Les sites d’Apple ont une bonne gestion des mots de passe
Le coffre-fort de mots de passe Dashlane a publié son étude annuelle sur les systèmes de protection mis en place par certains des sites web, services et applications les plus populaires du marché. Les fins limiers de Dashlane ont examiné les pratiques de sécurité de 37 services grand public et 11 services destinés aux professionnels.
Cinq critères ont été scrutés à la loupe : le mot de passe pour accéder au service compte-t-il 8 caractères ou plus ? Ce mot de passe doit-il comporter des lettres, des chiffres et des caractères spéciaux ? Le site présente-t-il une jauge indiquant graphiquement le niveau de force du mot de passe ? Le site a-t-il mis en place des mesures de sécurité supplémentaires en cas de dépassement de 10 tentatives de mot de passe ? Enfin, le site propose-t-il un système d’identification à deux facteurs ?
À ce petit jeu, Apple récolte un score de 4 sur 5, le point en moins relevant de l’absence de mesures de sécurité passé 10 tentatives de saisie d’un mot de passe (cela peut être un CAPCHA par exemple). Parmi les bons élèves, GoDaddy affiche un solide 5/5. Le gruppetto est composé, entre autres, d’Amazon (2/5), de Dropbox, SoundCloud, Pinterest, Instagram et Evernote (1/5), tandis que Netflix, Spotify et Uber portent le bonnet d’âne avec très exactement 0/5.
46% des sites web grand public (et 36% des services aux entreprises) présentent des faiblesses au niveau de la gestion des mots de passe. 51% des sites grand public pèchent par la longueur trop faible (moins de 8 caractères) des mots de passe ; 48% d’entre eux n’exigent pas de mots de passe alphanumériques ; pour 76%, il manque une jauge indiquant la force du mot de passe ; plus de la moitié (51%) ne bloquent pas le compte après dix tentatives. Enfin, 32% ne prennent pas en charge l’A2F.
Godaddy et ses SMS 2FA qui mettent des plombes à arriver (quand ils arrivent...) ?
Ne jamais utiliser le SMS comme systeme d'authentification! JAMAIS.
Il faut rappeler que l'authentification en 2 etapes/2 machins (et autres termes marketing ronflant) n'a aucun interet par SMS, et presente un risque accru de piratage a plusieurs niveaux!
Les deux seuls systemes d'authentification fiables sont:
- par mot de passe complexe, changé souvent
- par double authentification utilisant 2 reseaux differents, non liés, avec 2 terminaux distincts.
En gros pour que la double authentification soit pertinente, il faut:
- s'identifier sur le service WEB depuis son navigateur
- disposer d'un second appareil qui ne passe pas par le NET pour recevoir un code
Ce second appareil ne peut pas etre un smartphone et ce ne peut pas etre par SMS, le SMS etant piratable facilement.
Une troisieme alternative existe: disposer d'une application d'authentification, chiffree de bout a bout residant sur la meme machine ou une autre machine. Ça marche mais faut avoir confiance dans le chiffrement reelement de "bout-a-bout"
Dans tous les cas l'authentification par SMS est a fuir.
Je rajoute a cela que:
«Le coffre-fort de mots de passe Dashlane a publié son étude annuelle sur les systèmes de protection mis en place par certains des sites web, services et applications les plus populaires du marché»
n'a qu'une seule signification: ce classement est celui qui place en meilleure position les editeurs/fournisseurs qui sont profitable pour Dashlane...
Un element qui n'est pas noté c'est le principe d'augmentation de temps entre tentative de saisie de mot de passe. Un principe tout bete c'est d'ajouter 5 minutes pour chaque tentatives, au bout de 10 il faut plus d'une heure avant le prochain essai, autrement dit ce systeme est un des plus efficace contre les tentatives par force brute!
Bref, la securité c'est d'avoir un mot de passe de plus de 12 caracteres complexe, melangeant minuscules,majuscule, chiffres,signes, n'etant pas des mots d'un dictionnaire et n'ayant pas de sens "commun", en eliminant les choses qu'on peut avoir is sur le net, les données civil (anniversaire,...),... et le changer souvent (3 mois est une bonne frequence.
Et surtout disposer d'identifiant unique et mot de passe unique: ne jamais utiliser la meme adresse email pour plusieurs services (y a les alias mail pour ça) et ne jamais utiliser le meme mot de passe pour plusieurs identifiants/site!!!!
