Pour ce qui est des claviers virtuels, je les déteste. Ils sont chiants à utiliser et nécessitent JavaScript.
Pour l'utilisation uniquement de chiffres, ce n'est pas trop grave. Le compte est normalement bloqué après 3 essais. Les codes secrets des cartes bancaires (ou un moyen de les retrouver) sont stockés sur des HSM (des modules matériels spécialisés en sécurité, avec de la cryptographie et une suppression des données si ça bouge trop) (une bonne partie en production vient de Bull, avec des portes dérobées ?). J'imagine et j’espère qu'il en est de même pour les codes secrets des front-end web.
Google et Facebook arrivent à gérer plus d'un milliard d'utilisateurs et utilisatrices avec des mots de passe ne contenant pas que des chiffres. Donc les banques n'ont pas de bonne excuse pour ne pas permettre des mots de passe ayant autre chose que des nombres pour les front-end web.
Le module matériel directement connecté au PC pose le problème de la compatibilité : gérer Windows, macOS, et potentiellement GNU/Linux. Par contre, pour la gestion des mobiles, ça risque d’être dur. De plus, il faudrait préalablement installer un pilote. C'est donc très contraignant, mais c'est indéniablement bon pour la sécurité (si le module matériel fait bien son boulot).
Il y a des boîtiers dans lesquels il faut insérer une carte bancaire qui donnent un code. Ça a au moins 2 inconvénients :
Ça coûte pour les banques, donc in fine pour les clients.
Forcer l'usage est contraignant. Quand on ne change pas de logement et qu'on fait des opérations qu'à la maison, ça va. Si on voyage souvent ou que l'on veut faire des opérations sur mobile, c'est tout de suite moins pratique.
Certaines banques font des CVX (le cryptogramme de la carte bancaire) qui change à un intervalle régulier ou en appuyant sur un bouton. Elles pourraient le demander pour se connecter (si certaines ne le font pas déjà).
# Des éléments de réponse
Posté par RyDroid . En réponse au journal Sécurité et authentification des sites bancaires.. Évalué à 3.