+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Général (https://jeuweb.org/forumdisplay.php?fid=36)
+--- Forum : Blabla (https://jeuweb.org/forumdisplay.php?fid=42)
+--- Sujet : Les "pavés numériques" virtuels comme mot de passe (/showthread.php?tid=7684)
Les "pavés numériques" virtuels comme mot de passe - Xenos - 07-08-2016
Salutations,
je viens d'essayer de me connecter sur le site de la CAF, et comme pour ma banque, je tombe sur un pavé numérique virtuel en guise de mot de passe:
![[Image: mot-de-passe-puant.PNG]](http://xenos.reinom.com/jeuweb/attachments/mot-de-passe-puant.PNG)
La banque faisant pareil, je me pose une question: quel est l'intérêt de ce gros tas de merde? J'ai eu beau chercher, je n'ai pas trouvé car:
• Ce n'est pas une question d'accessibilité (vu qu'on ne peut pas entrer son pass au clavier) et qu'une "version accessible" est dispo
• Ce n'est pas une question d'anti-spam (puisqu'un robot ne passerai pas par l'interface et de toute façon, on peut faire passer le robot par l'interface en simulant le clic sur les éléments DOM car on connait le chiffre de chaque case via "background-position")
• Ce n'est pas pour assurer la sécurité des mots de passe (4 à 8 chiffres généralement... super, vive l'entropie!)
Alors, heu, pourquoi un truc aussi bordélique (et immonde pour l'UX) à la place d'un simple input "password"?
RE: Les "pavés numériques" virtuels comme mot de passe - Prélude - 07-08-2016
Après la rage, il y a le "je m'en fous".
Ça viendra Xenos, ça viendra
RE: Les "pavés numériques" virtuels comme mot de passe - kasou - 09-08-2016
Keylogger ?
RE: Les "pavés numériques" virtuels comme mot de passe - Xenos - 09-08-2016
Ca m'est aussi venu à l'idée, mais ce serait franchement bidon comme excuse... Si un keylogger est sur la machine, alors il y a certainement déjà un "cookie logger" et un "network logger". Sans compter que le mot de passe est généralement sauvé par le navigateur (donc pas retappé) et que la version accessible est un champ password classique (ok, sur ce site j'ai pas testé mais à la banque c'est le cas).
PS: puis rien n'indique qu'on ait un clavier (eh, c'est du web!); entre les Siri & autres reconnaissances vocales, les plugins permettant d'utiliser un lecteur d'empreinte comme mot de passe, et les coffres-forts type KeyPass...
'fin bon, la CAF et ces institutions sont généralement politisées au possible (avec des décideurs qui n'y bitent rien) mais j'espère ne jamais voir ça dans un jeu web ou un projet indé en général ! ^^
RE: Les "pavés numériques" virtuels comme mot de passe - MadMass - 15-08-2016
C'est principalement contre les keyloggers.
- Si tu te déconnectes après ta session, un voleur de cookies n'a pas d'effet puisque ton cookie devient invalide. Et au pire, tu peux implanter un système de hearthbeat pour déconnecter automatiquement l'user dès que la page semble fermée.
- On n'intercepte pas une connexion en HTTPS
- On s'en fout de l'entropie du pass si on verrouille le compte au bout de X essais invalides. En l’occurrence, l'entropie est suffisante sur un nombre de tirage aussi faible
- En général, on s'arrange pour désactiver la sauvegarde du pass par le navigateur, et bien sûr empêcher de saisir celui-ci à la main.
- Siri, reconnaissance vocale, lecteur d'empreinte, tout le monde n'a pas. Je n'ai aucun des trois (pas de micro sur ma machine).
Donc c'est une solution pas si idiote ^^
RE: Les "pavés numériques" virtuels comme mot de passe - Xenos - 15-08-2016
Je ne suis pas d'accord avec "c'est pas idiot":
• Il y a sûrement moins de gens dont le PC est infecté par un keylogger tout seul que de gens ayant un téléphone/KeyPass/l'habitude de sauver le mdp dans leur navigateur [car ils sont seuls sur le PC/car il y a un MDP de session]. Ceux ayant un keylogger + autre malware ne sont pas protégés (on n'intercepte pas un HTTPS, ok, mais on peut le lire côté client). De plus, ce nombre tend à diminuer (on ne veut pas de keylogger donc on lutte contre) alors que le nombre de terminaux autres que "mon PC en 1920*1080 avec un clavier AZERTY" tend à augmenter...
C'est le seul argument en fait, les autres sont annexes (se déconnecter bloquera le voleur de cookie/HTTPS n'est pas interceptable/l'entropie faible etc ne sont pas liés à la façon d'entrer le MDP). Mais bon:
• Keypass, le gestionnaire de mot de passe Open Source, tu le fous à la poubelle (donc, si t'as plusieurs postes, tu vas sois utiliser un MDP bidon type date de naissance [et l'entropie est donc bien insuffisante], soit le noter sur un papier [et donc ce n'est pas safe])
• Verrouiller au bout de X essais invalide permet à quelqu'un de spammer un compte pour le lockdown éternellement (intervention humaine nécessaire de la part du webmaster)
• "C'est pas comme d'habitude", et pour un jeu web, cela serait sûrement suffisant pour que la personne se tire de là (pour la CAF, t'as pas le choix...)