Quand les applications bancaires obligent à utiliser des mots de passe faibles
Dans l’application mobile de TD, une banque canadienne, il est inutile de vouloir coller le mot de passe qui permet d’accéder à ses données bancaires : cette possibilité a été supprimée il y a peu. C’est un vrai problème pour ceux qui utilisent des coffre-fort logiciels comme 1Password, qui génèrent des mots de passe longs… et difficiles à mémoriser. Pour « votre sécurité », explique le community manager de l’établissement bancaire dans un tweet ensuite supprimé, le mot de passe devrait être stocké dans la « mémoire » de l’utilisateur plutôt que dans un logiciel. Cela part peut-être d’un bon sentiment, mais TD n’a visiblement pas suffisamment réfléchi à la portée de cette suppression qui, en empêchant les gestionnaires de mots de passe de remplir leur office, force ses clients à utiliser des mots de passe moins forts.
AgileBits, l’éditeur de 1Password, est monté au créneau en expliquant que la meilleure protection possible pour empêcher les malandrins d’accéder à des données aussi sensibles que celles d’un compte bancaire était la mise en place d’un mot de passe long et complexe — une information pratiquement impossible à mémoriser par l’utilisateur donc (surtout quand on les multiplie), mais qui peut être prise en charge par une application tierce pour peu qu’il soit possible de coller le mot de passe dans les services qui le demandent. En empêchant cette fonction, TD fragilise la sécurité des informations confidentielles de ses clients. Il semble d’ailleurs que la bourde soit en passe d’être corrigée : la banque travaille sur une mise à jour de son application mobile qui devrait consacrer le retour du copier/coller dans les formulaires.
« Actuellement, les mots de passe sont un mal nécessaire », explique Megan O’Brien dans la lettre ouverte publiée sur le blog d’AgileBits. « Se rappeler [des mots de passe] ne devrait pas l’être ». Cela devrait être laissé aux bons soins d’un gestionnaire dédié. AgileBits n’oublie pas évidemment de rappeler l’existence de son API qui permet l’intégration de 1Password dans une application tierce, a fortiori pour les logiciels des banques.
Sinon en 2015 à la caisse d'épargne, on ne peut pas avoir un mot de passe de plus de 4 chiffres...
Et la compatibilité avec TouchId n'en parlons pas...
@BrokenStones :
Attends, les "pauvres" ils viennent à peine d'adapter leurs appli aux iPhone 6!
Ils ont toujours un train de retard concernant leurs appli. Je me souviens également le passage de l'iPhone 4 au 5, 6 mois! Comme là, 6 mois.
Donc je pense que d'ici l'année prochaine ils intégreront peut-être Touch ID.
Mais bon a la vitesse où ils vont j'y crois moyen...
@BrokenStones :
Certes, mais il faut le cliquer après avoir saisi sont numéro de compte qui n'est pas mémorisable et son numéro d'utilisateurs qui ne l'est pas non plus
@BrokenStones
Réessaye, j'ai réussi à créer un PIN de 5 chiffres. LOL (addressé à BPCE, pas à toi, hein!).
Non, sinon le truc qui me fait crisser des dents, c'est le fait que lorsqu'on quitte l'app après une consultation rapide, elle reste loguée. Comme ça, tranquille... L'app de la RBS a au moins le mérite d'utiliser TouchID, et de systématiquement log out quand l'app n'est plus au premier plan (histoire que le solde du compte ne soit pas visible quand on fait un double appui sur le bouton home après coup...).
Point de vue technologique, les banques sont complètement à la rue. Quand vont elles intégrer TouchID ???
@PINOCU :
Certaine le font.
Déjà le jour où ils feront des mots de passes composé d'autre chose que de 4 à 8 chiffres...
@Brokenstones 5 chiffres plus exactement.
Depuis peu ma banque me propose de changer mon mot de passe pour quelque chose de plus long et complexe que les 4 à 8 chiffres précédemment utilisés. Mais le formulaire de changement de mot de passe ne fonctionne pas...
