Le Thu, Apr 02, 2015 at 02:00:06AM +0200, Stephane Martin a écrit:
De mémoire, la désactivation du copier/coller est une mesure de protection contre les bots (j'ai pas dit que c'était efficace...)
Mettez une captcha, si c'est juste pour éviter qu'un bot tape à la porte de vos serveurs... Ou encore mieux, au bout de mettons 5 essais foireux, un timer de 60 secondes avant de pouvoir retenter.
Mais laissez-nous gérer des mots de passe complexes ! Là je ne peux absolument pas utiliser "-?p>E4p":"A mP._]nZz3Ha5{]", j'ai mis 'turlute2015' pour être tranquille...
(Surtout avec les nouvelles règles, il semble que je vais devoir me connecter une fois par mois et non plus quatre fois par an, ça non plus ça n'aide pas la simplification).
Le problème de l'absence de règle de complexité sur les mots de passe du portail pro a été identifié et remonté il y a quelques semaines, c'est normalement dans le pipe.
Oui mais ça c'est un problème dans la tête des gens, pas dans la technique. Bloquer le copier/coller, ça me paraît idiot en tant qu'anti-bot, surtout que comme suggéré sur twitter, il suffit d'outrepasser le .js pour pouvoir faire des tentatives, au final ça n'emmerde que les gens qui veulent utiliser un gestionnaire de mots de passe :)
En même temps, comme cela a été dit ailleurs, on a peu de risques de fraude à l'identité sur un téléservice qui permet de payer ses impôts, le mot de passe est essentiellement une mesure de lutte contre la "nuisance" sur internet.
Je n'ai pas forcément envie que les infos qu'on y trouve (déclarations de TVA, d'IS, contenant mon identité, les parts, mes revenus, et l'intégralité du bilan) se retrouvent ailleurs qu'entre mes mains, celles de mon comptable et le fisc. Donc, désolé, mais cet argument là n'est pas du tout recevable. C'est justement un bout d'Internet que j'ai envie de protéger *beaucoup* plus que mon compte Twitter.
Donc, laisser la possibilité de faire du c/c, forcer les mdp forts si vous voulez (mais sans mettre une limite sur les caractères utilisables ou la taille (ou alors bien large, genre 256), et aussi (surtout ?) ajouter la possibilité de faire une validation en deux étapes avec une app quelconque, pour renforcer la sécu. Mais pas interdire le c/c, ça pousse justement les gens à utiliser un mot de passe faible et facilement tapotable, et en plus ça le rend lisible par un keylogger !
Arnaud.