrie (contraintes incomplètes sur la page de changement -> redirection vers une autre page pour indiquer l'ensemble des contraintes -> retour à l'accueil pour revenir à la page de modification de mot de passe)
@marien T'as chopé l'archive, pour voir ça ?
@framasky Via Bitwarden, j'ai un compte premium qui permet de les tester
@maiwann Oui mais non : ça me dit si mon adresse fait partie d'un leak ou est listée sur un pastebin, mais pas quel est le mot de passe concerné. Par exemple, j'ai une adresse leakée sur deux pastebin, mais les pastebin ont été effacés, donc je ne sais pas quel est le mot de passe qui a fuité.
@marien
@marien La seule raison que j'y vois c'est de contrer les keyloggers. Mais comme je doute que ce soit l'attaque la plus fréquente, je trouve ça un poil débile…
@bnjbvr @gee @marien A noté que ça évite le keylogger qui s'intéresserait qu'au clavier mais pas impossible d'en faire un qui choppe les positions de la souris et fait des screenshots à chaque clic. Sans compter que sur mobile (Android) ils ne désactivent pas la possibilité de faire un screenshot de l'app...
@bnjbvr @gee @marien Tiens, ça m'a fait pensé à cette conf https://speakerdeck.com/stephaniewalter/lux-au-service-de-la-performance-de-vos-interfaces?slide=82 (diapos 82 et 83). :)
(ça répond pas à la question, mais c'est lié)
@marien Dans le dernier cas, ils compensent avec un nombre d’essais limité avant blocage plus ou moins long/définitif.
D'ailleurs, je suis preneur de lectures justifiant ou non l'usage des claviers virtuels (mais pas virtuellement pourris) utilisés par les banques et le niveau de sécurité catastrophique imposé aux mots de passe sur ces mêmes sites.