Informaticien.be » 2009/03/14 Informaticien adopte l'EID
Rappel du message précédent
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:19:51,
Par gizmoLa difference, c'est que le password est normalement qqch que seul l'utilisateur connait, tandis que les infos sur la carte sont censees etre toutes publiques (a part le numero de chip).
Therese:
Dernière édition: 14/07/2009 @ 14:21:59
Therese:
Dernière édition: 14/07/2009 @ 14:21:59
Concept vivant.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:24:10,
Par rfrLa difference, c'est que le password est normalement qqch que seul l'utilisateur connait, tandis que les infos sur la carte sont censees etre toutes publiques (a part le numero de chip).
Therese:
Therese:
A partir du moment ou il ne faut pas un pin pour accéder à une informatio de la carte, elle se doit d'être considérée comme publique.
Tu veux mon chip number?
534C494E336600296CFF28BFB0152E0F
Dernière édition: 14/07/2009 @ 14:25:49
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:27:06,
Par zionLa difference, c'est que le password est normalement qqch que seul l'utilisateur connait, tandis que les infos sur la carte sont censee etre toutes publiques (a part le numero de chip).
Non il y a quelques autres infos non publiques, pour ne citer que celles ci:
-le numéro de carte (que tu as cité)
-le numéro du chip (<> de la carte)
-la date de début et de fin validité (difficile de la deviner aussi sans avoir vu la carte)
Si tu fais des combinaisons de ces champs, et d'autres considérés publics, c'est déjà plus difficile à avoir sans au minimum avoir eut ta carte d'identité en main.
rfr> Tu sembles oublier un principe de base. Une sécurité doit être proportionnelle aux informations que tu veux protéger. Hors ici, même si il a accès à ton compte, à part de lire un privé à toi et pouvoir poster en ton nom, quel est ton risque réel? Sincèrement?
Et si cela devait arriver par le plus grand des malheur, en plus on saura qui l'aura fait vu qu'on aura son IP et tu pourras porter plainte.
<troll du mardi>Si une simple clé me suffisait pour être content, j'utiliserais l'OpenId hein </troll du mardi>
Dernière édition: 14/07/2009 @ 14:27:36
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:27:22,
Par gizmoCertes, mais ce n'est pas comme une des autres informations que l'on peut obtenir sans toucher du tout a ta carte. Ici on se rapproche du probleme des cartes magnetiques et des serveurs de resto qui partaient en cuisine avec pour les passer dans le sabot.
Concept vivant.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:32:23,
Par rfrCertes, mais ce n'est pas comme une des autres informations que l'on peut obtenir sans toucher du tout a ta carte. Ici on se rapproche du probleme des cartes magnetiques et des serveurs de resto qui partaient en cuisine avec pour les passer dans le sabot.
C'est la ou je veux en venir ... Il suffit qu'un autre site utilise la "Methode à Zion" pour authentifier ses membres et le concepteur du site pourra profiter du "Friendly Open Zion Single Sign-On".
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:34:04,
Par rfrrfr> Tu sembles oublier un principe de base. Une sécurité doit être proportionnelle aux informations que tu veux protéger. Hors ici, même si il a accès à ton compte, à part de lire un privé à toi et pouvoir poster en ton nom, quel est ton risque réel? Sincèrement?
Je ne l'oublie pas mais ici, au niveau sécurité, l'usage de l'eID que tu fais est carrément moins sécurisé que la protection par mot de passe.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:35:38,
Par zionC'est la ou je veux en venir ... Il suffit qu'un autre site utilise la "Methode à Zion" pour authentifier ses membres et le concepteur du site pourra profiter du "Friendly Open Zion Single Sign-On".
Gné?
Je ne l'oublie pas mais ici, au niveau sécurité, l'usage de l'eID que tu fais est carrément moins sécurisé que la protection par mot de passe.
Donc tu trouves qu'il y a plus de chance qu'un mec ait ta carte d'identité, puisse la mettre dans un lecteur pour pirater ton compte informaticien.be que de simplement deviner ton mot de passe?
T'es sérieux là?
Et pourtant t'utilises la version HTTP et pas HTTPS, ce qui permet à n'importe quel pelé de te piquer ton mot de passe sur le réseau ou chez ton provider. Pourquoi tu pousses pas le vice jusqu'à là au moins?
Dernière édition: 14/07/2009 @ 14:36:51
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:39:24,
Par gizmoDonc tu trouves qu'il y a plus de chance qu'un mec ait ta carte d'identité, puisse la mettre dans un lecteur pour pirater ton compte informaticien.be que de simplement deviner ton mot de passe?
T'es sérieux là?
Du tout. Il suffit qu'un mec se creer une petite applet et un proxy pour qu'il puisse envoyer les infos supposees contenues sur une carte d'identite, et ce, sans aucune carte ni lecteur.
Concept vivant.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:41:05,
Par kortenbergDu tout. Il suffit qu'un mec se creer une petite applet et un proxy pour qu'il puisse envoyer les infos supposees contenues sur une carte d'identite, et ce, sans aucune carte ni lecteur.
Je ne vois pas le problème.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:41:12,
Par rfrGné?
Donc tu trouves qu'il y a plus de chance qu'un mec ait ta carte d'identité, puisse la mettre dans un lecteur pour pirater ton compte informaticien.be que de simplement deviner ton mot de passe?
