Pour l’accès à la gestion de mon contrat, je suis obligé de changer mon mot de passe tous les 2 ou 3 mois. ça commence à m’agacer.
Existe t-il une manipulation pour modifier cette fréquence ?
Si ce n’est pas le cas, est-il possible de limiter le changement de mot à une périodicité de 6 à 12 mois.
Je ne sais absolument pas s’il y a moyen de contourner cette obligation, mais le souci me semble modeste s’il suffit de changer un caractère: On ajoute au mot de passe le N° du mois ou du trimestre et on le change chaque début de mois (ou de trimestre). La mémoire n’est pas plus encombrée qu’avec un mot de passe fixé.
Merci pour vos réponses.
Il est vrai que ce n’est pas un souci majeur.
Cependant, je n’ose même pas imaginer ce que cela donnerait si l’ensemble de mes autres courtiers et établissements financiers fonctionnaient de la même façon que linxea et je ne parle pas des autres comptes (sécu, edf,etc…)
L’objectif de ce post est de faire un zoom sur ce sujet et de collecter le sentiment des autres membres du forum sur ce sujet.
Un changement de mot de passe obligatoire une fois par an me suffirait largement avec une possibilité de le changer plus fréquemment de manière optionnel
En gros : c’est du javascript, du code qui s’exécute uniquement côté navigateur client. On peut enregistrer la page web sur son disque dur, couper la connexion internet et cela fonctionnera toujours.[/quote]
L’argument qui précise que c’est un script qui s’éxécute côté client est précisemment l’indication de ce qui doit faire peur ! Veux-tu que je mette en ligne un script « de test » pour te montrer ensuite que je peux retrouver qui tu es, quel fournisseur d’accès tu utilisais, quels programmes sont installés, et avec un tout petit peu de chance ton nom et ton prénom, les sites que tu as visité etc… ?
Pour le reste, effectivement on peut couper sa connexion. C’est d’ailleurs le seul moyen 100% sûr de se protéger. Mais on ne peut décemment plus proposer ça comme solution aux usagers en 2011 !
Pour répondre à ton sondage, j’avoue que, pour ma part, ça ne me dérange pas plus que ça, ce changement de mot de passe. Je le note sur un calepin et ces deux « actions » ne prennent pas plus de 10 secondes.[/quote]
AHHHHHHHHHHH mes yeux !!!
Sinon, mon point de vue de professionnel sur ce sujet, c’est que ce type de politique est souvent largement contre-productive : obliger les usagers à utiliser des mots de passe variés n’est pas naturel. Ca incite très rapidement les gens à choisir des mots simples à retenir, ce qui est totalement contraire au but recherché d’une sécurité accrue. Pire : la plupart vont alors tout naturellement sauvegarder ce mot de passe dans leur navigateur. Et quand on sait que ce dernier est à la fois le vecteur et la cible privilégiés des attaques informatiques modernes, ça fait peur.
Bref, c’est pénible (j’avais déjà râlé sur ce sujet), et bien moins utile que de simplement « forcer » un mot de passe d’une longueur et d’une complexité minimums. Mais ce genre de méthode avait souvent cours du temps de l’audiotel et du minitel, et passait à l’époque pour un garde-fou efficace…
Sois rassuré, c’est une plaisanterie. Dans mon métier c’est une hérésie d’écrire un mot de passe sur un papier. Je passe de nombreuses heures chaque année à expliquer que stocker son mot de passe sur un postit sous son clavier, n’est pas une bonne idée ;-). Mais je reste conscient que ça n’a pas la même portée si c’est fait à domicile ou au bureau. Malgré tout, déformation professionnelle oblige, ça pique les yeux de lire ça ;-).
Il ne s’agit pas naïveté. L’informatique c’est compliqué, et la simplification apparente des interfaces cache en fait une débauche de technologies différentes dont certaines n’auraient sans doute jamais dû voir le jour. Ce sont ces dernières qui sont vecteurs de soucis. En tous cas c’est une bonne nouvelle : au moins mon intervention aura été utile à quelqu’un ]
un bon mot de passe peut se faire simplement avec votre chanson préférée. Prenez la première lettre de chaque mot du refrain. Ajoutez l’année de sortie de ce tube. Et voilà, vous avez un mot de passe complexe, introuvable dans un dictionnaire, et quasi impossible à oublier…
[/quote]
Attention : ne jamais divulguer un mot de passe, même « pour tester » comme c’est le cas ici. On ne sait jamais qui est derrière un site. Je déconseille très fortement l’utilisation de ce genre de service.
[quote=« kpere »]
Firefox affiche en clair les mots de passe qu’il enregistre, il suffit de demander, aucun logiciels n’est nécessaire. Je ne sais pas si c’est également le cas de Internet Explorer.[/quote]
Pour le mémoriser et le ressortir à bon escient, il faut nécessairement que le cryptage du mot de passe soit réversible. Et donc, oui, forcément, pour remplir son office le navigateur doit être capable, à partir de la forme cryptée, de le décrypter pour retrouver l’original. On dit alors qu’il s’agit d’une fonction de cryptage bijective (elle marche dans les 2 sens). L’idéal serait l’utilisation de fonctions uniquement injectives (à partir du mot de passe on peut crypter, mais à partir de la forme crypté aucun traitement ne permet de revenir au mot de passe ; dans ce cas le site stocke uniquement la forme cryptée, et à chaque tentative de connexion, crypte vos identifiants pour comparer uniquement la forme cryptée ; la plupart des banques fonctionnent comme ça car un pirate qui volerait la base de données des logins et des hashs de mot de passe ne pourrait simplement rien en faire.
