Je recherche en ligne un article ou site qui explique, si possible avec un codage universel pour tous les navigateurs, d'empêcher l'enregistrement du mot de passe et/ou de l'identifiant de connexion à un service sécurisé https, même si l'internaute accepte de mémoriser ce mot de passe dans les propriétés de son navigateur.
je recherche donc un code qui "bypass" le choix de l'internaute ce qui en ces temps d'attaques répétées me semble important, l'internaute n'étant souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Fred a demandé: > Bonsoir, > Je recherche en ligne un article ou site qui explique, si possible avec un > codage universel pour tous les navigateurs, d'empêcher l'enregistrement du > mot de passe et/ou de l'identifiant de connexion à un service sécurisé > https, même si l'internaute accepte de mémoriser ce mot de passe dans les > propriétés de son navigateur. > je recherche donc un code qui "bypass" le choix de l'internaute ce qui en > ces temps d'attaques répétées me semble important, l'internaute n'étant > souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp > Merci
Bonsoir,
Personnellement, j'utilise Mozilla et je stocke mes mots de passe dans le gestionnaire prévu à cet effet et protégé lui même par un mot de passe. J'utilise cette fonctionnalité en toute connaissance de causes ! Cette action relève de ma propre responsabilité et je vois d'un mauvais oeil qu'un site (ou une personne) extérieure à mon ordinateur veuille m'imposer la restriction que vous envisagez...
De manière générale, la gestion de la sécurité de mon ordinateur personnel et de mes mots de passe m'incombe et je n'entends pas déléguer cette gestion, ni même la voir restreinte.
Vouloir imposer cette restriction peut même produire l'effet contraire de celui recherché, par exemple de coller toute une série de post-it à coté de l'écran de l'ordinateur où tous les identifiants/mots de passe sont retranscris en clair !
De plus, trouver un mécanisme universel pour cette procédure relève de la quete de graal, compte tenu de la variété des navigateurs sur le marché, voire des outils tiers (plugins, application autonome et indépendante, etc). En conclusion, d'autres pistes sont à explorer, en particulier si cette mesure cherche à protéger votre site d'utilisation non voulue pour ne pas dire frauduleuse...
> je recherche donc un code qui "bypass" le choix de l'internaute ce qui en > ces temps d'attaques répétées me semble important, l'internaute n'étant > souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
Il y a tant à répondre...
Tout d'abord, au nom de quoi t'arrogerais-tu le droit de décider de la façon dont je dois traiter mes identifiants ? Que je sache, nous sommes maître de nos ordinateurs et seuls à même de décider de ce que les logiciels que l'on utilise doivent ou non faire. D'ailleurs, as-tu conscience du fait que ce que tu envisages est puni par la loi au même titre que toute intrusion sur un ordinateur ne t'appartenant pas ? Ensuite, tu parles de la dangerosité d'enregistrer et mémoriser les mots de passe, mais as-tu conscience du fait que ces mots de passe sont aussi enregistrés du côté du serveur, et que si j'étais un méchant qui voulait récupérer le mot de passe d'un utilisateur d'un service donné, j'aurais plutôt tendance à cibler le service que l'utilisateur. Cela non seulement parce que l'histoire démontre que les sites web sont loins d'être exempts de failles, mais aussi parce que je récupèrerais dans la foulée les identifiants d'autres personnes, ce qui s'avère toujours utile. Bon, évidement, un bémol à mettre à cela, si le site est bien fait, seul un hash du mot de passe est stocké. Enfin, si un système tel que celui que tu cherches existait, ce qui n'est pas le cas, il s'agirait d'un épée de Damoclès placée droit au-dessus de la sécurité des utilisateurs. On place un petit keylogger sur l'ordinateur de la cible, on fait sauter la mémorisation des mots de passe, et hop, on récupère tous les identifiants sans avoir à se casser la tête pour les décoder...
