Paypal : porte-clés pour lutter contre le phishing

daddyniki a écrit:
C'est super sécure mais ultra lourd a maintenir !.... j'en sais qqchose...

sentenwaza a écrit:
Technique très usitée dans le domaine pro pour accéder aux VPN (clés RSA par ex.), et assez fiable semble-t-il. Bonne idée, et à un coût que je trouve raisonnable !  :clap:

Basé sur une technologie VeriSign

lutecefalco a écrit:
Comment ça marche ce truc???
Comment les serveurs Paypal connaissent le code généré?

daddyniki a écrit:
EN fait, t'as un soft + licence livré avec le token (nom du boitier).
Ensuite, il faut synchroniser le soft d'authentification et le token, et c parti.
Par contre, 3 erreurs et c bloqué, ca expire au bout de 3 ans, il faut qq1 a temps plein pour gérer les acces.

Alex a écrit:
Rappelons que cette technique, dont le nom est parfois francisé en hameçonnage, consiste à vous attirer sur un site
[note de moi]
- reproduisant
- qui reproduis
[/note de moi]
à l'identique, ou presque, un site que vous fréquentez habituellement, dans le but de vous inciter à y laisser vos informations personnelles.

sokoban a écrit:
Je ne connais ni ne comprends trop le mécanisme, mais déjà, si on peut sécuriser les transactions bancaires pour 5 euros seulement, je vote pour !  :oui:

kwal01 a écrit:
perso avec ma banque il existe un mecanisme qui permet de generer des numero de carte bleu virtuel pour un montant donné, valable 1 mois.
cout : 0,5 € par n°  ou 6€ par ans

principe :
-je vais sur un site ou je veut acheter quelque chose, je constitu mon panier.
-je dit que je veut payer par carte (le meme type que celle que je possede IRL)
-j'ouvre un onglet sur le site de ma banque, je cree cette carte virtuelle, ca me genere un numero + une date de validite + le code a 3 chiffre deriere la CB
-je renseigne les champs sur le site d'achat avec ces infos
-je valide
-c'est bon

avantage :
- le site de la banque est securise par :
  -- https
  -- le code d'access personnel (il faut connaitre le n° du compte + le code)
  -- un utilitaire qui control l'adress ip du serveur pour controler qu'il fait bien partis de ceux reference pour la banque (sinon un bouton rouge apparait)
  -- une carte de code envoyee par la poste de type tableau a 2 dimension demande par le site (le site ne demande jamais plus d'une fois, et jamais les meme code demande), pour eviter le phising

- comme le code n'est valable qu'une fois en 1 mois et validation maxi 24 h apres saisie tres peu de chance de se faire utiliser son code
- dans le cas ou malgres tout quelqu'un recupere le code et l'utilise, il ne peut l'utilise qu'une fois avant la validation (24h max) et pour le montant maxi demander (donc il vide pas le compte)
- si il y a fraude malgres tout, opposition que sur le n° virtuelle donc pas de nouvelle carte et tout les embetements + remboursement de la banque.
je me suis fait avoir 1 fois, avec ce system je suis tranquil

Merriam a écrit:
J'ai un truc comme ça au bureau. Je me suis toujours demandé comment ça se passait quand le boitier et le serveur finissaient par ce désynchroniser (ex : le boitier fini par prendre tellement d'avance qu'il passe à un autre code alors que le serveur est toujours sur le précédent). Vu que ça change toutes les minutes, il suffit d'une quelques secondes de désynchronisation pour planter la transaction non?

daddyniki a écrit:
Ouais, mais tu as ce qu'on appelle le "next code".

G. Abitbol a écrit:
Et c'est quelle banque ?

sentenwaza a écrit:
c'est pas le truc de l'e-carte bleue ?