Une méthode simple qui marche entre entreprises quand on doit accéder à des informations sensibles c'est la limitation d'accès de chaque compte.
Ainsi lors de la création du login ou par la suite, on déclare les adresses ip (v4 mais surtout v6) autorisées à se connecter avec cet identifiant et le problème des bots est réglé (bon je passe le fait qu'un employé derrière une de ces ip fasse un bot pour brut force l'accès au compte, le risque est faible).

Tant que j'y suis je déteste aussi toute forme de mot de passe visuel qui n'est pas du tout sécurisant dans un bureau avec des yeux partout autour et même à titre perso je suis sur que ma femme connaît mes identifiants mdp de ma banque pour mon compte perso à force d'être à côté de moi pour faire les comptes ... alors qu'un copier coller d'un mot de passe complexe rend impossible la captation de mot de passe à la volée.



Le 02/04/2015 02:00, Stephane Martin a écrit :
De mémoire, la désactivation du copier/coller est une mesure de
protection contre les bots (j'ai pas dit que c'était efficace...)

Le problème de l'absence de règle de complexité sur les mots de passe du
portail pro a été identifié et remonté il y a quelques semaines, c'est
normalement dans le pipe.

En même temps, comme cela a été dit ailleurs, on a peu de risques de
fraude à l'identité sur un téléservice qui permet de payer ses impôts,
le mot de passe est essentiellement une mesure de lutte contre la
"nuisance" sur internet.

J'espère qu'on parviendra à rendre tout cela plus ergonomique dans les
mois à venir, notamment dans le cadre du projet FranceConnect et de
l'entrée en vigueur du règlement européen EIDAS.

Si d'autres bizarreries sont constatées sur les téléservices du
ministère, vous pouvez les remonter sur mon adresse pro (prenom dot nom
at finances dot gouv dot fr), on les routera aux DSI en charge.

Bien cordialement,
Stéphane Martin (RSSI MINEFI)



Arnaud Launay a écrit :


Tu as aussi le problème que j'ai soulevé cet après-midi si tu
veux t'amuser encore un peu plus:

https://twitter.com/asl/status/582837760022749184

	Arnaud.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/



      

      

      

      
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/