Mais bon, j'ai eu le malheur de bosser de près ou de loin pour des banques, des sites d'opérations boursières, des grandes surfaces (et leurs cartes de fidélité/paiement), et d'autres trucs bien sensibles... j'aurais préféré ne jamais voir ça, je suis maintenant complètement parano ! Et pourtant, la sécurité n'est pas ma spécialité. Quand je peux faire changer les choses, je le fais, mais il est difficile de contredire directement un client qui ne comprend rien à la technique. On m'a même répondu une fois que les fraudes restaient à un « niveau acceptable » et qu'ils préféraient payer pour que leurs utilisateurs aient accès à un « meilleur service » (envoi du mot de passe saisi par l'utilisateur en clair dans un mail, enregistrement du mot de passe en clair à côté du MD5, utilisation de « questions de sécurité » fermées et obligatoires, envoi du mot de passe original sur n'importe quelle adresse mail si on a répondu correctement à une des trois questions sans même un avertissement à l'adresse de contact).
Je ne sais vraiment plus quoi faire...
Je crois que les banquiers à qui j'ai demandé de désactiver l'accès à mes comptes en ligne n'en sont toujours pas revenus :-/
[^] # Re: Password en base???
Posté par François B. . En réponse à la dépêche Rugby et cryptographie : Shabal est en demi-finale !. Évalué à 1.
Mais bon, j'ai eu le malheur de bosser de près ou de loin pour des banques, des sites d'opérations boursières, des grandes surfaces (et leurs cartes de fidélité/paiement), et d'autres trucs bien sensibles... j'aurais préféré ne jamais voir ça, je suis maintenant complètement parano ! Et pourtant, la sécurité n'est pas ma spécialité. Quand je peux faire changer les choses, je le fais, mais il est difficile de contredire directement un client qui ne comprend rien à la technique. On m'a même répondu une fois que les fraudes restaient à un « niveau acceptable » et qu'ils préféraient payer pour que leurs utilisateurs aient accès à un « meilleur service » (envoi du mot de passe saisi par l'utilisateur en clair dans un mail, enregistrement du mot de passe en clair à côté du MD5, utilisation de « questions de sécurité » fermées et obligatoires, envoi du mot de passe original sur n'importe quelle adresse mail si on a répondu correctement à une des trois questions sans même un avertissement à l'adresse de contact).
Je ne sais vraiment plus quoi faire...
Je crois que les banquiers à qui j'ai demandé de désactiver l'accès à mes comptes en ligne n'en sont toujours pas revenus :-/