Saisir ses mots de passe en image

cho7 · Août 12, 2010, 4:44

Bonjour,

en attendant ma confirmation lastminute, je vous soumet cette petite démo que j’ai refais pour la gloire (et parce que je ne retrouve plus le site original que j’avais vu à l’époque et dont je me suis fortement inspiré !)

Le principe est simple : plutôt que de saisir votre mot de passe via des lettres, vous le saisissez en cliquant sur des zones de l’image.

Le mot de passe peut avoir autant de clic que voulu, il suffit de cliquer sur Set new password et de cliquer plusieurs fois sur l’image. Vous cliquez ensuite sur Finish et votre password est enregistré.

Vous pouvez désormais tester votre password en cliquant n’importe où sur l’image, et si à un moment vous cliquez sur vos n clics sauvegardés (dans l’ordre et sans clics raté entre deux) alors le mot de passe est validé.

Bien sûr il y a une tolérance (réglable) pour que le résultat soit optimal et utilisable par le commun des mortels (c’est dur de viser au pixel près )

Après on peut imaginer une limite de clics pour bloquer la personne (genre 30 clics)

Voilà, c’était juste pour vous présenter cette nouvelle manière de saisir ses mots de passe qui en plus d’être originale présente quelques avantages sur la saisie classique (en terme de lutte contre les keylogger notamment)

c’est par ici : Image map password

tt-e261d146c4155aa0aca256a1e4aba122 · Août 13, 2010, 7:39

en même temps on peut chopper les évènements de la souris (positionnement et clics), non ?

lilian · Août 13, 2010, 8:52

le poney dit:en même temps on peut chopper les évènements de la souris (positionnement et clics), non ?

Oui mais c'est plus compliqué qu'un keylogger.

Ce système est quand même adopté maintenant par l'accès des banques en ligne : Axa banque, Société Générale, ING Directe pour celles que je connais.

tt-4b1c6cc07a0d4ecc3c20123b4ddf4e74 · Août 13, 2010, 8:52

cho7 dit:Le principe est simple : plutôt que de saisir votre mot de passe via des lettres, vous le saisissez en cliquant sur des zones de l'image.

Ma banque utilise ce même principe pour les codes secrets, avec une image aléatoire de 12 cases dans lesquelles seules 10 cases chiffres sont positionnées aléatoirement (le tout n'étant qu'une image et pas des boutons).

Il y a évidemment beaucoup moins de possibilités qu'avec ton principe (c'est très amusant) et cela reste plus grossier (vu la taille des boutons), mais la base est la même.

tt-3b8c29410f5a9378d5e99552f4b52e32 · Août 13, 2010, 10:45

Rody dit:Ma banque utilise ce même principe pour les codes secrets, avec une image aléatoire de 12 cases dans lesquelles seules 10 cases chiffres sont positionnées aléatoirement (le tout n'étant qu'une image et pas des boutons).

25 ! Ma banque à moi elle est plusse mieux !

tt-4b1c6cc07a0d4ecc3c20123b4ddf4e74 · Août 13, 2010, 10:48

Triz dit:25 ! Ma banque à moi elle est plusse mieux !

Certes, mais elle est... comment dire... heu... verte !
Non mais !

tt-4a9242c489192426d772b6a51e5cacf5 · Août 13, 2010, 11:49

C’est vachement précis, quand même, hein (même si on peut régler le degré de précision). Bonne idée, je trouve. Je ne savais pas que les banques étaient déjà équipées de ce principe.

Sur ton image, va te rappeler que ton mot de passe c’est "phare gauche de la voiture de droite/coin bas du L de LG/le truc que la fille au premier plan a dans la main/… mais c’est bien pensé, en tout cas.

cho7 · Août 13, 2010, 4:24

le poney dit:en même temps on peut chopper les évènements de la souris (positionnement et clics), non ?

C'est un peu plus suck car tu dois alors connaître la résolution d'écran de la victime et surtout la position de l'image dans cet ecran, qui peut varier si le browser n'est pas en plein écran.

Sinon, l'idée n'est pas de moi, j'ai fais que la démo

cho7 · Août 13, 2010, 4:35

-- s e b dit:C'est vachement précis, quand même, hein (même si on peut régler le degré de précision). Bonne idée, je trouve. Je ne savais pas que les banques étaient déjà équipées de ce principe.
Sur ton image, va te rappeler que ton mot de passe c'est "phare gauche de la voiture de droite/coin bas du L de LG/le truc que la fille au premier plan a dans la main/... mais c'est bien pensé, en tout cas.

Mais tu n'est pas obligé de faire 20 clics non plus

Même pour les points chauds de l'image qu'on peut deviner, rien ne t'empeche de faire des double-clics par exemple, pour complexifier ton "clics de passe" a moindre cout.

Double clic sur l'oeil de lg et sur les yeux du roi lion c'est deja costaud a trouver car on ne sait pas ce qu'on cherche ni dans quel ordre le faire (alors que les mots de passe classique des gens qui se prennent pas la tête sont generalement dans le dico ou leur année de naissance)

tt-e261d146c4155aa0aca256a1e4aba122 · Août 13, 2010, 4:43

cho7 dit:
le poney dit:en même temps on peut chopper les évènements de la souris (positionnement et clics), non ?

C'est un peu plus suck car tu dois alors connaître la résolution d'écran de la victime et surtout la position de l'image dans cet ecran, qui peut varier si le browser n'est pas en plein écran.
Sinon, l'idée n'est pas de moi, j'ai fais que la démo

la résolution je crois que ce n'est pas trop complexe, par contre la position de l'image, c'est effectivement, c'est plus chaud (7

)

La démo est en tous cas parfaitement représentative... je vais en parler à mon boulot, ça pourrait être utile.
Merci !

tt-27ae078118f5c87f65d82f7ab66ffee0 · Août 13, 2010, 4:52

et pour les sites qui ont vocation à etre accédés à partir d’un desktop ou d’un smartphone indifféremment? pour les smartphone, ça va etre coton de cliquer avec son gros doigt là où il faut… et on va pas mettre une image pour les mobiles et une image pour les desktop, ça équivaudrait à mettre deux mots de passe différents selon le terminal

sinon c’est vrai que c’est joli