Les utilisateurs peuvent-ils utiliser un gestionnaire de mots de passe lorsque les banques leur disent de ne jamais écrire de mots de passe?
Prenons l'exemple d'un utilisateur qui souhaite utiliser un gestionnaire de mots de passe pour ses mots de passe bancaires. Les conseils des banques disent généralement qu'ils ne doivent jamais écrire leur mot de passe. L'utilisateur craindrait d'aller à l'encontre de ce conseil, car cela pourrait signifier que sa banque refuserait d'assumer la responsabilité de toute fraude qui pourrait survenir sur son compte.
Alors, peuvent-ils utiliser un gestionnaire de mots de passe? Le stockage du mot de passe chiffré compte-t-il comme l'écriture?
Il s'agit d'une question juridique et politique; Je connais déjà les risques et avantages techniques de l'utilisation d'un gestionnaire de mots de passe. Les réponses peuvent être spécifiques au pays (et même à la banque). Je suis au Royaume-Uni mais je suis intéressé par les réponses de n'importe où dans le monde.
Je suis avocat en Allemagne. Ici, les conditions particulières entre le client et la banque font partie du contrat. Nous parlons donc d'une clause dans ces conditions spéciales interdisant l'utilisation d'un gestionnaire de mots de passe.
Je suis allé sur le site de ma banque, j'ai dessiné les conditions et vraiment, dit-il, le client n'est pas autorisé à stocker le mot de passe sur son PC.
Cette clause interdit donc de stocker mon pw sur le PC. La question est, dois-je vraiment stocker le mot de passe dans le gestionnaire de mots de passe, ou dois-je "stocker" quelque chose comme 23%%4l5ksa0ß90ßv9w6&!? Et est-ce une clause légale?
J'apprécie ta question!
Edit: Comment résoudre le problème? - Comme pai28 demande. Je ne suis même pas sûr que les personnes qui ont rédigé ces conditions soient conscientes des progrès que nous, les utilisateurs, avons réalisés au cours des dernières années. Nous utilisons pw-managers, car une existence en ligne est impossible sans.
La clause doit donc être modifiée: le client n'est pas autorisé à stocker le mot de passe non crypté sur un appareil informatique. Ou quelque chose comme ça.
J'écrirai à l'association de ma banque et demanderai. Si jamais j'obtiens une réponse sérieuse (pas blabla, cher client, nous apprécions beaucoup, mais mucho complicado ...), je ferai rapport sur le résultat.
Finalement ! Le stockage des mots de passe cryptés sera correct (2019!)
En juin 2019, j'ai reçu de nouvelles conditions générales de ma banque et l'une des clauses stipule que le client de la banque (= moi) n'est pas autorisé à stocker les secrets d'authentification non garantis sur mon ordinateur. Donc, stocker des mots de passe, des numéros de transaction, quoi que ce soit à l'aide d'un gestionnaire de mots de passe ou d'un cryptage, c'est enfin ok!
La banque (une "Volksbank" en Allemagne) a la réputation de se soucier du côté client du cryptage. Ils ont même proposé des e-mails chiffrés en gpg, ce que j'ai vraiment apprécié. C'est une banque locale et je ne les échangerai pas contre une banque sur Internet.
Je ne suis pas un juriste, mais un gestionnaire de mots de passe correctement construit stocke les mots de passe à peu près aussi sûrement que n'importe quel système bancaire moderne.
Je ne peux pas parler de la légalité de l'utilisation d'un gestionnaire de mots de passe, mais je peux dire que sur le plan philosophique, partout où un mot de passe fourni personnellement est acceptable comme identification, un mot de passe (correctement construit) de gestionnaire de mots de passe est acceptable.
(Edit: Ajouter un mot de passe à un gestionnaire de mots de passe correctement construit n'est pas équivalent à simplement les écrire.)
