Actions

Journaux











Amélioration de la procédure AccèsD chez Desjardins

Écrit le 08/01/2008 @ 19:04 par Nick

Informatique - SécuritéTous les clients de Desjardins utilisant AccèsD Internet verront une amélioration de la procédure de connexion d'ici le 20 janvier 2008. Au lieu d'avoir une seule fenêtre de saisi pour le numéro de carte et le mot de passe, Desjardins demandera en premier lieu le numéro de carte. Lorsqu'il est entré, le client verra un pictogramme (une pomme dans l'exemple) qu'il aura préalablement choisi. Si le site est falsifié et que le client ne reconnaît pas sa pomme, il pourra avoir le réflexe de ne pas entrer son mot de passe.

L'objectif est d'éviter les sites qui ressemblent à Desjardins et qui permettent d'avoir le numéro de carte et le mot de passe en même temps (phishing).

Pour voir à quoi ressemble la nouvelle méthode, suivez le lien.

Dernière modification le 08/01/2008 @ 19:06 par Nick

Commentaires

Commentaire par Nick  Score: 2
Écrit le: 08/01/2008 @ 19:05

Personnellement, je trouve que c'est une excellente idée et j'espère que le nouveau système ne créera pas plus de problème qu'il en épargnera.

Spécialiste en sécurité informatique, qu'en pensez vous?

Commentaire par Drizzt  Score: 2
Écrit le: 08/01/2008 @ 19:19

L'idée ne semble pas mauvaise.. Il reste à savoir si la banque d'image est suffisamment large pour éviter que les phishers jouent à la loterie avec celles-ci!

Je suppose que d'ici un an, nous devrions avoir accès un à communiqué de presse avec des statistiques sur l'amélioration apportée.

Commentaire par Alexandre  Score: 2
Écrit le: 12/01/2008 @ 14:52

Je sais qu'ING fait déjà ça depuis un bon bout.

Commentaire par blanalex  Score: 2
Écrit le: 08/01/2008 @ 20:52

J'ai la même procédure avec la banque de Montréal depuis un peu moins de 6 mois. Je ne crois pas que la méthode soit infaillible parce qu'il serait possible de cloner la première page où le numéro de carte est demandé et lorsque la vicitme entre son numéro, le phisher n'aurait qu'à passer la requête au vrai site de la banque/caisse et renvoyer à l'utilisateur l'image de la banque.

Commentaire par blanalex  Score: 2
Écrit le: 08/01/2008 @ 21:01

Pour être plus constructif, je crois plus à un autre moyen:

Le porte-clé avec générateur de code synchronisé: La banque remet un générateur de code qui change aux 5-10 minutes. Pour que l'utilisateur puisse authentifier le site de banque, le site fournit un code que l'utilisateur vérifie sur son générateur. Et à son tour, l'utilisateur pour être capable de se connecter doit fournir un autre code qu'il obtient de son générateur.

Tout ceci me fait penser à Wish-it-was two-factor

Commentaire par Drizzt  Score: 2
Écrit le: 08/01/2008 @ 21:53

Probablement que le problème est le coût plus que d'autre chose.. quoi qu'il y a possibilité d'un problème de timeshift. Effectivement, ce serait plus intelligent.

Commentaire par Alexandre  Score: 2
Écrit le: 12/01/2008 @ 14:55

Ça et le fait que les gens perdent déjà leur carte, alors ils perdraient aussi ça. Ça fait des coûts et pas nécessairement plus de sécurité si on vole physiquement la carte et le synchronisateur... Mais ça nuirait pour le vol via le web.


Tous les blogs
<< Les serveurs DNS en IPv6 en février | Retour aux blogs | 4 mises à jour dans SWUP >>
Blogs de la même catégorie
<< Au tour de Postes Canada d'avoir des problèmes | Faille locale dans Linux 2.6 >>