c'est jetable parce que normalement chaque code ne t'est demandé qu'une fois (il est "consommé").
en fait, c'est une lutte assez efficace contre les keyloggers car le maichan ne pourra pas s'authentifier lui aussi par la suite, même s'ils choppe ton login et mot de passe.
maintenant c'est attaquable par un faux site bancaire, ou par interception des données des ces codes chez toi, chez la banque ou à la transmission, et les banques sérieuses, comme l'UBS ou la Poste Suisse par exemple, sont déjà passées depuis belle lurette à la calculette magique (tu mets ta carte bancaire dedans, tu mets un challenge proposé par le login du site, tu entres ton code secret de carte, et ça te rend la réponse au challenge que tu dois mettre sur le site). le principe de ce truc d'ailleurs est peut-être lié à OTP comme le citait un autre plus haut mais je n'y connais rien. on peut aussi supposer qu'il y a une bête clé de crypto dedans mais alors ce secret faudrait cher (les calculettes ne sont pas personnelles donc ça ne peut pas être une clé personnelle). comment ça marche à la Poste Suisse :
au final quand j'ai émigré de France en Suisse en 2004, je suis passé du système login + mot de passe chez le crédit agricole au système de mots de passe jetables chez la poste suisse (et l'UBS utilisait déjà la calculette) ; depuis, la poste suisse est passée au système de la calculette, et le crédit agricole est toujours au login + mot de passe (ok il faut cliquer sur les chiffres pour le mot de passe donc normalement un keylogger ne peut pas l'intercepter). je suis étonné que les banques françaises ne semblent pas prendre plus au sérieux la sécurité de leurs sites de e-banking.. ou alors elles sont bien moins exposées aux fraudes qu'en suisse (et je ne suis pas un client grosse fortune, c'est monsieur lambda qui est à la poste suisse - qui n'est même pas une banque du point de vue légal mais c'est une autre question) mais ça m'étonne..
[^] # Re: 3D Secure
Posté par gc . En réponse au journal "MasterCard Secure Code" ou "Verified by Visa" ou comment ne plus assumer. Évalué à 3.
en fait, c'est une lutte assez efficace contre les keyloggers car le maichan ne pourra pas s'authentifier lui aussi par la suite, même s'ils choppe ton login et mot de passe.
maintenant c'est attaquable par un faux site bancaire, ou par interception des données des ces codes chez toi, chez la banque ou à la transmission, et les banques sérieuses, comme l'UBS ou la Poste Suisse par exemple, sont déjà passées depuis belle lurette à la calculette magique (tu mets ta carte bancaire dedans, tu mets un challenge proposé par le login du site, tu entres ton code secret de carte, et ça te rend la réponse au challenge que tu dois mettre sur le site). le principe de ce truc d'ailleurs est peut-être lié à OTP comme le citait un autre plus haut mais je n'y connais rien. on peut aussi supposer qu'il y a une bête clé de crypto dedans mais alors ce secret faudrait cher (les calculettes ne sont pas personnelles donc ça ne peut pas être une clé personnelle). comment ça marche à la Poste Suisse :
https://e-finance.postfinance.ch/ef/public/cc/trans/help/con(...)
(cliquer sur "commencer la visite")
au final quand j'ai émigré de France en Suisse en 2004, je suis passé du système login + mot de passe chez le crédit agricole au système de mots de passe jetables chez la poste suisse (et l'UBS utilisait déjà la calculette) ; depuis, la poste suisse est passée au système de la calculette, et le crédit agricole est toujours au login + mot de passe (ok il faut cliquer sur les chiffres pour le mot de passe donc normalement un keylogger ne peut pas l'intercepter). je suis étonné que les banques françaises ne semblent pas prendre plus au sérieux la sécurité de leurs sites de e-banking.. ou alors elles sont bien moins exposées aux fraudes qu'en suisse (et je ne suis pas un client grosse fortune, c'est monsieur lambda qui est à la poste suisse - qui n'est même pas une banque du point de vue légal mais c'est une autre question) mais ça m'étonne..