Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte. Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).
Tant que j'y suis je déteste aussi toute forme de mot de passe visuel qui n'est pas du tout sécurisant dans un bureau avec des yeux partout autour et même à titre perso je suis sur que ma femme connaît mes identifiants mdp de ma banque pour mon compte perso à force d'être à côté de moi pour faire les comptes ... alors qu'un copier coller d'un mot de passe complexe rend impossible la captation de mot de passe à la volée. Le 02/04/2015 02:00, Stephane Martin a écrit : > De mémoire, la désactivation du copier/coller est une mesure de > protection contre les bots (j'ai pas dit que c'était efficace...) > > Le problème de l'absence de règle de complexité sur les mots de passe du > portail pro a été identifié et remonté il y a quelques semaines, c'est > normalement dans le pipe. > > En même temps, comme cela a été dit ailleurs, on a peu de risques de > fraude à l'identité sur un téléservice qui permet de payer ses impôts, > le mot de passe est essentiellement une mesure de lutte contre la > "nuisance" sur internet. > > J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les > mois à venir, notamment dans le cadre du projet FranceConnect et de > l'entrée en vigueur du règlement européen EIDAS. > > Si d'autres bizarreries sont constatées sur les téléservices du > ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom > at finances dot gouv dot fr), on les routera aux DSI en charge. > > Bien cordialement, > Stéphane Martin (RSSI MINEFI) > > > > Arnaud Launay a écrit : > >> Tu as aussi le problème que j'ai soulevé cet après-midi si tu >> veux t'amuser encore un peu plus: >> >> https://twitter.com/asl/status/582837760022749184 >> >> Arnaud. >> _______________________________________________ >> Liste de diffusion du FRsAG >> http://www.frsag.org/ >> > > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
