Moi je préfére ca que les gens qui donnent leur mot de passe sans réfléchir.

La même chez nous aussi, j'en ai même une qui m'a dit que son code PIN était le même que le code de sa carte bleu. Juste après elle me le donne naturellement ...

Pour moi cet identifiant n'est pas un mot de passe, c'est comme cartman34 pour moi, c'est le pseudo ou un réel identifiant mais pas un mot de passe.
Refuser de donner son identifiant et demander si "on a le droit" est un PEBKAC.

Si vous le comprenez différemment, n'hésitez pas.

on demande tellement aux gens de faire attention a ne pas donner leur mot de passe que certains tombent dans l'exces. Mefiance et mauvise connaissance peut etre, pas au point d'un PEBKAC pour moi.

"- Bah, si je vous le demande ?!..."
Super ma justification, non ?
En gros, j'appelle n'importe qui et je lui dis ça pour justifier qu'il peut me donner ses informations.
C'est moi le PEBKAC

" Et j'ai le droit de vous le donner, mon mot de passe ?
- Si je vous le demande..."
*20 minutes plus tard*
" Allo, monsieur ? J'ai donné mon mot de passe banque à distance et maintenant j'ai 10000000 € de découvert...
- On vous dit pourtant de ne jamais donner votre mot de passe, même si un soi-disant technicien vous le demande."

Bref, qu'il ai peur de donner son login, OK, PEBKAC.
Mais la réponse "si je vous le demande", c'est la pire connerie que puisse sortir un technicien support !
Après ça, toute la prévention contre le social engineering tombe à l'eau...

c'est l'identifiant qui est demandé ici, pas la clé.

Certes, d'où le "qu'il ai peur de donner son login".
Mais la justification est suffisament douteuse pour mériter qu'on le flagelle à coup de cable d'alim (en laissant une alim au bout, bien sûr)...

Tu sais ce qu'il te reste à faire ;)

Bonjour, c'est votre banque, quel est votre numéro de carte bancaire et sa date d'expiration?
Rassurer-vous, vous avez le droit de me les donner, la preuve; je vous les demande!

En même temps c'est le client qui appelle. On peut dire que l'appelé est authentifié et de « confiance ». Ca limite les risques.

on a des clients, genre avocats, qui pour accéder à certains sites comme le barreau de Paris ont un combo dongle usb+ code pin.
je pensais à un truc du genre dans le présent pebkac. et du coup, donner le code pin, bah spa bien méchant. sans la clé usb et le certificat associés, on ne peut rien faire du pin.

4972 3658 3564 3644
04/14

De rien !

Donner le code pin, bah spa bien méchant. sans la carte bleu. (sic)

Non mais là c'est le client qui appelle le tech ; de surcroît c'est pas le pass mais seulement le login, ce qui est lisible ici par tous pour les intervenants (ex : Shirluban, Permalien, Aaargh, etc)

Bon, après, la justification "si je vous le demande" est bêta, je te l'accorde, ceci dit je ne pense pas que ce soit cette attitude qui soit à juger ici...

Dans le cas de Permalien, le mot de passe est lui aussi visible par tous :3

C'est quoi vos comparaisons moisies.

l'identifiant c'est pas un mot de passe ou quoi que ce soit d'autre. Si le mec en face il en a besoin pour t'aider parce que tu l'as appelé pour te sauver tu lui donne.

Vous êtes presque des stakhanovistes de la sécurité, a vous écouter tout les systèmes informatique détiennent des informations hautement sensibles.

Juste comme ça, les profs pour saisir leurs notes ont aussi un dongle...

Je n'ai jamais eu de dongle USB pour entrer les notes... On les vérifie lors du jury, on les voit l'année suivante. L'intérêt de modifier ces données me parait limité.

La question n'est pas de savoir si les données sont sensibles. Oui, refuser de donner son login au technicien qu'il a appelé est complètement con, mais la justification avancée l'est bien plus.
On passe notre temps à répéter "c'est pas une raison valable pour donner une info", ou encore "quand on vous demande des informations d'identification, refusez", et un génie vient casser ce plan de protection déjà bien faible...