Oh les pauvres, ils vont devoir utiliser leur propre cerveau pour retenir un mot de passe...
Nan mais sérieusement, vous avez autant de mal que ça à retenir même un mdp "fort" de 12 ou 16 caractères?
Surtout que pour des données bancaires, je préfère qu'aucune application ne connaisse mon mdp.
PS : médicalement, entraîner sa mémoire retarde l'apparition d'Alzheimer.
oh ! un p'tit rigolo qui fait le malin !
Effectivement, si tu n'as qu'un seul login, pas de difficulté à retenir le mot de passe. Quand le nombre de login dépasse 8 ou 10, c'est déjà plus pareil.
NB: ton PS n'en est pas un.
NB2 : le phosphore aide à développer l'intelligence.
@Kimaero :
+ 1000
Dans 1Password j'ai +1500 identifiants avec des mots de passe différents et un jeux de 15 emails
Ce n'est pas humain de vouloir me faire retenir tout cela ;)
Sinon le fait de copier dans le presse papier une information dans iOS rend celle-ci accessible a toutes les applications. On comprend la position de la banque...
Encore un titre trompeur pour générer des visites!
Mais évidemment que cette banque a raison! QUi est assez bête que pour mettre un mot de passe de banque dans les mains d'une tierce partie ou du clipboard système qui peut être lu facilement....
Sérieusement, cette histoire est horripilante!
Gardez vos mot de passes compliqués dans votre tête, il y en a deux ou trois à tout casser (banque, et celui de votre guru -Apple, Google - Microsoft-, Paypal.)
le reste, pour les forums, c'est pas bien grave si vous le perdez, mais pour le reste, plutôtmourir que de le donner à un gestionnaire de mdp!
@Ze_misanthrope :
J'ai 128 mots de passe stockés dans 1password (autolib, Amazon, banque 1, banque 2, banque 3, etc) tous Ave c des mots de passe forts. Je fais comment pour les mémoriser ?
J'admire ta confiance en 1Password, au réseau sur lequel tu es, et au presse papier de l'iPhone, c'est impressionant!
@Ze_misanthrope
"J'admire ta confiance en 1Password, au réseau sur lequel tu es, et au presse papier de l'iPhone, c'est impressionant!"
Tu es assez paradoxal quand même non ? :-)
Que tu tires la sonnette d'alarme sur les gestionnaires de mot de passe , OK pourquoi pas .
Mais dans ce cas , toi tu prônes la solution de retenir toi même un mot de passe qui sera donc forcement plus simple et donc moins fiable que celui généré (ou pas) dans 1password ?
J'avoue que je ne comprends pas ta logique.
Non, c'est dans ta tête que je suis paradoxal.. Comme souvent, tes remarques font des suppositions assez irritantes.
Un mot de passe intelligemment construit dans ta tête avec des symboles, des majuscules, des ponctuations, des caractères spéciaux et des chiffres de longueur suffisante peut êtrte facilement retenu, même par toi.
La perte de sécurité par rapport à un mot de passe généré par 1Password est ridicule.
Par contre, la perte de sécurité de mettre tous ses mdp dans le même panier, sur un serveur tiers, en passant par ds applis moins sécurisées, et des copier coller, là c'est la perte de sécurité assurée.
Donc non, désolé, mais un mot de passe intelligent n'est pas moins sécurisé que le reste.
@Ze_misanthrope :
Et tu en retiens combien des mots de passe comme ça ?
Trois, ce qui est largement faisable par un été humain normal.
Après les mot de passe iGen, et autres forums, sites a moins de valeur sont évidemment utilises avec mot de passe plus générique, ce n'est pas me banque.
Un mot de la langue courant avec deux caractères spéciaux, des chiffres a l'intérieur. C'est le même pour tous mes sites "pas graves"
C'est toujours plus sécurisé je le répète que de passer par un serveur tiers.
