J'aime bien le concept de payer le tiers de confiance pour une connexion https et d'envoyer les identifiants par mail ;)

Il faudrait que Clem crée un nouveau tag : J'ai reçu mon mot de passe en clair. PEBKAC.

Je sais pas si c'est dans le /dev/null/, mais ça commence à faire du déjà vu et revu.

Tu as raison, mais pour une banque il faut avouer que le PEBKAC gagne en puissance !

Oui enfin hein la securite pour un depot de candidature et celle de gestion des droits d'acces a la banque n'a rien a voir

Il me semble avoir lu quelque part (dans les commentaires d'un autre pebkac du genre), que le mot de passe peut avoir été envoyé en clair, puis crypté ensuite pour stockage en BDD, je me trompe ?

Oui mais non... En pratique, ce que font les banques est l'exact contre-exemple de ce qu'il faut faire en sécurité !

Ce sont elles par exemple qui ont inventé le concept des questions d'insécurité, en pensant faire une authentification à double facteur à moindre coût. Et depuis, étant donné que les banques le font et que forcément elles savent ce qu'elles font, on voit se propager ce genre d'inepties.

Crypté ? Je ne connais pas ce mot...

Sinon, on parle d'envoyer le mot de passe en clair un an après. Il a donc été conservé tout ce temps d'une manière réversible, ce qui est une erreur grave quel que soit le système.

+10, les banques et la securité, toute une histoire.

Dans le même registre, j'ai toujours trouve risible que les banques envoient les code de carte de creduit sur des documents "sécurisés" avec case à gratter, mais les codes d'accès à l'espace client ou ceux autorisant un virement arrivent sur un simple papier. Pourtant, les 2 derniers sont au moins aussi sensibles.

Sachant que dans certains endroits, le courrier postal est loin d'être aussi "sécurisé" que les banques veullent bien le croire. Rien n'est plus facile que de se procurer un passe ptt et d'intercepter ce genre de courriers.

@lionnel : "les codes d'accès à l'espace client ou ceux autorisant un virement arrivent sur un simple papier. Pourtant, les 2 derniers sont au moins aussi sensibles"
Même si quelqu'un intercepte mes codes d'accès à mon espace personnel sur le site de ma banque, tout ce qu'il pourra faire c'est voir combien j'ai et transférer de l'argent d'un de mes comptes sur un autre de mes comptes. S'il veut ajouter un nouveau compte bénéficiaire pour virer de l'argent dessus il lui faudra le code de vérification envoyé sur mon téléphone portable et patienter le temps que ma banque fasse des vérification (un truc ajouté récemment, ça peut prendre jusqu'à 48 heures mais je n'en sais pas plus sur le fonctionnement pour l'instant). Donc ces codes d'accès ne sont pas si sensibles que ça (même si bien évidemment il est préférable que persone n'en ai connaissance).

Acné a apporté LA précision qui fait tout le PEBKAC.
Mais reste que l'opération que tu cites (création du mdp par l'utilisateur - envoi par mail à l'utilisateur - stockage d'une version cryptée du mdp dans la BDD - suppression du mdp en clair) est tout à fait valable.

Je ne vois pas le problème, ils conservent juste une version papier des mots de passe dans la crypte. C'est pas ça, un mot de passe crypté?

Nan. Un mot de passe crypté, c'est un mot de passe sauvegardé sous forme de crypte. Il y a des implémentations particulières pour chaque support : le marbre est ultra-classique, tout comme le granit en Bretagne, le microfilm ets plus high-tech mais faut pas éternuer en visitant.

Et en Alsace on le fait avec du grès rose.

@Kadcom : et les pirates attaquent les mots de passe au burin, de grès ou de force ? :-D