Bienvenue sur PEBKAC.fr, le site qui recense les anecdotes où l’on se moque des utilisateurs ne maîtrisant pas l’outil informatique. PEBKAC est un acronyme signifiant « Problem Exists Between Keyboard And Chair ».
Le problème se situe entre la chaise et le clavier : soumettez vos histoires, donnez votre avis !
Ce site n'est pas le site original pebkac.fr. Je publie ici la liste des PEBKAC que j'ai pu sauvegarder avant que le site original ne soit mis hors ligne.
Se connecter | Aléatoire | Soumettre
Alors que je m'inscris sur un site, je bloque sur la saisie du mot de passe. Le message d'erreur indique seulement que « le nouveau code personnel est invalide ». Merci, voilà qui m'aide beaucoup.
Mon mot de passe faisant bien entre 8 et 13 caractères, je pense donc avoir fait une faute de frappe et tente de nouveau, sans succès.

Je me résous alors à aller sur la page d'aide :
« Votre code personnel doit être composé uniquement de chiffres. Attention, pour des raisons de sécurité, vous ne pouvez pas choisir :
– Votre numéro de Sécurité sociale,
– Une suite de chiffres,
– La répétition du même chiffre,
– Votre date de naissance. »

Ah ? Donc « pour des raisons de sécurité » on ne peut utiliser qu'un jeu de 10 caractères différents, et on est limité à une longueur de 13 ? Déjà, PEBKAC.

Une fois inscrit et connecté, si je veux changer de code personnel je doit re-saisir mon code actuel. Normal.
Par contre, je peux modifier la question secrète sans aucun contrôle. Double PEBKAC.
PEBKAC #8503 proposé par Shirluban le 05/09/2013 | 15 commentaires | 👍🏽 👎🏽 +174
C'était le site de la Sécu pour qu'ils aient tout de suite pensé à ce numéro ?
Commentaire #109571 écrit par Siggy le 05/09/2013 à 17h43 | 👍🏽 👎🏽
Ce genre de limitation pointe du doigt un stockage du mot de passe en claire dans la base. Ils devraient changer leur vision de la sécurité avant de l'imposer aux autres.
Commentaire #109572 écrit par Kikoololstyle le 05/09/2013 à 17h44 | 👍🏽 👎🏽
Ou alors l'histoire se passe en Amérique du Nord : là-bas, le numéro de sécu est bien plus sensible qu'ici parce qu'il permet souvent à lui seul une usurpation d'identité...
Commentaire #109577 écrit par Acné le 05/09/2013 à 18h09 | 👍🏽 👎🏽
De toutes façons, le fait de simplement proposer une question secrète pour faire du pseudo two-factor authentication est une faille de sécurité.

Le principe d'un bonne sécurité est de demander au moins deux des trois facteurs d'identification :
- une connaissance de l'utilisateur (par exemple un mot de passe) ;
- une chose que l'utilisateur possède (par exemple une carte à puce ou un GSM) ;
- une chose que l'utilisateur est (biométrie).

Dans le cas des sites qui proposent une question secrète, on demande à l'utilisateur un mot de passe (facteur 1) et la réponse à une question qu'il a choisi (facteur 1 également). Non seulement un seul des trois facteurs est mis en oeuvre, mais en plus il est souvent possible de trouver la réponse simplement en cherchant sur l'interweb. Avec l'avènement des réseaux dits sociaux, les individus se mettent tellement à nu qu'ils diffusent souvent sans même s'en rendre compte les moyens d'usurper leurs comptes...

Je n'ai pas trop le temps là de rechercher des sources, mais la plupart des piratages qui ont été faits sur des comptes de célébrités ou d'hommes politiques ont été rendu possibles grâce à la faille inhérente à l'utilisation de ce procédé. C'est certainement pour cela que de plus en plus de sites implémentent un vrai two-factor authentication, par exemple en envoyant un code dans un SMS.

Pour continuer sur le sujet : http://en.wikipedia.org/wiki/Two-factor_authentication
Commentaire #109580 écrit par Acné le 05/09/2013 à 18h20 | 👍🏽 👎🏽
Le message d'erreur est très ambigüe. Le mot de passe ne peut être constitué que de chiffre mais ne pas être une suite de chiffre.
Commentaire #109584 écrit par Guillaume le 05/09/2013 à 19h02 | 👍🏽 👎🏽
12345 je suppose... Un grand classique comme mot de passe.
A partir de combien est-ce une suite ? 3 chiffres ?
Commentaire #109591 écrit par OzoneGrif le 05/09/2013 à 19h17 | 👍🏽 👎🏽
Question bête, quel est l'intérêt de limiter l'utilisateur à 13 caractères (pire, 13 chiffres) ?

Plusieurs site limite le nombre de caractère, les services Microsoft par exemple (Outlook), limite le mot de passe à 16 caractères. D'autres sites, interdisent même les caractères spéciaux.

Pourquoi ?
Commentaire #109605 écrit par loki le 06/09/2013 à 00h04 | 👍🏽 👎🏽
Comme ma valise !
Commentaire #109623 écrit par Acné le 06/09/2013 à 10h12 | 👍🏽 👎🏽
Je me suis inscrit dernièrement sur un site qui précisait qu'il fallait entre 8 et 100 caractères. Ça m'a bien fait rire. Je ne vois pas trop l'intérêt de préciser cette limite haute puisqu'il y a très peu de chance de tomber sur quelqu'un qui utilise un mot de passe aussi long. ^^
Commentaire #109625 écrit par seb le 06/09/2013 à 10h18 | 👍🏽 👎🏽
ouais c'est amelie.fr
j'me suis fait la même réflexion : le pire c'est que c'est des chiffres uniquement
Commentaire #109628 écrit par foducool le 06/09/2013 à 10h32 | 👍🏽 👎🏽
Qu'est-ce qui te fait dire que le mot de passe est stocké en clair dans la base ???
Commentaire #109629 écrit par ? le 06/09/2013 à 10h37 | 👍🏽 👎🏽
C'est au cas où Bruce Schneier veut s'inscrire.

http://www.schneierfacts.com/fact/27
Commentaire #109634 écrit par Geist le 06/09/2013 à 10h58 | 👍🏽 👎🏽
Aucun intérêt, d'autant plus ici, quand la limite max de 13 ne peut jamais être atteinte, puisque les limitations "uniquement des chiffres" et "pas la répétition du même chiffre" limite déjà le mot de passe à 10 caractères ^^
Commentaire #109667 écrit par Mon nom le 06/09/2013 à 13h04 | 👍🏽 👎🏽
Blizzard aussi limite le nombre de caractères. Bien chiant.
Commentaire #109746 écrit par neeko le 06/09/2013 à 18h51 | 👍🏽 👎🏽
Je dirai qu'il vérifient caractère par caractère au lieu d'utiliser les fonctions de hashage, et pour se faciliter la tâche la tâche, ils imposent des mots de passes simples
Si ce n'étaient pas en claire, ils pourraient évidemment pas comparer les caractères de cette façon
Commentaire #144543 écrit par Dave le 07/09/2014 à 20h52 | 👍🏽 👎🏽