Expliquer à l'utilisateur que le login n'est, en soit, pas une information capitale (quoique, il y a des cas où la non-divulgation du login n'est pas une mauvaise chose), et qu'elle est de surcroit nécessaire pour identifier le compte sur lequel se présente l'incident à résoudre, c'est une réaction parfaitement normale.
Répondre "je suis le techos, je sais ce qu'il me faut comme information, donnez-les moi", c'est juste un excellent moyen pour que l'utilisateur comprenne "quand on me demande une info, je dois la donner sans poser de question, car je ne suis qu'un crétin et le mec en face sait ce qu'il fait". Et là, on devient responsable du fait qu'il se soit fait enfler par le premier mail du genre "c'est le service info de [insert bank name], on a besoin de votre mot de passe", puisqu'on l'a habituer à répondre favorablement à ce genre de demandes...

Quand à la question des dongle, j'ai bossé sur le système Certigreffe, et je peux t'assurer que donner le code PIN à ton helpdesk serait bien risqué.
C'est censé être sécurisé, mais dès lors que tu as un accès au matériel (en l'occurence le poste où est connectée la clé) et le code à ta disposition, c'est mort. Bon, pour se rassurer, le coup doit être prémédité et requiert de bonnes connaissances techniques (voire aussi mathématiques, selon l'angle d'attaque), mais il reste techniquement possible...
D'ailleurs, si vous voulez rigoler : http://www.certeurope.fr/divers/Manuel_utilisateur_certificat_certeuro[...]
Niveau sécurité, ce manuel est un concentré de PEBKAC.

je pensais effectivement à Certeurope.
et, dans mon cas, je suis à plusieurs kilomètres de distance des clients.
alors je je voyais pas le risque.

"Ne divulguez jamais vos identifiants à qui que ce soit même à un membre de ... on ne vous les demandera jamais"
On l'a tous vu, ou un truc y ressemblant dans le=es jeux vidéos donc la question n'est pas si stupide, enfin c'est mon avis

Je ne vois pas la distance comme un facteur limitant.
OK, je n'ai jamais eu de clé entre les mains, mais elle était branchée sur une machine du réseau local. SSH était activée (politique de l'entreprise, faut pas chercher), j'avais le mot de passe root et j'avais un VPN pour pouvoir me connecter au réseau de la boite et administrer les machines. De là, quelque soit la distance, j'étais maitre du poste, et je pouvais donc faire ce que je voulais, y compris accéder frauduleusement à la clé...
Dongle verrouillé par un code PIN, mais si un gentil utilisateur me le donne, je n'ai plus aucun obstacle devant moi.
...
En fait, c'est vachement dangereux, un technicien support ! Vaut mieux en avoir un honnête...

Pas de dongle, un jury, l'année suivante ?
"Hum" parle pas de la meme chose que toi je crois, il parle des notes des interros par ex, en college/lycee qui sont rentrées apres identification via un 'truc a pile' qui change de code toutes les 30 sec
C'est vrai que c'est ultra sensible ces notes qui déterminent un passage en classe sup où les parents feront appel de tte facon pour que leur petit aille se rétamer comme une quiche l'an prochain (comment ca, c'est du vécu chaque année? :p )

Ils parlent plutôt d'informations personnelles genre nom, prénoms, numéros de carte bleu, e-mail, date de naissance, couleur du soutien-gorge... ou de mots de passes.
Les premières parce qu'elles permettent généralement de récupérer le mot de passe via les formulaires ou lors d'un appel à la hotline...

Ah en tant qu'anonyme on ne peut éditer son message :(

En plus dans pas mal de jeu l'identifiant c'est le nom de ton compte visible par tout le monde ou que tu donnes pour rajouter des gens dans tes contacts...

M'enfin bon...

Oui effectivement je parle des collèges/lycées.

Mais j'suis sûr que c'est un coup de la mafia du secondaire pour pouvoir toucher des Bakchichs pour monter des dossiers exceptionnel pour que Pierre-Edouard-Jean-Mouloud De La Cloche puisse entrer à Centrale pour reprendre la fabrique de semelles orthopédiques de son père...

Et sinon, c'est quoi l'intérêt de demander l'identifiant de sa clef plutôt que son nom et/ou son numéro d'utilisateur ?
Ca a beau ne pas être une donnée aussi sensible qu'un mot de passe, ça n'en reste pas moins une demande étrange et peu pertinente.

J'aurai eu la même réaction que ce client : donc soit il manque un bout de l'histoire, soit c'est toi le PEBKAC ;)

"authentifié" Après une connexion avec identifiant et mot de passe...

On part du principe ici qu'il ne gère pas qu'un seul utilisateur. Pour le dépanner, son identifiant est un minimum.