> je recherche donc un code qui "bypass" le choix de l'internaute
En gros tu recherches un "virus". Parcequ'en supposant qu'un tel mechanisme existe, alors il serait aussi possible de faire des chose beaucoup plus condamnables que ce que tu comptes faire...
> On Sat, 08 Apr 2006 18:21:10 +0000, Fred wrote: >> je recherche donc un code qui "bypass" le choix de l'internaute > En gros tu recherches un "virus". > Parcequ'en supposant qu'un tel mechanisme existe, alors il serait aussi > possible de faire des chose beaucoup plus condamnables que ce que tu > comptes faire...
Il ya des moyens simples et non intrusifsde faire ça, mais c'est particulièrement chiant.
Par exemple il faut que l'utilisateur entre la concaténation de son mot de passe personel et d'un texte qui lui est envoyé à la connexion.
le 08/04/2006 à 20:21, Fred a écrit dans le message :
> Je recherche en ligne un article ou site qui explique, si possible > avec un codage universel pour tous les navigateurs, d'empêcher > l'enregistrement du mot de passe et/ou de l'identifiant de connexion à > un service sécurisé https, même si l'internaute accepte de mémoriser > ce mot de passe dans les propriétés de son navigateur. > je recherche donc un code qui "bypass" le choix de l'internaute ce qui > en ces temps d'attaques répétées me semble important, l'internaute > n'étant souvent pas conscient de la dangerosité d'enregistrer et > mémoriser les mdp
Si c'est coté serveur que tu recherches, il suffit de faire comme bnpparibas.net : une grille où tu cliques pour taper ton mot de passe (ici des chiffres uniquement).
Fred wrote: > Bonsoir, > Je recherche en ligne un article ou site qui explique, si possible avec un > codage universel pour tous les navigateurs, d'empêcher l'enregistrement du > mot de passe et/ou de l'identifiant de connexion à un service sécurisé > https, même si l'internaute accepte de mémoriser ce mot de passe dans les > propriétés de son navigateur.
En passant par un système à mot de passe à utilisation unique l'enregistrement du mot de passe devient caduque... Mais comme cela est basé sur un secret commun il faut soit du matériel spécialisé, soit un canal sûr pour l´échange d'une liste de mot passe, une grille ou autre.
Fred écrivit dans l'article news:4437f27c$0$2076$626a54ce@news.free.fr
> Bonsoir,
Bonjour,
> Je recherche en ligne un article ou site qui explique, si possible avec un > codage universel pour tous les navigateurs, d'empêcher l'enregistrement du > mot de passe et/ou de l'identifiant de connexion à un service sécurisé > https, même si l'internaute accepte de mémoriser ce mot de passe dans les > propriétés de son navigateur. > je recherche donc un code qui "bypass" le choix de l'internaute ce qui en > ces temps d'attaques répétées me semble important, l'internaute n'étant > souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp
En sus des solutions techniques données par d'autres participants de fr.comp.securite, une solution éditoriale pour toute identification à un service client-serveur : identifiant ....... mot de passe ....... (Nous vous déconseillons de stocker/enregistrer/mémoriser vos/ce mots de passe dans votre ordinateur/client web pour les raisons _indiquées dans le document truc/cette page web/page de doc du logiciel_)
La partie soulignée est un liens vers une explication complémentaire.
> Si c'est coté serveur que tu recherches, il suffit de faire comme > bnpparibas.net : une grille où tu cliques pour taper ton mot de passe > (ici des chiffres uniquement).
Ah ça sert à ça ! Le CA aussi a adopté cette méthode.
-- Delf Do not use this email in Cc! L'alcool tue lentement. On s'en fout. On n'est pas pressé.
J'apporte une précision sur la raison de ma question : dans le climat actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, pc zombie ...) il est évident qu'il y aura à un moment ou un autre des internautes (ou une associations d'usagers) pour mettre en cause la responsabilité du fournisseur de service qui aura permis la mémorisation des mots de passe donnant accès à des services sensibles
Je souhaite donc faire de la prévention et protéger contre eux mêmes mes clients ...
