Follow

Mes différents mots de passe exposés dans des fuites de données se décomposent en trois catégories :

- les mots de passe utilisés en développement, sur mon propre PC uniquement (on s'en fout)
- un vieux mot de passe qui traînait encore sur 3 sites, exposé dans une unique faille (je l'ai changé)
- ceux utilisés pour les banques et assurances qui forcent à utiliser des mots de passe de 4 ou 6 chiffres (pas grave, c'est pas critique… oh wait! 😱)

D'ailleurs, je suis preneur de lectures justifiant ou non l'usage des claviers virtuels (mais pas virtuellement pourris) utilisés par les banques et le niveau de sécurité catastrophique imposé aux mots de passe sur ces mêmes sites.

Merci pour les réponses :) Je trouve toujours que les raisons sont idiotes, mais au moins ça complète les raisons que j'avais en tête !

Et on applaudit bien fort Free qui nous fait un magnifique combo : "contraintes de mot de passe catastrophiques" + UX pourrie (contraintes incomplètes sur la page de changement -> redirection vers une autre page pour indiquer l'ensemble des contraintes -> retour à l'accueil pour revenir à la page de modification de mot de passe)

@framasky Via Bitwarden, j'ai un compte premium qui permet de les tester

@maiwann Oui mais non : ça me dit si mon adresse fait partie d'un leak ou est listée sur un pastebin, mais pas quel est le mot de passe concerné. Par exemple, j'ai une adresse leakée sur deux pastebin, mais les pastebin ont été effacés, donc je ne sais pas quel est le mot de passe qui a fuité.
@marien

@marien La seule raison que j'y vois c'est de contrer les keyloggers. Mais comme je doute que ce soit l'attaque la plus fréquente, je trouve ça un poil débile…

@gee @marien de manière inavouée par les banques, c'est aussi pour éviter le scraping.

Bien sûr, c'est le jeu du chat et de la souris, et des gens ont trouvé des moyens de contourner le truc (assez salement :D).

@bnjbvr @gee @marien A noté que ça évite le keylogger qui s'intéresserait qu'au clavier mais pas impossible d'en faire un qui choppe les positions de la souris et fait des screenshots à chaque clic. Sans compter que sur mobile (Android) ils ne désactivent pas la possibilité de faire un screenshot de l'app...

@bnjbvr Ouais je pensais principalement au scrapping au début, mais je trouvais la raison pourrie @gee

@gee @marien Ça fait office de captcha aussi. C'est surtout pour ça je crois. Et je préfère ça que de voir le captcha Google (Hein, EDF. Hein, le gouvernement…).

Souvent y'a un mode accessible qui permet de l'éviter, ce qui réduis son intérêt à néant. Mais permet de faire des scrapers :p

@marien Dans le dernier cas, ils compensent avec un nombre d’essais limité avant blocage plus ou moins long/définitif.

Sign in to participate in the conversation
TUTUT DELIRE PARTY

tutut.delire.party is one server in the network