Je n'en ai jamais entendu parler, je ne peux donc pas dire avec certitude, mais je suppose que la prémisse d'origine est défectueuse: je ne pense pas qu'une banque aurait une politique stipulant qu'elle n'assurera pas votre compte contre la fraude si vous stockez votre mot de passe quelque part en dehors de votre propre tête. L'application de cette règle exigerait que les mots de passe soient faciles à retenir et, par conséquent, faciles à deviner. Les mots de passe les plus sécurisés sont de longues chaînes de caractères aléatoires, que la plupart des humains devraient écrire ou stocker quelque part. La banque peut vous "conseiller" de ne pas écrire votre mot de passe sur un morceau de papier là où les autres peuvent le voir, mais vous demander de ne pas l'enregistrer n'importe où réduirait la sécurité et ne l'améliorerait pas. Bien sûr, je devrais lire les conditions particulières de la banque pour en être sûr.
En outre, il semble inutile pour une banque d'avoir une règle comme celle-ci, car vous pourriez toujours mentir et dire que vous ne l'avez stockée nulle part. Ce serait une règle presque inapplicable.
Edit: malgré ce que je pense, voici une banque qui a la règle à laquelle vous faites référence, bien qu'elle soit quelque peu vague: http://www.amp.com.au/accountacessandoperatingconditions (Voir page 7) . En bref: les "aides à la mémoire" sont autorisées mais vous devez prendre des mesures "raisonnables" pour vous assurer qu'elles ne sont pas compromises. J'interpréterais cela comme signifiant qu'un gestionnaire de mots de passe crypté est plus que suffisant.
Eh bien, le but de ce conseil est plutôt de ne pas mettre votre mot de passe n'importe où. Comme indiqué autrement, il s'agit d'une déclaration légale destinée à couvrir les fesses de la banque en cas de vol du mot de passe.
Dans le sens d'un gestionnaire de mots de passe, ce n'est rien de plus que d'écrire votre mot de passe dans un livre et de le stocker dans un coffre-fort.
Si quelqu'un devait trouver la clé de votre coffre-fort, l'ouvrir, trouver votre mot de passe dans le livre et l'utiliser pour vider votre compte bancaire, alors la banque ne pourrait pas être tenue responsable à ce moment-là parce que c'était de votre faute de l'avoir disponible .
Dans le même sens, votre gestionnaire de mots de passe est le coffre-fort. Dans le cas où quelqu'un parvient à violer la sécurité de votre gestionnaire de mots de passe, toute information pouvant être obtenue par ce gestionnaire de mots de passe reste la responsabilité de la personne qui y a mis les informations .
tl; dr: Je dois dire non, au sens juridique, peu importe le type de protection superstitieuse que vous utilisez, vous avez toujours écrit votre mot de passe de telle manière que il peut être récupéré.
Le stockage du mot de passe dans un gestionnaire de mots de passe décent est probablement plus sûr que la méthode utilisée par la plupart des personnes respectant la politique.
Il se peut qu'un gestionnaire de mots de passe typique viole le mot de la stratégie, mais probablement pas l'esprit de la stratégie, car le gestionnaire de mots de passe est plus sécurisé. Ce que cela implique dans un cas concret est une question pour un avocat - pas un expert en sécurité.
Le stockage d'une version chiffrée du mot de passe est le moyen le plus évident d'implémenter un gestionnaire de mots de passe, mais ce n'est pas le seul. Un gestionnaire de mots de passe ne doit pas nécessairement stocker le mot de passe.
Un gestionnaire de mots de passe peut générer des mots de passe sur la base des entrées suivantes:
- Mot de passe maître
- Nom du site auquel le mot de passe est destiné
- Quel mois le mot de passe a-t-il été généré
- Quelle est la politique de mot de passe du site
Si vous alimentez tout ce qui précède en tant que graine vers un PRNG et que vous l'utilisez pour générer un mot de passe uniformément aléatoire parmi tous les mots de passe autorisés par la politique, alors le mot de passe doit être tout aussi sécurisé. Le seules les informations dont vous avez besoin pour stocker sont lorsque le mot de passe a été créé, plus certaines informations qui ne sont pas secrètes.
Le véritable objectif d'une telle approche serait d'éviter de perdre des mots de passe en raison du manque de sauvegardes. Mais comme effet secondaire, cela contournerait les politiques qui ne permettent pas de stocker le mot de passe.