...marrant qu'il ne soit pas question des banques.
Chaîne numérique uniquement(!), et pas de double authentification (hors transactions carte la plupart du temps) pour les virements & Cie. — CA, CASDEN, BRED BP, CMCEE...
Comme me le disait mon conseiller bancaire pas plus tard que il y a 15 jours :
" Vous savez Apple pay, Internet ... tous ces trucs c'est juste une mode. Vous verrez dans 5-10 ans ca sera complètement passé aux oubliettes. Ca va faire comme les scoubidou (?) et le houlahoup (?) de mon enfance. Pour être plus technique et comme disent nos conseillers en stratégie, Internet ca va être un épiphénomène."
Bon, après avoir vérifier que ce n'était pour la caméra caché ou pour quotidien... Je me suis dit que, ben... les banques n'étant pas sorti de l'ère du mainframe et continuant à développer du code datant des années 50/60... on comprends mieux les propos...
@Zara2stra
?
Il a un sacré pif ton conseiller.
Je veux le même ?
Et les sites qui stockent les mdp en clair, on en parle?
@Lonesome Boy
Tu en connais ? ?
Hmmm, je trouve les critères moyennement pertinents... Les 3 premiers concernent juste la qualité du mot de passe, les 2 autres concernent plus particulièrement la sécurité d'authentification...
En gros, si on a un bon gestionnaire de mots de passe, et donc de bons mots de passe, il vaut mieux être chez Amazon qui n'a que 2 points sur le test que chez Apple, qui pourtant en a 4..:
S'ils parlaient des sites qui interdisent les mots de passe trop longs, ou contenant certains caractères, ça serait différent... Pour moi c'est beaucoup plus grave que de ne pas les imposer... Et pourtant il y en a des sites comme ça, notamment des sites qui sont liés à des comptes bancaires ou d'épargne...
Air France et ses 4 chiffres, non protégés contre les key loggers (contrairement aux sites bancaires), ça choque personne ?
Alors oui l'ID n'est pas un mot de passe, mais le numéro de la carte, mais quand même !!
C’est vrai que Air France à la palme...
login = n° de carte = ça se pique en 30 secondes
password = 4 chiffres, pas protégé contre les keyloggers, et de mémoire transmis en clair (autant être consistant)
Je ne sais pas si moins sécurisé ça existe...
Et votre compte contient :
– vos vols,
– vos infos de pièces d’identité
– votre moyen de paiement
Je pense que des hackers devraient se concentrer sur le site d’Air France, car il y a du lourd pour jouer... :
– revendre les infos d’identité pour permettre du vol d’identité
– revendre les numéros de CB
– utiliser les points miles
...
@Zara2stra
+100
C'est la raison pour laquelle je n'ai jamais acheté de vol Air France sur le site Air France ni enregistré ma carte. Je suis mes miles tout aussi consterné
Vous pouvez modifier le code Air France. Le mien fait six chiffres. Ok c'est pas beaucoup mieux :)
non seulement AirFrance reste primaire au niveau sécurité (idem BNP) mais leur reconnaissance d'image - pour prétendument éviter les robots - se plante régulièrement et ce, de manière à rendre notre login par la voie du mot de passe encore plus déroutant.
Tout cela semble forcer les gens à s'identifier via google+, Facebook, twitter ou Instagram : du traffic de data de haut vol (selon moi) ??
AWS est choquant, ebay decoit un peu.
Air France pourrait largement copier Emirates, un minimum.
A wall street, pour acceder à certain services Web on utilise une triple authentification, login/password de base, google authenticator et la generation d'un RSA qui expire au bout de 30sec.
Il me semble que tous ces critères n’ont pas la même importance.
Le fait que l’on puisse tester tous les mot de passe que l’on veut par brut force est le pire.
Avec cette faille, tous les mots de passe aussi complexes soient-ils peuvent être trouvés.
La sécurité reposant seulement sur le temps nécessaire pour le faire.
Dans cette liste, il y a des 2/5 qui valent largement le 4/5 d’Apple.
Et est ce qu'on tient compte du fait qu'en complexifiant les mots de passe, on pousse les gens à avoir un post it ?
Faut arrêter de penser que la solution passe aussi par plus complexe !
Je suis d'accord avec le capcha après plusieurs tentatives... ça c'est une bonne idée et simple d'utilisation.