bonjour
Pour se connecter à notre interface client linxea , il suffit de rentrer son identifiant + password.
Pourquoi linxea ne renforce pas la sécurité face aux piratages de plus en plus fréquents en faisant comme la plupart des acteurs financiers , à savoir une double authentification ? :
-soit en plus du password , un code numerique envoyé sur le tel
-soit en plus du password , une double authentification avec un generateur de code, tel que google authenticator.
Perso je ne suis pas pour.
Ca marche très bien login+password.
Les pirates ne craquent pas les password.
Ils utilisent les failles de sécurité des systèmes ou logiciels, ils font du phishing, ils rusent et se font passer pour vous, ils vont déjouer votre double authentification avec l’arnaque à la sim, etc.
Ils font tout ça car le login+password marche.
Donc je ne suis pas intéressé.
L’idée n’est pas mauvaise mais ça peut être aussi embêtant si on change de numéro, de smartphone ou même un dysfonctionnement avec son tel
La vérification par téléphone est demandée en cas d’arbitrage (et de virement je crois).
Donc même si le double factor n’est pas mis à la connexion, elle l’est plus tard quand même
Exact.
C’est un code reçu par mail.
Et ça me convient : c’est fait avec les outils déjà en place, le mail.
En terme de sécurité, je suis plus gêné par les tokens d’authentification à durée infinie (?).
Si je ne me déconnecte pas du site, je peux fermer mon navigateur et éteindre mon pc ; quand je vais le rallumer et relancer mon navigateur, je serai toujours connecté.
Et c’est un problème si le pc est allumé par qqun d’autre que vous.
Je ne connais pas de site qui touche à la banque ou l’épargne qui fait cela…
La double authentification n’est pas nécessaire. Dans la majorité des cas c’est un simple phishing (par mail ou par sms) qui permet aux escrocs d’obtenir les codes d’accès des sites.
Pourtant la double authentification est obligatoire sur certaine banque ( parfois à choisir en option, ce qui permet à ceux qui le veulent de la choisir pour une sécurité en plus !!!)
Du coup je me disais que la double authentification pourrait etre proposé par Linxea en option dans les préférences pour ceux qui le veulent
En tout cas , moi ça me rassurerait de l’avoir en plus du tradition login + password…
Pour me connecter à ma banque, l’identifiant est mon numéro de compte, le mot de passe est un code à 6 Chiffres. Pas de double authentification obligatoire. Si je fais un virement pas d’autre manipulation à faire non plus. Je trouve celà limite.
Pour Linxea, si les mots de passe sont en sécurité et hachés aucun problème.
Et comme le dit LinForum, se déconnecter à chaque session ou vider le cache du navigateur.
Perso, aucun mot de passe enregistré dans mon navigateur également.
Oui c’est une très bonne idée. Une possibilité de double identification avec un soft comme le fait google authentificator serait mieux que par sms. En option, par exemple ? Je vois quelques réfractaires.
Il faut surtout que vos mots de passe ne soient pas enregistré dans un fichier sur votre ordinateur ou sur votre téléphone portable (dans notes par exemple). C’est bien plus dangereux que de l’enregistrer dans le gestionnaire de mots de passe du navigateur.
PS : @NB50816 il faut moins d’une minute à un logiciel dédié pour lister toutes les possibilités d’un mot de passe composé de 6 chiffres. Evidemment, le site de votre banque n’acceptera pas de tester dans un court délai toutes les possibilités, mais ce n’est pas très sécurisé.
Mais c’est pas tant qu’il y a des réfractaires, que cette sécurité est déjà partiellement en place.
Déjà, parlons du cœur de l’argument « comme els banques ». J’ai 2 banques : Fortuneo et Banque populaire. Les deux ont bien un système de double vérification, mais on passe par l’application d’une part, et c’est seulement pour les opérations et non pas la connexion au compte.
Ensuite, comme je disais, c’est en place partiellement, car si on veut faire un virement ou un arbitrage sur Linxea, il y a un système où on rajoute un code reçu par email. Presque tout comme les banques en fait. Cela ne s’applique donc pas sur les opérations externes à Linxea.
