X_Cli ⏚Feb 27

Première connexion à Hello Bank... Ça part mal.

BORDEL.

Le SMS n'est PAS de l'authentification FORTE.

Déja parce que l'authentification forte implique de la cryptographie.
Mais admettons la définition du code monétaire et financier qui dit que "authentification forte == multiples facteurs d'authentification" (et c'est du coup gonflé de dire que le SMS c'est "fort" parce que c'est vulnérable depuis sa création, c'est irrémédiablement pété et c'est activement exploité)...

Admettons !

Le mot de passe initial A LUI AUSSI été envoyé dans un PUTAIN de SMS ! Il est où ton PUTAIN de caractère MULTIPLE ?!

Et c'est pas fini... Un LIEN à cliquer dans un SMS ! What could go wrong?

Amateur·rices, putain. Les banques, c'est vraiment les pires.

#HelloBank #CiaoBank #infosec #security #theater #DSP2

Show threadαxel simon ↙︎↙︎↙︎Feb 27

@x_cli Oui, c'est incroyable à quel point c'est nul niveau sécurité. Dans le genre, le CCF impose un « mot de passe » de 8 chiffres. Oui oui, 8 chiffres, ni plus, ni moins, rien d'autre.

Entre l'ignorance des conseillers, leur mépris des retours sur les questions des sécurité, les choix ouvertement en opposition aux standards, c'est lamentable.

Show threadX_Cli ⏚
@axx
Avec CiaoBank, c'est 6 chiffres 😆
Mais en vrai, l'entropie du mot de passe/PIN est toujours à mettre en regard de la politique de verrouillage du compte en cas d'essais infructueux.
4 chiffres sur une carte bleue, ça ne choque personne ou presque parce qu'en trois tentatives, c'est terminé.
Feb 27 at 11:55amWeb
Show threadαxel simon ↙︎↙︎↙︎Feb 28
@x_cli Oui, on est d'accord. Mais ça ne présage rien de bon côté serveur, je trouve.