Pourquoi devrions-nous empêcher les utilisateurs d'enregistrer leurs mots de passe dans leur gestionnaire de mots de passe?
Je comprends qu'il existe quelques autres contrôles, comme 2FA, pour effectuer des transactions sur de nombreux sites Web de comptes bancaires, alors que seuls les utilisateurs ont besoin d'un nom d'utilisateur et d'un mot de passe pour accéder au compte.
J'ai remarqué que je peux enregistrer mon mot de passe dans mon gestionnaire de mots de passe LastPass tandis que dans mon autre compte bancaire, ils l'ont désactivé d'une manière ou d'une autre. Travaillant pour une société financière moi-même, cela m'a fait envisager de créer ce type de protection: une option de désactivation de l'option permettant aux utilisateurs d'enregistrer leurs mots de passe dans leurs gestionnaires de mots de passe comme LastPass.
Il sera très facile de mettre en œuvre ce type de solution de chiffrement côté client, mais je me demande pourquoi ces banques feraient cette ligne de protection "supplémentaire".
PAS.
Les mots de passe uniques sont l'un des aspects les plus importants de la sécurité des mots de passe, car une violation sur un site différent n'affectera pas les autres sites pour le même utilisateur.
Des mots de passe uniques par site sont presque impossibles sans gestionnaires de mots de passe. De plus, les gestionnaires de mots de passe permettent un mot de passe plus long. Par exemple, la plupart de mes mots de passe sont uniques, à 60 caractères, contenant des caractères spéciaux. C'est façon plus sûr que les mots de passe précédents à dix caractères que j'utilisais précédemment - avec beaucoup de réutilisation de mot de passe.
En bref; votre idée entraînera probablement une sécurité pire. Et cela va sérieusement énerver les utilisateurs soucieux de la sécurité. Au lieu de cela, suivez Directives NIST , et n'essayez pas de contrôler la façon dont les utilisateurs entrent le mot de passe.
De plus, de telles tentatives de contrôle des entrées peuvent nuire aux utilisateurs handicapés. Les lecteurs d'écran et les autres méthodes d'entrée peuvent ne pas bien fonctionner avec les options d'entrée scriptées personnalisées.
Comme l'a dit vidarlo, vous devriez PAS faire cela.
De plus, les sites Web, où les gestionnaires de mots de passe ne fonctionnent pas, ne les désactivent pas en soi, ils désactivent le collage dans les champs de mot de passe.
Habituellement, ils désactivent le collage de copie de mot de passe car ils considèrent que cela affaiblit la sécurité:
- l'utilisateur peut coller un mot de passe qu'il ne connaît pas (non pertinent avec un gestionnaire de mots de passe)
- lors de l'inscription, l'utilisateur pourrait taper le mot de passe dans le premier champ et le coller dans le champ "répéter le mot de passe", les deux champs correspondront mais ne contiendront pas le mot de passe souhaité (non pertinent avec un gestionnaire de mot de passe)
- le presse-papiers pourrait compromettre le mot de passe (virus, accès par une autre personne ...), c'est juste, mais la réutilisation du mot de passe/mot de passe faible est un plus grand risque et est déjà très courant, bien plus que le reniflage du presse-papiers
En plus de conduire à une sécurité plus faible, l'option "de désactiver l'option permettant aux utilisateurs d'enregistrer leurs mots de passe dans leurs gestionnaires de mots de passe" en désactivant la copie/le collage de mots de passe ne fonctionne pas t existent de toute façon.
Pourquoi? Parce que cette "option" s'exécuterait côté client, et côté client, votre utilisateur peut contourner le collage désactivé en:
- ajouter
value="mySecretPassword"au champ de saisie du mot de passe - suppression
onDrop=”false”et/ouonPaste=”false”vous avez peut-être inclus dans le champ de saisie (cependant cela ne suffira pas dans la plupart des cas) - installation de diverses extensions de navigateur
- en utilisant un gestionnaire de mots de passe capable de remplir les champs de mot de passe même si le collage est désactivé (comme Bitwarden)
La plupart des autres réponses disent que les banques ne devraient pas faire cela, ce avec quoi je suis généralement d'accord. Cependant, je vais répondre à la question que vous avez posée: pourquoi certaines banques font-elles cela?
La réponse est simple: de nombreux gestionnaires de mots de passe ont eu des vulnérabilités ou des violations qui fuient les mots de passe. Par exemple, cette faille dans LastPass.
La raison pour laquelle les banques en particulier essaient de mettre un terme à cette situation est qu'elles sont généralement responsables si vous subissez une fraude en ligne. Avec la plupart des autres fournisseurs de services, si vous ne faites pas attention à vos informations de connexion, c'est seulement vous qui souffrez, pas le fournisseur. Mais parce que les banques ont une responsabilité dans de nombreux scénarios, elles ont de bonnes raisons d'empêcher les gens de faire tout ce qu'ils considèrent comme un risque.
Il existe en fait plusieurs raisons plus ou moins crédibles de désactiver la prise en charge des gestionnaires de mots de passe dans une application Web.
Le principal est chaque fois que vous utilisez un mot de passe temporaire (changement forcé, mot de passe à usage unique, TAN, etc.). Vous ne voulez pas que le gestionnaire de mots de passe le stocke.
Il est également possible que vous souhaitiez empêcher le remplissage automatique pour protéger l'utilisateur. Alors qu'en théorie, le gestionnaire de mots de passe sécurise son mot de passe avec une clé principale forte, la plupart des utilisateurs dans le monde réel utilisent une clé principale vide pour plus de commodité.
Le reniflage du presse-papiers et d'autres attaques ont déjà été mentionnés, mais ils dépendent de votre modèle de menace (les enregistreurs de frappe peuvent être un risque plus important que les logiciels malveillants reniflant le presse-papiers).
La désactivation peut viser l'action de copie, pas l'action de collage principalement, le collage étant désactivé comme effet secondaire.