Je ne suis pas d'accord avec "c'est pas idiot":
• Il y a sûrement moins de gens dont le PC est infecté par un keylogger tout seul que de gens ayant un téléphone/KeyPass/l'habitude de sauver le mdp dans leur navigateur [car ils sont seuls sur le PC/car il y a un MDP de session]. Ceux ayant un keylogger + autre malware ne sont pas protégés (on n'intercepte pas un HTTPS, ok, mais on peut le lire côté client). De plus, ce nombre tend à diminuer (on ne veut pas de keylogger donc on lutte contre) alors que le nombre de terminaux autres que "mon PC en 1920*1080 avec un clavier AZERTY" tend à augmenter...
C'est le seul argument en fait, les autres sont annexes (se déconnecter bloquera le voleur de cookie/HTTPS n'est pas interceptable/l'entropie faible etc ne sont pas liés à la façon d'entrer le MDP). Mais bon:
• Keypass, le gestionnaire de mot de passe Open Source, tu le fous à la poubelle (donc, si t'as plusieurs postes, tu vas sois utiliser un MDP bidon type date de naissance [et l'entropie est donc bien insuffisante], soit le noter sur un papier [et donc ce n'est pas safe])
• Verrouiller au bout de X essais invalide permet à quelqu'un de spammer un compte pour le lockdown éternellement (intervention humaine nécessaire de la part du webmaster)
• "C'est pas comme d'habitude", et pour un jeu web, cela serait sûrement suffisant pour que la personne se tire de là (pour la CAF, t'as pas le choix...)
• Il y a sûrement moins de gens dont le PC est infecté par un keylogger tout seul que de gens ayant un téléphone/KeyPass/l'habitude de sauver le mdp dans leur navigateur [car ils sont seuls sur le PC/car il y a un MDP de session]. Ceux ayant un keylogger + autre malware ne sont pas protégés (on n'intercepte pas un HTTPS, ok, mais on peut le lire côté client). De plus, ce nombre tend à diminuer (on ne veut pas de keylogger donc on lutte contre) alors que le nombre de terminaux autres que "mon PC en 1920*1080 avec un clavier AZERTY" tend à augmenter...
C'est le seul argument en fait, les autres sont annexes (se déconnecter bloquera le voleur de cookie/HTTPS n'est pas interceptable/l'entropie faible etc ne sont pas liés à la façon d'entrer le MDP). Mais bon:
• Keypass, le gestionnaire de mot de passe Open Source, tu le fous à la poubelle (donc, si t'as plusieurs postes, tu vas sois utiliser un MDP bidon type date de naissance [et l'entropie est donc bien insuffisante], soit le noter sur un papier [et donc ce n'est pas safe])
• Verrouiller au bout de X essais invalide permet à quelqu'un de spammer un compte pour le lockdown éternellement (intervention humaine nécessaire de la part du webmaster)
• "C'est pas comme d'habitude", et pour un jeu web, cela serait sûrement suffisant pour que la personne se tire de là (pour la CAF, t'as pas le choix...)