Mais du coup, oui. Il n’y a pas ces doubles vérifications par les sites des assureurs tiens. Et personne ne s’en plaint. S’il faut quelques secondes pour cracker un mot de passe, mon espace Suravenir serait toujours moins bien protégé que mon espace Linxea, si Linxea n’avait pas été le mettre en lecture seule. Et justement, répondre à ceci me fait penser que si Linxea migre vers des interfaces personnalisées pour restreindre les espaces assureurs, c’est peut-être pour des raisons de sécurité dans les process migrés. Mais je trouverai amusant qu’on leur jette des pierres d’un coté et qu’on réclame la fonctionnalité de l’autre coté aussi 
Oui je comprend totalement ton avis et je le respecte. C’est pourquoi j’ai mis « en option »… 
L’important est de bien dormir la nuit et d’être protégé.
Bonjour. Je suis ingénieur en cybersécurité et je peux vous assurer que la double authentification est le niveau minimal de sécurité. Il est extrêmement facile pour un pirate de voler un mot de passe. Mon travail quotidien me le montre tous les jours (tous les jours des bases de données de mots de passe de clients d’entreprises sont mis en vente sur le dark web). La double authentification n’est pas l’assurance zéro risque mais ne pas l’avoir c’est l’assurance 100% risque à brêve échéance.
Justement. S’ils vous volent votre code d’accès il leur manquera le 2ième code (la double authentification). C’est bien l’objectif = les forcer à voler 2 codes ce qui est bcp plus complexe.
Donc, tu comprends que même « en option », cela ne changera pas grand chose à la sécurité des comptes, quand bien même tout le monde en dormira mieux.
Il y a certes des choses sur la sécurité à améliorer. Mais le double factor à la connexion n’est pas ce qui me vient en premier à l’esprit.
Comme le dit @LinSom, les pirates ne craquent pas vraiment les mots de passe. Et c’est pas une histoire de complexité/rapidité. On va dire que c’est une histoire d’efficience.
S’ils prennent une personne au hasard, et craque le mot de passe pour avoir accès au compte. Ils vont avoir accès à une somme d’argent, entre 100 et 50000 euros pour une bonne moyenne large. Cool.
S’ils piratent les serveurs Linxea, ils ont accès à possiblement tous les mots de passe d’un coup, en fuite de donnée massive, et peuvent faire un coup unique sur tous les plus gros comptes, sans hasard. C’est déjà plus juteux.
Ensuite, pirater un mot de passe à la connexion, ok c’est faisable, admettons, mais s’ils n’ont pas accès au double factor des opérations, ça ne vaux pas la peine d’essayer. Sauf si, par pishing, la boite mail est compromise ou que le téléphone ait été volé. Mais dans ces deux cas, que ce soit en connexion ou sur les opération, la protection est tombée.
Je suis dans l’informatique. Tous les ans j’ai des formations obligatoires pour éviter les piratages en entreprises. Et le mot de passe c’est pas la première chose à renforcer. C’est juste de ne pas donner d’informations à des personnes qui se disent être de l’entreprise sans avoir vérifié avant. C’est de ne pas laisser trainer son poste déverrouillé sans surveillance. C’est ne pas cliquer sur les fichiers excel, pdf, ppt, qu’on ne pensais pas devoir recevoir.
Donc pour résumer, si un pirate devait s’intéresser à Linxea, il ne piraterait pas directement les comptes des clients. La première étape est d’aller sur Linkedin, trouver une cible facile et faire du pishing afin d’avoir un accès interne. De là, soit c’est le bon poste, soit il faut établir un autre pishing en interne depuis cette personne pour avoir accès aux outils de donnée. Et là, c’est le jackpot.
Par contre, oui, le mettre en option pour faire plaisir reste possible. Il n’y a pas de contre-indication par contre. Là je suis d’accord.
Mais j’espère qu’à court terme les budget iront d’abord à la stabilisation, car ils ont l’air d’en avoir bien besoin ^^
Lorsqu’un pirate accède à un compte, il ne se limite pas seulement au montant investi. Il peut également accéder à des informations personnelles sensibles (adresses, numéros de téléphone, informations bancaires, etc.). Ces informations peuvent être utilisées pour commettre d’autres fraudes, usurper l’identité de la victime, ou même cibler d’autres comptes liés, augmentant ainsi les dommages potentiels.
Ainsi, même si le pirate n’accède initialement qu’à une somme d’argent limitée, les répercussions de cette intrusion peuvent être beaucoup plus étendues et graves, soulignant l’importance de mesures de sécurité robustes comme le double facteur d’authentification.