@Ze_misanthrope :
"Non, c'est dans ta tête que je suis paradoxal.. Comme souvent, tes remarques font des suppositions assez irritantes."
Tu as peut être raison et j'en prend note ...
J'espère que tu ne vas pas faire comme moi envers d'autres donc ... Mais j'ai du rêver jusque là .
Nous verrons bien .
@Ze_misanthrope
Et non la banque n'a pas raison. Inévitablement cette pratique va conduire à des mots de passe faibles, c'est
J'ai un mot de passe de 6 chiffres que je change régulièrement.
En revanche je suis assez réservé quand il s'agit de faire des opérations sur mon compte à partir d'une tablette (je ne la fais pas sur un device android).
Sinon, en terme de sécurité, c'est toujours mieux d'avoir un mot de passe fort, mais simple fait largement l'affaire du moment qu'on n'utilise pas un mot de passe qui peut être compris facilement comme les dates de naissance ou autre
@Kimaero et @Ze_misanthrope
Vous arrivez à retenir "1de35q@z{m$%)13qse#i4g51e$ekr*!,ds" ???
C'est ça un mot de passe compliqué
@ XiliX : Quoi ? Mais c'est mon mot de passe !
Comment t'as fait pour l'avoir ?
:P
ton mot de passe est autant sécurisé que:
1RuETEm3tepKw$Df5éè!ç (nom de personnes et de places que je connais à la suite, avec des transformations lettres-chiffres symboles) qui lui est facile à retenir grace aux moyens mnémotechniques utilisés.
Donc oui, il est facile de créer un mot de passe sécurisé à retenir sans passer par des logiciels tiers
"Donc oui, il est facile de créer un mot de passe sécurisé à retenir sans passer par des logiciels tiers"
Oui mais en créer un par site et les modifier tous les 15j/mois, là ça devient plus compliqué.
Oui mais le changer tous les 15 jours est stupide vu la perte de sécurité engendrée si tu le fais retenir par un logiciel tiers...
La Société Générale utilise le même genre de système, ainsi que Free mobile ou Pole Emploi. C'est pas pratique qd on utilise un gestionnaire de mots de passe, mais j'ai qd même l'impression que c'est plus sécurisé (existe les keyloggers ou autres), non ?
Exacte.
Autant pour l'application de la SG je comprend mais pour les deux autres, je ne vois l'utilité d'une tel sécurité.
Parce que dans le cas de Free, il faut retenir le mot de passe et l'identifiant.
Chez pole emploi et SG, il n'y a que les mots de passe a retenir, les identifiants peuvent être sauvegarder (pour la SG sur le l'application uniquement).
Mon de passe compliqué 8 caractère. Combiné le tout à des moyen mnémotechnique pour s'en rappeler.
Une phrase qui ne veux rien dire mais qui à du sens que pour vous.
Activer la vérification en double étape / génération de code pour application / code de récupération imprimé et gardé en lieux sûr (ou secret). / obliger le changement de mdp tout les 72 jours (Microsoft propose cette option...)
Les moyens ne manque pas pour protéger ses comptes (mail en tout cas).
C'est contraignant, chiant, long, mais c'est sûr et pas besoin de gestionnaire de mdp pour cela !
Attention, je me sert de gestionnaire de mdp... Pour des forums / site d'achat et autre. Mais à partir du moment où les services proposé sont sensible. C'est mort. Ma mémoire, une phrase qui n'a ni queue ni tête sauf pour mois, et puis c'est tout.
Allez retrouver le mdp avec cette phrase :" Charlie est un Rouge Gorge égorgé par deux pissenlit ! (Cookie vert ! :))"
le MDP contient des Majuscules, des lettres et des chiffre et des caractère spéciaux. (et il fait 10 caractère...)
vous avez 3 mois, après, je change. ^^
Charlie est un Rouge Gorge égorgé par deux pissenlit
C'est une contrepèterie ?
