Pour ma part c'est un code de 6 chiffres.
Et c'est tout.
:-(

Que voulez vous, les madame Michu ont déjà du mal à se rappeler de leur code de CB composé de 4 chiffres... Alors un mot de passe sécurisé... ? On se demande bien parfois pourquoi confier cela aux banques ?

Code à 6 chiffres, avec une box anti-keyloger...

Là dessus paypal (dont l'informatique est quand même le gagne-pain) est pas beaucoup mieux : bridé à 20 car. tu veux une passe-phrase ? et bien tu va te brosser~

Généralement, les comptes en ligne ne permettent pas de faire beaucoup de choses avec l'authentification de base (consulter ses comptes, transférer de l'argent entre eux, ...) S'il s'agit d'opérations qui impliquent d'autres comptes qui ne t'appartiennent pas, soit ce n'est pas possible, soit un autre système s'ajoute. Même pour l'authentification de base, il y a parfois en plus un système de blocage au bout de plusieurs erreurs de mot de passe, de la même manière que ta CB.

Ma banque utilise le numéro de mon compte principal comme identifiant et 6 à 8 chiffres pour le mot de passe. Pourtant les problèmes sont dus au phishing, pas à du brute force...

Et oui, des identifiants faciles à retenir ça évite à Mme Michu de l'écrire sur un post-it collé à son écran... Comme quoi ça peut aussi être plus sûr qu'un mot de passe à 32 caractères.

Ce qui serait bien ça serait de laisser le choix....

Si les Michu ils veulent avoir 6 à 8 chiffres tant pis pour eux, mais que ça ne pénalise pas ceux qui veulent se protéger...

Oh et ces p**** de claviers visuels...

Ah. Ahah. Ahahah. C'est sûr que ce genre de box est super efficace...
(si un keylogger non-physique a pu être installé, ces boites sont inutiles ~)

Pour ma part, j'ai jamais eu besoin de 2-factor pour faire des virements, sécu en carton...

Dans la banque à l'écureuil, l'identifiant est une série de 10 chiffres, à taper au clavier.
Pour le passe, c'est un clavier virtuel, le code est lui composé de 4 chiffres numérique...

Mais, pour les opérations bizarres (virement hors comptes interne, rajouter un compte,) il faut taper un code reçu par sms.

Pareil.
Le petit code à la con dont je parle dans le premier commentaire te donne accès à tout, t'as juste le site qui te le redemande lors d'une action.

Si c'est comme ma banque (et ça doit l'être vu que c'est le même groupe), au bout de trois erreurs l'accès est de toute manière bloqué. Donc tu ne risques pas trop un bruteforce.

Au moins nous n'avons pas ces saloperies de claviers "visuels".

Vu sur une banque non-française :
-Identifiant composés de 10 chiffres à rentrer pour accéder au formulaire de mot de passe (c'est peut-être une faille ça). Sachant que les 10 chiffres ne sont pas vraiment aléatoires.
C'est par la suite que ça se complique :
- Premier mot de passe à saisir, composé uniquement de chiffres. Le truc c'est qu'on ne demande pas le pass en entier mais une partie aléatoire du mot de passe (premier et dernier chiffre ou deuxième et quatrième chiffre). Je trouve que ce n'est pas trop mal contre les KeyLogger.
- Deuxième mot de passe à saisir, composé de chiffres et de lettres, de douze caractères minimum. Et à saisir à peu près de la même façon que le premier (4 caractères sur le total à saisir).
Au final ça fait un pass de 6 caractères à saisir qui varie à chaque accès. Je trouve ça personnellement meilleur que le système présenté dans ce PEBKAC.

Et le meilleur dans tout ça? Une fois l'accès au compte effectuée, on ne peut rien faire à part consulter son solde. Pour toute opération de virement/administration il faut faire une demande physique en agence et on reçoit un boitier de lecteur de carte bancaire pour compléter l'authentification déjà présente.

Manque plus que cette banque demande une validation par empreinte digitale et rétinienne en plus de tout ça et je pense qu'on pourra lui faire confiance ^^

Tiens, chez moi, qui suis aussi chez l'écureuil, c'est 9 chiffres l'identifiant et 6 pour le mdp sur un clavier virtuel...
Et pas de possibilité d'ajouter un compte.. cela est bloqué.
Par contre c'est vrai que pour certaines opérations, il y a une double identification par SMS.

Pour ma banque, ils m'envoient une clé usb propre à mon compte. Pour me loguer, je dois encore entrer un mot de passe d'au moins 8 chiffres, lettres et caractères spéciaux. Pour accéder à mon compte, il faut au moins trouver mon mot de passe et posséder le support physique.
Par contre, je peux à tout moment me faire voler mon code PIN à 4 chiffres et me faire scanner la carte bancaire (skimming). Je ne peux pas bloquer les retraits à l'étranger.
Des fois, la sécurité ne fonctionne que d'un côté.