> Si c'est coté serveur que tu recherches, il suffit de faire comme > bnpparibas.net : une grille où tu cliques pour taper ton mot de passe > (ici des chiffres uniquement).
Merci de citer cet exemple car c'est justement avec une grille de ce type que nous nous sommes rendus compte que le mot de passe était quand même mémorisé ... Peut être que c'est la façon dont la grille a été conçue qui est en cause
Le Sat, 08 Apr 2006 18:21:10 +0000, Fred a écrit :
> je recherche donc un code qui "bypass" le choix de l'internaute ce qui en > ces temps d'attaques répétées me semble important, l'internaute > n'étant souvent pas conscient de la dangerosité d'enregistrer et > mémoriser les mdp
Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) images de petits chats, les robots étant notoirement peu doués pour cette tâche :)
-- Si ça a l'air facile, c'est difficile. Si ça a l'air difficile, c'est carrément impossible. Si ça a l'air impossible, c'est un compilateur Ada. Théorème de Stockmayer.
>J'apporte une précision sur la raison de ma question : dans le climat >actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, >pc zombie ...) il est évident qu'il y aura à un moment ou un autre des >internautes (ou une associations d'usagers) pour mettre en cause la >responsabilité du fournisseur de service qui aura permis la mémorisation des >mots de passe donnant accès à des services sensibles
Si c'est pour un probléme légal, emmerder le monde[*] par un moyen technique n'est pas la bonne solution. Mieux vaut t'adresser à un légiste, qui te donnera un texte à mettre en "disclaimer" sur ton site pour dégager ta responsabilité.
D'autre part, empêcher l'enregistrement du mot de passe n'est pas un moyen d'augmenter la sécurité, mais juste un moyen de déplacer le problème : certes, le mot de passe n'est pas stocké sur disque dur, mais le fait de devoir le taper à chaque fois permet aux keyloggers d'être plus efficaces.
[*] N'importe qui peut assurer la sécurité en sacrifiant l'usabilité : il suffit de débrancher la prise Ethernet et le tour est joué.
> J'apporte une précision sur la raison de ma question : dans le climat > actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, [...]
Euh... il me semble que, justement, forcer les utilisateurs à retaper leur mot de passe facilitera les attaques de types phishing et keyloging... Non ?
Emmanuel Florac wrote: > Un nouveau système anti-robots très astucieux, d'ailleurs peut-être > intéressant dans ce cas précis : > http://arstechnica.com/news.ars/post/20060407-6554.html > Il s'agit de choisir sur une grille de 9 images (ou plus) 3 (ou plus) > images de petits chats, les robots étant notoirement peu doués pour > cette tâche :)
3 images/bidules/lettres c'est peu, l'implémentation du système à interêt à être bonne. Si ça empêche les robots mais pas un bête "brute-force" on a pas beaucoup avancé, non ?
This message is in MIME format. The first part should be readable text, while the remaining parts are likely unreadable without MIME-aware tools. ---559023410-1903590565-1144650343=:11051 Content-Type: TEXT/PLAIN; charset=iso-8859-15; format=flowed Content-Transfer-Encoding: 8BIT
On Sun, 9 Apr 2006, Fred wrote:
> J'apporte une précision sur la raison de ma question : dans le climat > actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, > pc zombie ...) il est évident qu'il y aura à un moment ou un autre des > internautes (ou une associations d'usagers) pour mettre en cause la > responsabilité du fournisseur de service qui aura permis la mémorisation des > mots de passe donnant accès à des services sensibles
Si l'information permettant de s'authentifier tient dans une zone de saisie et est humainement mémorisable, alors c'est un mot de passe, et il peut être enregistré.
> Je souhaite donc faire de la prévention et protéger contre eux mêmes mes > clients ...
Non, vous voulez vous protéger contre une éventuelle mise en cause...
Personnellement, je vote +1 contre un site qui déciderait à ma place de ce que je peux sauvegarder ou non.
