Logo journal du hacker middle
  1. 16
  1.  

  2. 2

    Il manque :

    • Les sites qui s'amusent à redéfinir comment faire dérouler une page web.

    • Les sites qui ont des raccourcis claviers mais que tu dois deviner (en lisant le js)

    • Les sites qui te font miner

    • Les sites qui utilisent JS pour n'importe quoi

    1. 0

      Il y a quand même une très grande méconnaissance des mécanismes de sécurité que mettent en place les banques et de la sécurité d'une solution d'authentification.

      Il fait mention du code pin à 4 chiffres, où il dit qu'il faut 15 millisecondes pour les avoir et recommande quelque chose de très long à la place. C'est vrai, seulement, encore faut-il pouvoir les tester toutes.

      Premièrement, chaque banque met en place ses propres mécanismes de sécurité, il apparaît dés lors difficile de faire des généralités.

      Deuxièmement, il faut posséder le login, qui lui peut-être extrêmement grand et reservé à cet usage ainsi que le mot de passe associé.

      Troisièmement, même si l'on imagine qu'un pirate fasse une attaque par force brute sur un login random. Celui-ci sera bloqué au bout d'un nombre de tentative très court et d'un blocage du compte en ligne si dépassement d'un certain nombre de saisies de code erronées sur une période plus longue. Il apparaît tout de suite très difficile de tester un grand nombre de possibilités.

      Dernièrement chose, certaines banques mettent en place des authentification forte avec possession d'un token RSA (ou assimilé) et utilisation d'un mot de passe banque propre à l'utilisateur et non modifiable. Il devient extrêmement difficile de trouver un login + mot de passe banque + mot de passe du token rsa générée ; sans compter les mécanismes de blocage en cas d'erreurs mis-en-place.

      C'est pour cela que nos cartes bancaires ne nécessitent pas de mot de passe très long. Car au bout d'un très faible nombres d'erreurs, l'automate l'avale ou le compte est bloquée. Le mot de passe n'est pas le seul critère de sécurité à prendre en compte pour sécuriser un accès. ;)

      A part ce petit bémol, c'est toujours intéressant d'avoir le pdv d'un pair sur la technologie.

      Mirabellette

      1. 1

        Oui sauf que jusqu'à tout récemment, ma banque te bloque au bout de 3 accès et redonne l'accès à l'IP au bout de 30 minutes. Oui, l'IP. Je te laisse calculer le temps pour le forcer. De la part des mêmes “‘spécialistes” qui m'ont forcé à prendre une carte à paiement NFC, on peut quand même les traiter de BRANQUIGNOLS.