Donc si tu penses que c’est pas important, n’en fais pas une vérité absolue. Le 2FA est une mesure de sécurité essentielle qui complique considérablement la tâche des pirates et protège mieux les comptes et les données personnelles des utilisateurs.
C’est pas que je trouve cela pas important. Ce qui est dit, c’est que les pirates n’ont pas besoin d’accéder aux comptes personnels de n’importe quel utilisateur au hasard pour avoir ces informations.
Pour les données personnelles, il suffit en outre de recouper les données éparpillées dans les cookies et failles de sécurités existantes, voir de pirater une entreprise entière pour avoir les données en masses de milliers de personnes d’un coup.
Je ne dis pas que le risque est nul de se faire pirater son compte. Mais en vrai, on a bien plus de chance de se faire avoir par bien d’autres moyens. Maintenant, si un 2FA fait dormir tout le monde mieux, tant mieux. Mais la sécurité n’en sera pas forcément relevée. Ce n’est que faire l’autruche.
Et aussi, je ne met pas le 2FA dans du robuste. Toutes les sécurités sont contournable. Elle est plus embêtante, mais pas impossible, surtout si c’est un 2FA par email et que l’adresse email est compromise. Il faut pas croire que nos comptes Linxea à eux tout seuls sont des gouffres à données et une faille de sécurité dans nos vie. La plupart du temps, la faille c’est nous. Genre cliquer si le lien d’un sms pour aller payer une dois-disante amende. Pour moi, faut juste remettre cela en perspective. Le 2FA, pourquoi pas, mais c’est un faux débat je trouve.
Aussi, les soucis de Linxea actuellement, je me demande aussi s’ils ne se sont pas fait pirater leurs systèmes, avec rançon à la clé. Les pirates pourraient très bien récupérer nos données personnelles Et se faire payer au passage. Pas besoin d’aller pirater nos comptes… Et on est tous perdants, pas juste quelques 10aines de personnes qui auraient un comptes piratés. Si c’est le cas, ils sont dans l’obligation de nous le dire au final, il me semble.
D’ailleurs, je suis pas pirate moi même, si si je devais passer un système 2FA, voici comment je ferais :
Voilà, on est entré.
Il faut juste trouver le moyen d’envoyer un mail assez crédible pour que quelqu’un clique, avoir un faux site assez crédible, mais surtout qui puisse faire le doublon en temps réel.
Une fois connecté, s’il n’y a pas de 2FA aux opérations, c’est tout bénef. Surtout si les cookies de connexion sont hyper long. Voici pourquoi c’est les opérations qui sont d’abord protégées, et pas la connexion selon moi. Car quand on reçoit un 2FA sur une opération, on sait direct que c’est pas nous.
Je comprends ton point de vue, mais le 2FA reste une barrière supplémentaire importante. Même si aucune mesure n’est inviolable, chaque couche de sécurité rend les attaques plus difficiles et coûteuses. Le 2FA protège non seulement les fonds mais aussi les informations personnelles sensibles qui peuvent être utilisées pour d’autres fraudes. Les scénarios sophistiqués de phishing sont possibles, mais rares. La sécurité doit être globale, protégeant à la fois la connexion et les opérations. Dire que le 2FA n’est pas nécessaire revient à dire qu’aucune protection n’est nécessaire parce qu’il y a toujours des informations ailleurs ou des gens qui se feront abuser. D’ailleurs, une personne qui se fait abuser comme tu le décris est justement le type de personne qui n’utilise pas le 2FA. En fin de compte, chaque mesure de sécurité contribue à une protection plus robuste et complète.
Ha ben on y est. Les pirates ont piraté directement l’hébergeur, avec 40000 clients, donc potentiellement plus de sites.
Vous vous sentez serein sur les données personnelles et le 2FA ? ^^
Blague à part, oui encore une fois, un 2FA ça peut sécuriser un peu plus. Mais le point était que les pirates ne font presque plus ça. Ils vont directement aux gros poissons. Là ils se sont fait avoir, en un sens. l’hébergeur a coupé tout. Mais si ça n’avais pas été remarqué, ou même si ça n’a été remarqué que plusieurs heure et jours après… c’est chaud.