Quand à la réponse "Bah, si je vous le demande ?!", elle mérite un PEBKAC aussi, pour la raison invoquée par Toto.

@Cartman34: je ne vois pas le rapport. Tu sais généralement qui tu appelles sans avoir de login pass ...

Et tu n'as pas un conseil classes à la fin ? (en fac on appelle cela un jury). Tu sais là ou tu vas quémander ton passage. Étrange chez vous. Les notes d'examen et les contrôles, on les envois pas mail au responsable et on les vérifie au jury en version papier. Difficilement hackable le papier.

Oui, on voit les étudiants/élèves l'année suivante, sauf s'ils changent, d'établissement chaque année. On voit très très vite, s'il y a une couille. Ne t'inquiète pas, pas besoin de truc super sécurisé. On va même voir s'ils ont trouvé du taf après. C'est fou non ?

À la limite pour le bac il y aurait un vague intérêt, mais bon ...

ps: super sensible surtout celle du primaire XD.

C'est pour cela qu'il doit avoir un clavier sur le dongle et le fichier doit-être signé par le dongle sans que la clef privée en sorte. Il ne doit surtout pas faire stockage de masse histoire d'éviter de trimbaler un passager.
Sinon un key-loger, une petite copie et c'est fini.

@Toto : comme tout employé ;)

J'ai compris dans ton sens aussi, du coup, je ne vois pas vraiment le pebkac. Le technicien ne demande pas le mot de passe, mais l'identifiant précis utilisé par le client afin de réinitialiser le mot de passe, enfin je suppose.

On dirait que la difference entre le jury et le conseil de classe est : personne ne vérifie les notes que je rentre. Le seul responsable c'est le prof, et a moins que la classe se trouve avec des moyennnes très différentes de celles des autres profs, ya pas de questions posées
Et vu qu'un conseil de classe se boucle en 1h30-2h30 pour 35 élèves, tu te doutes que les notes, meme du bac blanc, elles passent avec le reste dans une moyenne et hop
Ca a l'air plus chiant a la fac :(

Le seul avantage qu'il y a avec ce truc électronique c'est qu'on peut rentrer les notes de la maison, et pas que du college/lycee. Encore qu'avant 2003, c'etait a mon lycee sur un grand cahier pour notes + appréciations pour, ou les profs fesaient la queue...
Apres, le coté sécurisé, c'est ce que je disais plus haut, ca fait beaucoup de choses juste pour des notes!

Ben chacun a une copie des relevés finaux et vérifie la moyenne de sa matière par rapport à ce qu'il a lui. S'il est à 9,75, on demande à tout le monde, si on fait un effort ou pas; idem pour les limites d'une mention. Ça ne prend pas 30 ans. Pour 40 étudiants on l'a bouclé en 1h grand max. Pour 100 ca a duré 2h30.
Je ne sais pas ce que vous faites vous du coup.
Surtout si vous ne regardez même pas les notes...
Si le pirate change pas une moyenne, ça me parait assez inutile de pirater la bdd.

L'interface web demande juste un classique login/pass.
Je ne sais pas si c'est plus chiant, mais on va plus vite en tout cas ;)
Ce qui est chiant par contre c'est la distribution de bourses de thèses.
ps : je parlais du vrai bac.

"Donnez moi votre numéro de carte bleue, le code PIN et le code de sécurité au dos, s'il vous plaît"
"J'ai le droit de vous donner ça?"
"Bah si je vous le demande !"

Surtout que c'est vachement intelligent de la part d'un mec lambda qu'a pas assez d'couilles pour sortir une vanne sur moi avec son nom, de prendre mon pseudonyme.

J'suis technicien en support, donc si on m'appelle pour un problème et que je demande l'identifiant c'est que je suis habilité à le demander.

Pauvre tâche

Tout simplement parce qu'on doit vérifier que la personne qui appelle est bien celle qui possède la clé de sécurité.
On a une console qui nous permet de vérifier ces informations. Et je demande le login pour être certain que c'est bien elle.
Ca fait partie des vérifications.

quelle belle brochette d'a...pprentis vous faites, un identifiant (ou login) n'est pas confidentiel, loin de là. par contre le mot de passe, le code PIN , le code de carte bleue le sont...

Un identifiant, sert à identifier une personne : "si tu veux que je t'aide donne moi ton nom et ton prénom ..."
Bref, faire un amalgame entre ces deux termes ...