Tu te ferais juste couper la main et arracher les yeux o/

C'est vrai que dans là, c'est un danger... Le mieux, c'est un scan d'empreintes digitales et biométrique... Si tu te fais trancher la main, le mec est quand même piné, parce que la machine ne détecte pas les battements de coeur...

Et quand tu n'es pas chez toi, tu es comme un c## alors que tu aurais besoin de faire un virement vite-fait...

Bonjour,

Effectivement, sur toutes les banques que je connais (LCL, Soc Gén, CRCACE, Caisse épargne), le compte se verrouille au bout de 3 erreurs successives.

Le processus de déverrouillage est lourd et long (quelques jours).

Donc un code de 6 chiffres (100 000 possibilités, donc 3/100 000 chances de succès par hasard, beaucoup plus que pour une carte bleue) est une sécurité largement suffisante. Je vote CTLB.

Mon plus grand souci est le clavier virtuel en fait. Je tape suffisamment vite pour qu'il soit difficile de lire mon code sur un clavier par dessus mon épaule, mais il est impossible d'utiliser ce code sans que toute personne voyant ton écran (open space, appartement au rez-de-chaussée, etc.) ne puisse le connaître très facilement.

Le summum est mon conseiller donc le bureau aux vitres transparentes donne sur une des plus grandes artères de Grenoble, juste au niveau d'un arrêt de bus, et qui demande très souvent aux clients de se connecter au serveur pour leur expliquer le fonctionnement. Il y est très facile de connaître pleins de codes de pleins de personnes.

Luc

Bof, théoriquement c'est ta banque qui se prend les paiements CB indus dans la face.

CTLB? C'est Toi La Banane? ;)

Sinon effectivement chez l'écureuil c'est 4 chiffres et le seul moyen fiable que j'ai trouvé c'est de le changer régulièrement.
Bon il se trouve que j'ai toujours eu la flemme de le changer, donc depuis 5 ans c'est le même...

Ben changez de banque. Perso j'ai une carte avec des codes dessus, à la moindre opération faut que je rentre un de ces codes. Sans la carte, pas d'opérations.

Ah, et il y a encore un code de confirmation envoyé par mail.

Le clavier virtuel c'est pour les keyloggers, pas pour les curieux.

Quel besoin de se connecter au site de sa banque ailleurs que chez soi d'ailleurs ?

Mais... si on te demande une (des) lettre(s) bien précise(s) de ton mot de passe, cela ne veut-il pas signifier que ton mot de passe est enregistré en clair dans la base de données ? o_o

Bonjour neeko,

En vacances, sur ton portable avec un wifi public ? Au bureau dans un open space ? Dans un cyber café ?

Il m'arrive souvent d'être absent de chez moi plus d'une semaine, et, surtout quand je suis à l'étranger, de devoir faire des virements d'un compte épargne à un compte courant. Je ne suis pas toujours seul dans le désert, et ce n'apprécie guère ce clavier virtuel.

Sinon, le conseiller de la banque le fait souvent pour former les clients un peu âgés, avec une vue imprenable depuis l'arrêt de bus, comme écrit plus haut.

Luc

Et si le mec te tranche la main, retire la fine couche de peau qui recouvre ta main, la pose sur sa main et l'utilise comme ça pour avoir son battement de coeur détecté par la machine?

Pas faux. Je n'avais pas vu ça comme ça.

neeko, c'est quoi ta banque ? Je me dis qu'il serait peut-être temps que je change :/

Pour le premier mot de passe, qui est une vérification plutôt basique.

C'est pour cela qu'ils ont 2 mots de passe. Un premier, non chiffré, et un second, probablement chiffré (du moins j'espère).

Du coup, aucun pebkac.

Il y a peut-être un hash de toutes les combinaisons possibles. Enfin bon je dis ça...

Pareil pour moi (la banque du courier) et ma copine (la société géniale). Et pour celle de ma copine (jamais testé sur mon compte) le code dans le SMS n'est valable que 2 minutes.

il y a beaucoup plus simple : tu n'as pas entendu parlé des imprimantes d'empreintes???


http://allemagne-et-plus.a18t.net/?p=26

credit mut c'est numero du compte en id et mot de passe de 10 caractère max (tu peux taper 512 caractères derrière les 10 premier il s'en fout)
mais avec ca tu fait rien , juste de la consul et des virement entre tes compte ou partenaire enregistrés sinon c'est demande d'un code sur une carte de code à conserver dans son portefeuille et envoi d'un code via mail ou sms

Tu crains quoi avec "seulement" 8 chiffres? Une recherche en brute force...essai tu comprendras vite...
De plus s'il t'ai possible de retenir 8 chiffre t'est il possible d'en retenir 32 sans les noter quelque part?

Le verrouillage c'est généralement mauvaise pratique de sécurité.N'importe qui peut te verrouiller ton compte et te faire chier à répétition.
Pour être bien fait,ca doit forcement être associé à une vérification d'ip et il faut que le verrouillage se desactive automatiquement au bout d'un certain temps pour le cas ou c'est toi qui t'es planté.