Et si je voulais mettre en place quelque chose de réellement non mémorisable, je le rendrais dynamique: OTP, TLS+certif client, ...
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Tous cela, il faut que ça change. Je PAYE mon abonnement Internet et j'exige que mon vote et mes opinions soient pris en considération. -+- Rocou In GNU - Les payeurs ne sont pas les conseilleurs -+- ---559023410-1903590565-1144650343=:11051--
Le Mon, 10 Apr 2006 07:04:15 +0000, Manu a écrit :
> 3 images/bidules/lettres c'est peu, l'implémentation du système à > interêt à être bonne. Si ça empêche les robots mais pas un bête > "brute-force" on a pas beaucoup avancé, non ?
C'est sûr. Tu as regardé le lien ?
-- L'église est une secte qui a réussi. Ernest Renan.
"Fred" a écrit dans le message de news: 4437f27c$0$2076$626a54ce@news.free.fr... > Bonsoir, > Je recherche en ligne un article ou site qui explique, si possible avec un > codage universel pour tous les navigateurs, d'empêcher l'enregistrement du > mot de passe et/ou de l'identifiant de connexion à un service sécurisé > https, même si l'internaute accepte de mémoriser ce mot de passe dans les > propriétés de son navigateur. > je recherche donc un code qui "bypass" le choix de l'internaute ce qui en > ces temps d'attaques répétées me semble important, l'internaute n'étant > souvent pas conscient de la dangerosité d'enregistrer et mémoriser les mdp > Merci
Le Sun, 09 Apr 2006 20:09:18 +0000, Fred a écrit :
> Merci de citer cet exemple car c'est justement avec une grille de ce type > que nous nous sommes rendus compte que le mot de passe était quand même > mémorisé ...
Ben oui, c'est super nul comme système...
-- Quis, quid, ubi, quibus auxiliis, cur, quomodo, quando
> il est évident qu'il y aura à un moment ou un autre des > internautes (ou une associations d'usagers) pour mettre en cause la > responsabilité du fournisseur de service qui aura permis la mémorisation des > mots de passe
Eh bien dans ce cas, c'est au fournisseur du navigateur qu'ils s'en prendront! Puisque c'est le navigateur qui le permet. Ceci dit, en changeant à tous les coups l'URL du formulaire d'identification, tu pourrais faire sauter le truc.
> J'apporte une précision sur la raison de ma question : dans le climat > actuel, qui ne vas pas aller en s'améliorant (phishing, keyloging, spyware, > pc zombie ...) il est évident qu'il y aura à un moment ou un autre des > internautes (ou une associations d'usagers) pour mettre en cause la > responsabilité du fournisseur de service qui aura permis la mémorisation des > mots de passe donnant accès à des services sensibles
Sauf que tu inverses totalement les données du problème. Le site n'est en aucune façon responsable ou ne serait-ce que lié de prêt ou de loin à l'enregistrement du mot de passe lié à ce site. Par conséquent, il ne peut pas être mis en cause pour cela. Par contre, un site qui m'interdirait d'enregistrer mon mot de passe, que ce soit par un moyen logiciel ou en m'invitant très fortement à ne pas le faire, aurait du souci a se faire. En effet, si le mot de passe m'est un jour volé par phishing ou un keylogger, parce que je suis obligé de le retaper à chaque fois, il est clair que je me retournerais contre le site, car il est au minimum co-responsable de ce vol et des conséquences qui ont suivi.
>Ceci dit, en changeant à tous les coups l'URL du formulaire >d'identification, tu pourrais faire sauter le truc.
Ben non. On cumule les inconvénients des deux méthodes : on doit taper le mot de passe à chaque fois, et il est enregistré à chaque fois, donc a priori plus facile à trouver pour un éventuel pirate.
Fred wrote in news:4437f27c$0$2076$626a54ce@news.free.fr:
> je recherche donc un code qui "bypass" le choix de l'internaute ce qui > en ces temps d'attaques répétées me semble important, l'internaute > n'étant souvent pas conscient de la dangerosité d'enregistrer et > mémoriser les mdp je reviens pas sur l'aspect intrusif de la chose, mes petits camarades on déjà suffisament réagit à la question, et je crois que tout est dit...
