X_Cli ⏚

Première connexion à Hello Bank... Ça part mal.

BORDEL.

Le SMS n'est PAS de l'authentification FORTE.

Déja parce que l'authentification forte implique de la cryptographie.
Mais admettons la définition du code monétaire et financier qui dit que "authentification forte == multiples facteurs d'authentification" (et c'est du coup gonflé de dire que le SMS c'est "fort" parce que c'est vulnérable depuis sa création, c'est irrémédiablement pété et c'est activement exploité)...

Admettons !

Le mot de passe initial A LUI AUSSI été envoyé dans un PUTAIN de SMS ! Il est où ton PUTAIN de caractère MULTIPLE ?!

Et c'est pas fini... Un LIEN à cliquer dans un SMS ! What could go wrong?

Amateur·rices, putain. Les banques, c'est vraiment les pires.

#HelloBank #CiaoBank #infosec #security #theater #DSP2

Feb 27 at 8:31amWeb
Show threadBohwaZFeb 27

@x_cli
Et le login avec un code a 6 chiffres au lieu d'un mot de passe de 20 caractères...

Après je préfère 100 fois le SMS que d'être obligé d'installer une app a la con.

Show threadX_Cli ⏚Feb 27
@bohwaz
L'app à la con a l'opportunité de stocker une clé crypto dans la secure enclave, et donc de faire une vraie authent multifacteur forte... mais c'est pas CiaoBank qui va implémenter ça...
Show threadBohwaZFeb 27
@x_cli
Oui mais ne fonctionne pas sur telephone non google donc du coup tu n'as plus accès à ta banque... Mais ça serait bien d'avoir le choix au moins.
Show threadX_Cli ⏚Feb 27
@bohwaz
En vrai, ce qu'on veut, c'est du FIDO2 et basta... portable, standard, et intégrable
Show threadBohwaZFeb 27
@x_cli Oh oui. Si seulement :'( En plus ça éviterait à chaque banque de réinventer la roue… Mais bon l'appli permet de siphonner des données personnelles…
Show threadPadaFeb 28
@bohwaz
Le problème c'est que l'authentification par sms c'est le nouveau truc des boites pour t'obliger à leur filer ton numéro de téléphone...
Dernier en date : tiime, logiciel pour la compta...
@x_cli
Show threadX_Cli ⏚Feb 28
@pada
C'est un détournement d'usage et ça mérite une plainte à la CNIL en violation du RGPD.
@bohwaz
Show threadαxel simon ↙︎↙︎↙︎Feb 27

@x_cli Oui, c'est incroyable à quel point c'est nul niveau sécurité. Dans le genre, le CCF impose un « mot de passe » de 8 chiffres. Oui oui, 8 chiffres, ni plus, ni moins, rien d'autre.

Entre l'ignorance des conseillers, leur mépris des retours sur les questions des sécurité, les choix ouvertement en opposition aux standards, c'est lamentable.

Show threadX_Cli ⏚Feb 27
@axx
Avec CiaoBank, c'est 6 chiffres 😆
Mais en vrai, l'entropie du mot de passe/PIN est toujours à mettre en regard de la politique de verrouillage du compte en cas d'essais infructueux.
4 chiffres sur une carte bleue, ça ne choque personne ou presque parce qu'en trois tentatives, c'est terminé.
Show threadαxel simon ↙︎↙︎↙︎Feb 28
@x_cli Oui, on est d'accord. Mais ça ne présage rien de bon côté serveur, je trouve.