Généralement, on ne peut pas faire grand chose directement avec un compte en ligne.
Pour ma part, je dois retaper mon mot de passe via un clavier virtuel et si je veux ajouter un autre compte externe comme destinataire, c'est une procédure par courrier il me semble, du coup c'est pas si simple.
Après, s'ils conservent cette sécurité, c'est que c'est suffisant, je suis pas du tout partisan du mot de passe à 128 caractère que tout le monde oublie forcément et donc finit par écrire sur un bout de papier à coté de son écran.
Selon moi, 8-10 caractères, c'est idéal s'il n'est pas issue d'un générateur (que je n'utilise que pour mes mots de passe SQL).

"Donc un code de 6 chiffres (100 000 possibilités, donc 3/100 000 chances de succès par hasard (...)"

Ah! Je pensais que c'était 10^6 soit 1 000 000 de possibilités.

Ils devraient ajouter une clé à tourner en deux endroits différents en même temps :)

au crédit mut aussi, il se foutent de la casse du mot de passe (découvert par hasard en ayant faire une erreur de saisie un jour)... mais par contre il y a un code par mail valable 15min ou saisie d'un code sur une carte de code fournie à l'ouverture du compte pour les opérations "à risque" (globalement tout sauf virement entre comptes et bénéficiaires sécurisés via le système au dessus) donc ça sécurise pas mal si le compte mail n'est pas une passoire.

Si vous voulez de la bonne crypto pour protéger votre argent, allez voir Bitcoin https://fr.wikipedia.org/wiki/Bitcoin

Niveau cryptographie vous allez être servi.

Perso, jʼhabite maintenant en Belgique et la sécurité fonctionne autrement pour lʼaccès bancaire en ligne.
Les banques te fournissent une sorte de petite calculette avec un code PIN à 4 chiffres.
Quand tu te logges sur ta calculette, elle te donne un code à 8 chiffres, qui est différent à chaque fois, et cʼest ça que tu utilises pour accéder au site de ta banque ; si tu traînes trop, le code nʼest plus valable (il est lié à lʼheure, ce qui explique quʼil est à chaque fois différent).
Et quand tu veux faire une opération en peu conséquente, style gros virement, le site te donne à son tour un code à 8 chiffres que tu dois recopier sur ta calculette, qui à son tour te redonne un autre code dʼaccès à 8 chiffres à retaper sur lʼordi. À la longue cʼest assez fatigant. Et si tu pars quelques jours en vacances, tu as intérêt à ne pas oublier ta calculette, sinon tu es coincé.
Donc, in fine, la sécurité cʼest le code à 4 chiffres mais aussi lʼappareil.

Je sais que ça a aucun rapport avec le débat mais...

"la banque (celle qui a le même sigle que le Comité Olympique)"

Ca veut dire quoi?

Je viens d'éplucher le site des 15 plus grosses banques francaises et.. j'ai pas trouvé un truc qui ressemblait au logo du CIO ou du comité francais Olympique.

Donc si on peut me donner un indice svp, j'arrive pas a résoudre l'énigme et ca me hante

EDIT: Ou alors c'est un jeu de mot sur les trois lettres du CIO et d'une banque a trois lettres semblables, mais là je la trouve vraiment capillotracté, et pour le coup ni amusante, ni fine.

Comme mes petits camarades, la sécurité ne se fait uniquement sur un couple identifiant/mot de passe.
Code de confirmation par sms/carte de code pour faire sortir l'argent du compte, verrouillage d'accès après 3 échecs de connexion, ... Avec ça, pas besoin d'un code à 32 caractères impossible à retenir ! donc CTLP de supposer que la sécurité de ta banque repose uniquement sur 8 chiffres. Et si c'est vraiment le cas, change de banque.

C'est où dans Grenoble..?

Je dit ça, c'est juste pour pas y aller... :P

@Ztri : Ou bien alors ils hashent / saltent chaque caractère séparément.

Au hasard, le Crédit Industriel de l'Ouest ?

Oo
Je ne connaissais même pas.

Mais après un googlage, je vois que c'est une filiale de la susnommée banque aux trois lettres.

Bah merci pour l'info @de passage

Il y a desfois ou je me sens vraiment comme un parisien ayant oublié de sortir de chez lui T-T (ceci dit sans méchanceté, je suis réellement parisien)

On doit avoir la même banque...
J'ai eu beau leur faire part de ce soucis, ils ne veulent rien entendre et estiment que leurs système de clavier virtuel ne permettant que des chiffres est plus sécurisé que de permettre des mots de passe plus longs et variés...

Si ce sont des ensembles de 2 ou 4 caractères qui sont hashés, c'est rapide à bruteforcer.

Et même si c'est salé, c'est rapide de se créer une table de correspondances une fois qu'on a le sel