En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout le tintouin, genre ce que l'Administration impose maintenant aux entreprises pour payer leurs URSSAF par Internet : - certificat délivré par une banque habilitée, sur un token USB - ActiveX installé sur le navigateur pour taper sur le token
Mais c'est _lourd_ à mettre en oeuvre, et tres onéreux... ... et pour l'utilisateur lambda (en l'occurance le gérant) un véritable casse-tête informatique : ca m'a d'ailleurs bien fait suer moi même avant que ca tombe en marche...
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
> En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout > le tintouin, genre ce que l'Administration impose maintenant aux > entreprises pour payer leurs URSSAF par Internet : - certificat délivré > par une banque habilitée, sur un token USB > - ActiveX installé sur le navigateur pour taper sur le token ^^^^^^^^^ ahem! ça fait du bien de rire!
Amha le simple fait d'imposer activeX et donc un browser windows couplé à ce bidule c'est fait pour tout sauf me rassurer. Certes l'authentification sera ok (à condition bien sur que le token fasse de la crypto. Si c'est juste pour stocker la clef et la délivrer en clair après password -si si j'ai déjà vu- ça change juste l'endroit où il faut intercepter les données, intérêt limité je trouve) mais les effets de bords pour Mme Michu seront tels (ok, acceptons tous les activeX dans IE...) que le résultat sera catastrophique.
Le Mon, 10 Apr 2006 10:08:04 +0000, Guillaume F a écrit :
> Tu peux utiliser un clavier virtuelle par ex
Sauf que les "keyloggers" se sont déjà adapté pour récupérer un bitmap de l'endroit où l'on clique.
Je suis à la société générale et à chaque fois je suis mort de rire de voir que pour mon compte perso c'est clavier virtuel alors que pour le compte pro c'est frappe au clavier. Trouver l'erreur! (dommage que je n'ai pas le temps de m'en "inquiéter" officiellement par RAR, rien que pour le fun).
De toute façon à part un dispositif physique bien conçu il est illusoire de vouloir limiter la casse à partir d'une machine corrompue. Et dans ce cas même si le hard empêche le rejeu il n'empêche pas le hijack de session. Game over.
Le Mon, 10 Apr 2006 12:19:47 +0000, Eric Belhomme a écrit :
> En revanche, _la_ solution est, amha, la PKI, avec token hardware et tout > le tintouin, genre ce que l'Administration impose maintenant aux > entreprises pour payer leurs URSSAF par Internet : - certificat délivré > par une banque habilitée, sur un token USB - ActiveX installé sur le > navigateur pour taper sur le token
Et donc on est obligé d'utiliser IE et windows, super pour la sécurité. Ils n'ont pas trouvé plus malin ?
-- Je suis riche des biens dont je sais me passer. Louis-Jean-Baptiste Etienne Vigée.
Emmanuel Florac wrote in news:pan.2006.04.10.21.00.43.91087@imaginet.fr:
> Et donc on est obligé d'utiliser IE et windows, super pour la > sécurité. Ils n'ont pas trouvé plus malin ? zut, j'ai souvenir que dans la doc, le bouzin peut marcher aussi avec netscape/mozilla... Finalement ca doit pas etre activeX (ou pas _que_)
Pour répondre à Eric, c'est un "vrai" token crypto PKCS #11
Mais j'insiste sur le fait que pour l'utilisateur basique (j'entends par là pas trop ami avec l'informatique) c'est une véritable usine à gaz !
-- Rico
Vulnerabilite.com ne peut être tenu responsable des propos tenus dans le Newsgroup fr.comp.securite
Message de Ph. B. (philippe_NO_._SPAM_boucault@voila.fr) (09 Avril 2006)
Les lecteurs de ce livre lui attribuent une note moyenne de 2/5.<
/font>