On Wednesday 08 August 2007, magnus anderssen wrote: > heu, d'accord mais seulement si c'est bien conçu et implémenté correctement > (dans les règle de l'art).
Absolument. > C'est pas parce que c'est complexe pour l'utilisateur que c'est sûr! Oh oui :-) > . Dans l'absolu, il est vrai, on diminue la probabilité d'un accès > frauduleux en utilisant les moyens traditionnels de connexion, mais à > quel prix? Je sais... c'est toujours une question de compromis. Il faut que cette complexite reste minimale pour l'utilisateur, tout en etant tres contraignante pour le pirate. Les pirates ont parfois (de plus en plus) de gros moyen et souvent beaucpup de connaissances de la cible. Je suppose que les codes sur les cartes matrices ne sont pas une "fonction" et qu'il s'agit de valeur aleatoires, dument memorisee par le serveur e-banking. Il semble que le seul moyen, ou le meilleur compromis, soit justement d'utiliser ces valeurs "aleatoires" (ou pseudos) en etendant le domaine de recherche afin de rendre la vie "tres" difficile aux pirates. > En termes d'argent > et de complexité pour l'utilisateur (je dois avoir le lecteur si je veux me > connecter alors qu'avec une carte matrice c'est plus portable. Le compromis > reste à trouver. Oui, dans le vas de l'UBS, je dois me balader avec cette "calculatrice"; ce qui n'est pas pratique et represente donc un danger de perte ou de vol ! A contrario, les cartes matrices des BCs se glissent facilement dans un porte-monnaie, mais le domaine "aleatoire" est sans doute moins grand. Le pire etant que qu'un pirate pourait photocopier cette carte (ce qui devient inquietant), alors que pour la carte UBS, c'est plus difficile... quoique... duplication des informations sur la puce de votre EC UBS, plus utilisation d'une de ces "calculatrice... Le resultat est le meme, mais necessite un peu plus de matos. Pour l'utilisateur, le probleme se resume a s'assurer qu'aucune personne tierce n'a acces a ces informations. C''est donc a l'utilisateur de garantir la confidentialite de ces infos, alors que l'on essaie de focaliser l'attention de l'utilisateur sur l'OS de son PC. C'est assez idiot puisque cette connaissance represente un danger massivement plus grave que le piratage du PC du client ! C'est donc la qu'est surtout la responsabilite du client; et non dans l'OS. > Un peu de futurologie (il faut bien remplacer William Gibson :-) ), si on > continue sur cette lancée, on aura bientôt 5 connaissances à mémoriser, 12 > tokens générateur de code, 7 cartes à puce avec chacune son lecteur.... Et c'est la que M* a deja fait des tentatives de centralisation et de "controle" de l'ensemble de ces connaisances. Et je ne pense pas qu'ils aient rennonce !!! Donc, attention... :-( > Le résultat principal est que l'utilisateur met tout ça dans le même > classeur car il a peur de perdre un des éléments. (Sauf la carte à puce qui > a un autre utiiisation dans le cas de la poste). Où est finalement la > valeur ajouté par rapport aux autres méthodes (sans entrer dans un débat > mathématique ayant pour sujet l'espace de combinaison). Un bon exemple est l'utilisation d'agenda electroniques... quand la pile est a plat ou que vous l'avez perdu, les scenarios d'horreurs defilent dans votre tete, bien plus vite et plus fort que si vous utilisiez des bout de papiers. La perte et les consequences de compromission sont alors de 100%... mais ce genre d'usage represente aussi une "enrgie" minimum. Raison pour laquelle ce genre de solution est privilegie par le plus grand nombre, et seul un petit nombre de gens se soucie reellement et consciement des vertitables problemes et de la valeur ajoutee. Dans le cas de la question initiale, l'utilisateur doit simplement s'assurer qu'il respecte les regles essentielles de la prudence, en fonction de ses connaisance et en toute bonne foi. Les problemes legaux surgissent lorsque les deux parties sont de "bonne foi" :-) dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