Plus sérieusement, ta méthode ne fonctionne que pour un nombre très limité de login.
J'étais en train de jouer à où est Charlie quand j'ai vue l'article...^^'
Sinon, oui, ça marche avec un nombre limite de Login.^^
Et encore heureux ! J'en ai que 4.
Après, je ne suis pas une société hein!^^'
Mes autres login et mdp, c'est ma boîte qui me les fournis. Donc pas de choix.:))
C'est vrai que c'est chiant ces systèmes, par exemple quand tu gères de nombreux comptes chez FreeMobile pour tes clients. L'enfer leur système d'identification :(
C'est vraiment dommage de limiter les mots de passe á de simple chiffres!
Dans mon cas je vois bien la différence entre ma banque française (Bnp) et les banques suédoises. La Bnp me demande un nombre à 6 chiffre en plus de mon numéros de client.
Mes banque suédoises utilise un système d'identification national, te demandant ton numéro d'identité, puis te renvoi vers ton mobile où tu as une application qui stocke ta clé de chiffrement (carte d'identité électronique), il n'y a alors qu'à renseigner sa passphrase et voilà.
ah ben voilà ! pareil. Pour les sites de mes banques, mon login est mon numéro de client. Ce numéro est présent dans tous les échanges, papier ou mail, avec ces banques. Première faiblesse. Pour 2 de ces banques, dont une d'origine étrangère et de couleur orange, le mot de passe est uniquement numérique, 6 ou 8 chiffres et pas un de plus. Deuxième faiblesse.
@ heret : ING Direct ? La banque qui spame les gens qu'on lui recommande ? Ou plutôt la boîte qui revend ses fichiers d'adresses mails à ses copains ?
(J'en ai fait les frais, le jour où mon chef leur a donné mon email perso - sans me prévenir - pour me coopter et toucher une prime - qu'il n'a pas touchée, vu que je n'ai pas mordu. Suite à ça, j'ai commencé à recevoir des tonnes de spam d'entreprises françaises. Un jour, c'était pour un abonnement à l'Express, mail envoyé par je ne sais quelle boîte de pub. J'ai alors appelé le service abonnés de l'Express, et ils m'ont confirmé que des tiers pouvaient vendre des abonnements à leur journal, dont ING Direct - indirectement).
TouchID disponible sur l'app ING en Belgique
TouchID est l'avenir de la sécurité.
J'ai un mot de passe long et complexe pour chaque site.
Il est facile d'utiliser une solution mnémotechnique pour le retrouver.
Une partie propre au site en relation avec son nom ou son objet.
Une partie commune complexe mais unique.
Une partie qui permet de changer si besoin.
Résultat, même si je laisse le sytème mémoriser les mots de passe pour beaucoup de sites, je n'ai aucun problème pour me souvenir de ceux que je souhaite garder pour moi.
Eh bien, vous en faites un barouf !
De toutes façons c'est le ou les sites auxquels vous avez confié vos coordonnées de cartes bancaires qui seront statistiquement piratés, avant vos codes d’accès, et vos coordonnées avec !
;-)
Ou on peut citer aussi, en 2015, Virgin Media qui se contente de limiter la longueur des mots de passe à 10 caractères. En 2015.
Ça fait très pro pour un opérateur Télécom...
D'accord avec AgileBits, mieux vaut long et complexe mais que dire de 1password (que j'utilise pourtant) ?
Quelqu'un a-t'il des doutes sur sa fiabilté (à part les maladresses d'utilisateurs, bien sûr) ? Tout comme le
Trousseau d'Accès de Mac OS, n'est-ce pas une cible rêvée pour les cybermalandrins ?
@Ze_misanthrope :
3 mots de passe seulement ? Ce qui veut dire que tu utilises le même mot de passe pour plusieurs sites sensibles... Ou alors ta vie numérique est proche de zéro.
J'ai un mot de passe différent pour chaque site sensible, banques (3), sites e-commerce, FB, Gmail, etc.