C'est une technicité, mais, lorsque je tape mon mot de passe sur un site Web, le navigateur est "capable" d'être un gestionnaire de mots de passe. Par conséquent, s'ils vous demandent de ne jamais écrire votre mot de passe et d'inclure un gestionnaire de mots de passe, entrer dans un navigateur serait une violation des conditions. Maintenant qu'ils vous obligent à utiliser le "site Web" dont le principal moyen d'accès est un navigateur, ils vous forcent à rompre les conditions d'utilisation.
À ce stade, il devient vraiment question de savoir s'ils vous obligent à utiliser un gestionnaire de mots de passe, peuvent-ils dire que vous avez violé les conditions d'utilisation?
aussi, juste parce que quelque chose est dans les conditions de service, ne signifie pas qu'il peut être maintenu s'il n'est pas raisonnable voir ici et ici
Dans de nombreux cas, il ne s'agit pas de conseils, les banques stipulent dans leurs conditions générales que les utilisateurs n'écrivent pas leurs mots de passe, ne les divulguent d'aucune manière ou ne perdent aucune protection de crédit et de paiement. Admettre l'utilisation d'un gestionnaire de mots de passe serait donc une mauvaise idée car les banques pourraient l'utiliser comme excuse pour ne pas aider.
Les gens peuvent-ils toujours utiliser des gestionnaires de mots de passe? Bien sûr, tant qu'ils se souviennent de ne pas le mentionner si le pire arrive. Le fait est que la plupart des gens n'ont qu'une seule banque, donc un seul mot de passe - pourquoi auraient-ils besoin d'un gestionnaire de mots de passe pour cela?
Les banques déconseillent de noter votre mot de passe car cela le rendrait accessible à tous ceux qui sont en mesure de mettre la main sur n'importe quel cahier/papier/note que vous avez utilisé pour l'écrire et capable de lire. Par analogie, l'utilisation du gestionnaire de mots de passe rendrait le mot de passe accessible à toute personne capable d'utiliser la machine avec le gestionnaire de mots de passe et de savoir comment l'utiliser (ce que j'appellerais une compétence aussi accessible que la lecture).
Devriez-vous utiliser le gestionnaire de mots de passe et à quel point il est sûr? Eh bien, cela vient principalement de votre culture personnelle de régulation de l'accès à votre ordinateur et de la sécurité globale du système. Si vous ne permettez pas à des étrangers d'utiliser votre machine, d'avoir un mot de passe de compte d'utilisateur et un mot de passe principal pour le gestionnaire de mots de passe, je ne vois aucun problème à utiliser le gestionnaire de mots de passe. Il n'est pas plus sûr de mémoriser votre mot de passe par tous les moyens, mais au cas où un accès non autorisé à votre compte se produirait à cause de quelqu'un profitant du gestionnaire de mots de passe la plupart des banques (ou au moins celles avec lesquelles je travaillais) ne se contenterait pas blâmer sur vous et aiderait à récupérer les dommages surtout si vous pouviez prouver que votre mot de passe n'était pas facilement accessible et que vous avez fait le minimum de précautions requis.
D'après mon expérience, aux États-Unis, les banques n'acceptent que peu ou pas de responsabilité pour la fraude résultant d'un mot de passe volé. Il est généralement juste dans les conditions d'utilisation que vous êtes responsable de toute personne accédant à votre compte en utilisant vos informations d'identification. C'est pourquoi ils vous conseillent de ne pas les écrire. Ils peuvent vous aider selon les circonstances, mais je suis sûr qu'ils n'ont aucune obligation de le faire.
Cela étant dit, j'utilise un outil de stockage de mot de passe (1Password) tout le temps et je suis assez satisfait du niveau de sécurité qu'il me fournit pour assurer la sécurité de mes 800+ mots de passe. (Évidemment, ce ne sont pas tous des mots de passe bancaires ... ;-) Il conserve également chaque entrée dans son propre fichier pour une synchronisation facile/rapide avec Dropbox ou des services de partage de cloud similaires.
La seule protection que les banques garantissent généralement est la fraude par carte de crédit (ou le vol pur et simple, bien sûr, comme dans un hold-up bancaire).