« The bit of code that does the calculations is done in JavaScript. And JavaScript is a « client-side » language. That means it runs on your computer – not on ours. No data ever travels from your computer back to the website. You can check this by loading up the webpage and then turning off your internet connection. You’ll still be able to use the website to your heart’s content. »
En gros : c’est du javascript, du code qui s’exécute uniquement côté navigateur client. On peut enregistrer la page web sur son disque dur, couper la connexion internet et cela fonctionnera toujours.
Mais tu as raison, d’autres sites du même type peuvent être malveillants.
Je n’ai pas de contrat Evolution (suis en Linxea Vie et Avenir), et ne connais donc pas ce désagrément de changement de mot de passe. Imposer le changement régulier de mot de passe est une pratique peu courante sur le web, heureusement car c’est pénible à gérer. Si tous les sites s’y mettaient, on ne s’en sortirait pas. D’autant plus qu’au niveau sécurité l’intérêt reste à démontrer.
Sinon, un gestionnaire de mot de passe (Keepass, Lastpass) est quasi indispensable de nos jours : génération de mots de passe aléatoires, remplissage automatique du nom d’utilisateur et du mot de passe dans les pages web, on peut donc utiliser des mots de passe complexes, différents de site en site sans avoir à s’en rappeler. Il faut juste ne pas oublier le mot de passe maître, sinon c’est la cata.
Pour rappel, laisser le navigateur web mémoriser les mots de passe est très mauvais pour la sécurité.
On trouve sur le net plusieurs logiciels gratuits et puissants pour « retrouver les mots de passe perdus » (c’est la version officielle) sur un système. Très simple à utiliser par n’importe qui, ils scannent Windows et sont capables de retrouver les mots de passe stockés par plusieurs logiciels, les navigateurs Internet en tête.
Leur efficacité est redoutable, car les navigateurs stockent les mots de passe de manière faiblement sécurisée. Il faut tout au plus quelques secondes pour retrouver ces mots de passe. C’est encore plus rapide pour les mots de passe simples, type mot du dictionnaire.
Pour tester la force d’un mot de passe, ce site est sympa (et sans risque) : http://howsecureismypassword.net/. Il affiche le temps théorique qu’il faudrait à un ordinateur moderne pour le retrouver. Ca reste approximatif bien sûr, car la façon dont il est stocké dans le système reste un facteur très important. Les navigateurs web sont très mauvais sur ce point.
il me semble que Loupi avait déjà parlé de ce problème de changement de mot de passe pour le contrat LinxeaEvolution. Par contre je n’ai pas réussi à retrouver son message.
Si je me souviens bien, il précisait que l’on pouvait « tourner » avec 3 mots de passe sur ce contrat. Je n’ai pas pu le vérifier car j’en suis justement à mon troisième mdp, je saurai bientôt si je peux réutiliser le premier.
En LinxeAvenir, il n’y a pas besoin de changer de mdp.
Pour LinxeaVie, je n’en sais rien car je n’ai pas de contrat chez eux, mais d’après ce que je lis sur le forum, … c’est chaud !!
comme expliqué ci-dessus par Girondin puis confirmé par Djobydjoba :), cela ne dépend pas de Linxea, mais de l’assureur (ACMN Vie) manifestement, puisque c’est le seul contrat « linxéen » qui utilise ce procédé.
Pour répondre à ton sondage, j’avoue que, pour ma part, ça ne me dérange pas plus que ça, ce changement de mot de passe. Je le note sur un calepin et ces deux « actions » ne prennent pas plus de 10 secondes.
Firefox affiche en clair les mots de passe qu’il enregistre, il suffit de demander, aucun logiciels n’est nécessaire. Je ne sais pas si c’est également le cas de Internet Explorer.
Je ne trouve pas très dangereux d’enregistrer les mots de passe pour les contrats d’AV (sachant que le montant des miens est peu important). Je ne vois pas ce qu’un éventuel pirate ou malfaiteur pourrait en faire. Demander un retrait ? Avec un RIB dont le nom est différent ? Je ne suis pas sûr que ça passe. Dites moi si je me trompe.
… il faut nécessairement que le cryptage du mot de passe soit réversible … cryptée … décrypter … bijective … fonctions uniquement injectives … logins … hashs [/quote]
Je voulais juste prévenir ceux qui ne le savent pas que le voleur de votre ordinateur n’a qu’à lancer Firefox et faire
outils > options > sécurité > mots de passe enregistrés > afficher les mots de passe
pour voir en clair tous les mots de passe enregistrés. Et que par conséquent, faire enregistrer les mots de passe par un navigateur n’est pas moins risqué que les noter sur un bout de papier.
Pire : la plupart vont alors tout naturellement **sauvegarder **ce mot de passe dans leur navigateur. Et quand on sait que ce dernier est à la fois le vecteur et la cible privilégiés des attaques informatiques modernes, ça fait peur.
Je fais parti de ces naïfs.Aussi je tiens à te remercier pour cette remarque.