Pffff… Ma banque est passée au clavier virtuel pour saisir le mot de passe de mon espace client sur son site web… Seulement 8 chiffres. Que des chiffres. Que 8, ni plus, ni moins. Pffff…
Je suis fatigué de ce genre d'incompétence technique…
Côté client, les logiciels malveillants ne sont plus bloqués par un clavier virtuel depuis longtemps. Un logiciel malveillant peut enregistrer ce qui est affiché ou intercepter le trafic web (y'a même des antivirus qui le font, mais c'est pour notre sécurité, bien sûr) ou autre…
Côté banque, mon ancien mot de passe (10 ‒ max autorisé ‒ chiffres + lettres majuscules ‒ seuls caractères autorisés ‒) était plus solide que le nouveau en cas de piratage (car nul doute que les gens vont réutiliser les mêmes chiffres partout où on les y force).
Avec exactement 8 chiffres autorisés, combien de clients vont mettre une date importante pour eux ou un cumul de deux dates (genre « ma date de naissance et celle de ma meuf parce qu'on s'aime trop trop trop ») ? Des dates connues par les proches voire facilement trouvables sur le web…
Bref, le client est forcément perdant.
L'ami Aeris a publié une bonne critique sur la non sécurité des banques dans la Revue Banque, la revue des Directeurs des Systèmes d'Information (DSI) du monde de la banque et de l'assurance : Identification : le secteur bancaire, royaume de la sécurité ?. Les claviers virtuels y sont évoqués.
J'ai bloqué le popup "changez de mot de passe pour un qu'avec des chiffres" aussi longtemps que j'ai pu. Ça s'est fait très facilement avec le mode sélecteur d’uBlock Origin (la pipette sous le bouton on/off quand tu cliques sur son icône).