T'es sérieux là?
Et pourtant t'utilises la version HTTP et pas HTTPS, ce qui permet à n'importe quel pelé de te piquer ton mot de passe sur le réseau ou chez ton provider. Pourquoi tu pousses pas le vice jusqu'à là au moins?
Plus de chance qu'un mec me pique mes infos sur ma CI? Ben c'est clair, vu que c'est "déjà" fait ... Et je défié n'importe quel pelé de sniffé mon mot de passe
Gizmo, par exemple, pourrais-tu sniffé mon mot de passe s'il te plait?
Dernière édition: 14/07/2009 @ 14:43:00
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:44:26,
Par gizmoDans ce cas là, si j'ai bien tout suivi, il sera loggué sur un nouveau compte.
Je ne vois pas le problème.
Je ne vois pas le problème.
Pas s'il rentre les infos d'un compte existant. C'est justement la tout le probleme.
Concept vivant.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:45:36,
Par gizmoPlus de chance qu'un mec me pique mes infos sur ma CI? Ben c'est clair, vu que c'est "déjà" fait ... Et je défié n'importe quel pelé de sniffé mon mot de passe
Gizmo, par exemple, pourrais-tu sniffé mon mot de passe s'il te plait?
Je ne suis pas pelé (et merci la prochaine fois de ne pas utiliser de mot avec accent, mon clavier en etant depourvu. )
Concept vivant.
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:45:40,
Par rfrOu pire encore ... Imaginons un couple, qui se connecte sur informaticien.be, il y en a peut-être
Ils ont chacun un compte personnel ... Ben rien que dans ce cas, il suffit à l'un de prendre la carte de l'autre pendant la nuit et hop, c'est gagné.
Pour le mot de passe, là il faut des compétences techniques ...
Ils ont chacun un compte personnel ... Ben rien que dans ce cas, il suffit à l'un de prendre la carte de l'autre pendant la nuit et hop, c'est gagné.
Pour le mot de passe, là il faut des compétences techniques ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:45:49,
Par zionDans ce cas là, si j'ai bien tout suivi, il sera loggué sur un nouveau compte.
Je ne vois pas le problème.
Je ne vois pas le problème.
Copaing... enfin!
Gizmo, par exemple, pourrais-tu sniffé mon mot de passe s'il te plait?
Tu joues de mauvaise foi, j'ai insisté sur le fait qu'il doit être sur ton réseau, ou chez ton provider. Faut pas croire qu'il n'y a que des gens gentils chez les providers
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:47:36,
Par zionPour le mot de passe, là il faut des compétences techniques ...
Des compétences ultimes comme... de savoir qu'il va utiliser son code PIN comme 99% des gens, ou le nom de leur fille?
Ou d'avoir trouvé un "password sniffer" sur Google en 3s sans rien devoir coder?
Dis rfr, t'es sérieux sérieux dans tout le topic?
Franchement j'espère que non
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:47:39,
Par rfrVoici des informations publiques de ma carte d'identité:
Chip Number: 534C494E336600296CFF28BFB0152E0F
Date de validité: 31.01.2009 - 31.01.2014
C'est plus clair comme ça?
Chip Number: 534C494E336600296CFF28BFB0152E0F
Date de validité: 31.01.2009 - 31.01.2014
C'est plus clair comme ça?
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:48:26,
Par zionPas s'il rentre les infos d'un compte existant. C'est justement la tout le probleme.
Toutes les infos, ce qui implique d'avoir donc touché à la carte.
rfr, sors de Gizmo
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:48:33,
Par rfrDes compétences ultimes comme... de savoir qu'il va utiliser son code PIN comme 99% des gens, ou le nom de leur fille?
Ou d'avoir trouvé un "password sniffer" sur Google en 3s sans rien devoir coder?
Dis rfr, t'es sérieux sérieux dans tout le topic?
Franchement j'espère que non
Ben hyper sérieux oui ... c'est toi qui me fait carrément peur là ...
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:48:57,
Par zionC'est plus clair comme ça?
Pour moi c'est comme si tu publiais ton mot de passe, pourquoi tu viens râler après?
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:51:28,
Par zionSinon, que j'ai dit que "c'était en beta" et que je devais utiliser une signature quelconque mais que je n'y voyais aucune urgence, que je l'ai répété 3 ou 4 fois déjà au moins, on s'en fout aussi?
Et que je ne vois en rien des informations sensibles sur informaticien.be, je l'ai dit aussi assez de fois?
Quel procès d'intention bon sang!
Et que je ne vois en rien des informations sensibles sur informaticien.be, je l'ai dit aussi assez de fois?
Quel procès d'intention bon sang!
Je suis le Roy
2009/03/14 Informaticien adopte l'EID
Publié le 14/07/2009 @ 14:53:15,
Par rfrPour moi c'est comme si tu publiais ton mot de passe, pourquoi tu viens râler après?
Pour moi non ...
Et pour le concepteur de l'eID, ces données n'ont jamais été "privée".
Mon mot de passe lui, il est privé.
Pour te donner un exemple plus parlant, la sécurité que tu proposes est a peu prêt équivalente à celle d'un mot de passe unique qu'on utiliserait sur tous les sites qu'on fréquente.
To die is a time consuming activity, it often takes a lifetime (but some are faster than others ... though)