Samedi sécurité : les questions de sécurité
Sur ce fil @Sergitest a fait d'excellentes suggestions concernant les questions de sécurité, et une critique en même temps.
"A une question du genre:
Quel est votre couleur préféré ?
Pour plus sécurité, il ne faut pas répondre une couleur.
Quel est le premier pays où vous avez voyagé
Pour plus sécurité, il ne faut pas répondre un pays existant.
Comment je fais sachant qu'a chaque fois il faut que ca corresponde à question, avec une réponse calculable de tete ." - @Sergitest
Il a raison, c'est aussi ce que je fais, et j'utilise un gestionnaire de mots-de-passe pour stocker les couples Question/Réponse. Mes réponses étant en général lunaires, du genre:
"Votre première voiture?" / "cabossée"
"La rue de votre enfance?" / "rutabaga"
"Le nom de jeune-fille de votre mère" / "mommmannnn"
"Le nom de votre premier animal" / "lecter"
Le NIST aux USA pour ses recommandations de sécurité SP800-63-4 (encore en brouillon) et dans son point 3.1.1.2 (point 8) devrait enfin décommander d'utiliser ce type de question, dont souvent les réponses sont publiques (facebook, insta, etc.) ou connues par de nombreuses personnes.
Et un dernier point sur ces questions de sécurité, elles sont aussi employées par diverses sociétés dont encore des banques (!!!) pour vérifier votre identité au téléphone.
Les réponses sont donc stockées en clair ou déchiffrables, mais surtout affichées pour que la personne à l'autre bout puisse en valider la teneur. Une faille de sécurité inouïe!