Reprise du message précédent :
Redface is red, je te fais marcher...

Même avec un cambriolage j'imagine que ta clé requiert un code ou une empreinte, comme la mienne, donc à part une catnat dans laquelle tu oublierai la clé chez toi, le risque est bien faible on est d'accord

Je suis d'accord là-dessus, l'OTP est drôlement pertinent    

Et ça c'est quand même drôlement bien pratique    
Par contre ce n'est pas tellement bien pris en compte pour valider des opérations, juste pour se logger au site...    

Exactement    

RSA SecurID? C'est juste un OTP...
Ou parlais-tu d'autre chose? De toutes les façons se trimballer avec un bidule physique de plus, c'est trop pénible, donc: non par pitié  

 
Ça serait compatible DSP2 ? J'avais cru comprendre que non car il faudrait que ça puisse afficher l'objet/destinataire du paiement

Le TOTP c'est pas toujours terrible en terme d'expérience utilisateur (certains gestionnaires de mots de passe font du bon boulot mais pas tous) et c'est fondamentalement dangereux car ça n'empêche pas les boulets de rentrer le code sur un site de phishing.
 
Passkeys et FIDO2 >> tout le reste.

J'ai lu ça aussi, pour moi y'avait surtout notion d'élément de possession, de connaissance et d'un autre truc que j'ai mangé pour faire 3 critères mais peut être que l'affichage obligatoire c'est pour la prochaine norme?
Dans tous les cas ça me paraîtrait bien dangereux de pas l'avoir, déjà que les gens valident des trucs avec le magasin affiché "parce que c'est pour bloquer en fait tkt frer" alors si t'as même plus d'intitulé ça va être la foire à la saucisse...

Ça n'est même pas du tout pris en compte, c'est marqué sur la page des clés enrôlées, c'est bien dommage oui...

C'est clair... J'avais acheté la clé Fido que j'ai pour me dire que j'aurai des 2FA plus solides, au final je m'en sers pas, j'ai juste activé les clés Google/Windows partout comme un bon GAFAMaddict beaucoup trop chiant de se trimballer la clé... Dans la poche tu changes de froc/veste = c'est mort, dans la pochette de l'ordi t'en as besoin sur le smartphone = c'est mort, le porte clé je l'ai justement vidé au max pour passer le tout sur un keysmart c'est pas pour ajouter un truc qui fait la moitié de sa taille à lui seul...

 
Perso j'ai ça comme clef : https://www.token2.com/shop/product [...] entication
 
Une tout le temps branché sur le PC perso, une autre tout le temps branché sur le PC sur boulot et une autre dans ma veste (jamais utilisé celle là au final).
C'est super pratique, le bouton physique fait empreinte digitale donc rien à taper comme pin, juste à mettre le doigt !
 
Bon faudrait que les sites se mettent à l'utiliser parce qu'à part Bourso et Github...

Nan mais juste pour les rares vieux qui n'ont pas de smartphone.  
 
Mais j'en doute, ça sera surement fait par les banques en dur, parce que c'est leur coeur de clientèle. Mais les bel vont juste rien faire.

Les BED ont déjà leurs systèmes...
Digipass au CM, l'équivalent avec la carte bancaire à la BP à l'époque, etc...

Ouais après s'il en faut 3 pour faire la même chose que mon smartphone, et sur le peu de site où ça marche effectivement, comment dire...

Vu qu'ils ont déjà du mal à accepter les simples justificatifs de domicile filigranés sur le site gouvernemental, je te laisse imaginer leur position sur le justificatif d'identité à usage unique…    
C'est pas comme si les fuites de données ne surgissaient pas de partout, y compris depuis des sites institutionnels.
 

Tout est sur leurs sites, Bourso devrait répondre à tes attentes.
 
Sauf si cela a changé récemment (ça va, ça vient, mais là ça fait longtemps que c'est bloqué à 24/48h), Fortu ne permet aucun virement avant 24 ou 48 heures puis ce sont les plafonds absurdes habituels.

• De 10 000 € par opération
• Dans la limite de 15 000 € par semaine, dont 6000 € par jour maximum en virement instantané.
• De 5 opérations par jour.
• De 20 opérations par mois.

J'imagine que Wero passe au travers du délai de 24/48 heures mais c'est plafonné à 300 € ET plafonds de virements.
 
Les plafonds des virements instantanés Bourso sont de :

• 30 000 € par jour tous comptes confondus,
• 1 500 € si le RIB du bénéficiaire a été récemment ajouté.

J'ignore ce qu'est la notion officielle de récemment ajouté pour Bourso.
L'an dernier je me souviens avoir enregistré un RIB de syndic sans jamais l'utiliser pendant quelques mois. Lorsque j'ai voulu le faire, j'ai été bloqué en instantané comme si c'était un nouveau RIB.
Je crois que ça s'est débloqué après le premier virement, classique du coup pour moi car à l'époque la plafond des instantanés était de 500 €.
 
Et sinon le plafond des virements classiques est de 15 000 € / jour par défaut, modifiable à tout moment et sans condition.

 
Le but c'est de pas avoir besoin d'un smartphone potentiellement.
Mais bon, vu que personne fait l'effort, il faut le smartphone.

 
Je rebondis sur ton message chez Bourso concernant la limite de virement instantané de 1500€ pour les ajouts récents
 
Je suis chez Bourso en compte principal. J'ai ouvert un compte chez Saxo en janvier. Je l'ai ajouté dans mes bénéficiaires chez Bourso le 29/01 et j'ai fait un virement instantané de 150€.
 
Hier, soit le 11/02, je voulais faire un virement instantané de 1600€ vers Saxo, impossible, il passait en classique. Je les ai appelé pour demander pourquoi toujours une limite près de 15j après, ils sont restés évasifs en me disant que ça pouvait prendre jusqu'à 15j pour la validation définitive et la levée de limite pour un nouveau bénéficiaire.
Je trouve que ça fait long la blague.    

J'ai bien compris, mais à 110 balles l'investissement... Y'en a combien d'autres des investissements comme ça pour s'en passer?

Un peu tôt pour que les instructions de contournement soient remontées aux conseillers de premier niveau.
Si tu les appelle aujourd'hui, ils ne sauront pas.
 
Deux mois c'est peu pour nous, mais beaucoup pour la remontée des instructions aux conseillers.
Le moment venu, de nombreuses personnes auront des problèmes (ne veut pas installer l'application, téléphone non compatible, erreurs diverses, etc.), donc à ce moment-là les instructions officielles seront rapidement établies et partagées aux conseillers.  

Ce qui est surtout pénible c'est qu'ils ne savent jamais quoi répondre.
Si encore on savait, on pourrait attendre, mais non.

Parce que ne pas savoir est aussi une sécurité. Toutes les infos sur les délais de validation qu'on avait en internes étaient toujours en off, et jamais parfaitement valides, c'est bien l'idée justement...

Les banques ont tort par définition. Si y'a des procédures de sécurité, ça chouine. Et dès qu'il y a fraude, faut que la banque rembourse sinon ça chouine.

As tu envisagé la possibilité que ça sert aussi à se débarrasser sans bruit de ce genre de clients « non interessants » pour la banque.   Les non technophiles (les vieux quoi) ben bon voyage….sans le dire clairement

Je connais bien des vieux de 80 ou 90 ans avec sur iphone hein....

Aucun problème pour qu'un établissement bancaire se protège.
Ici on parle d'un délai dont on sait qu'il est de 15 jours, il suffit de faire le test soi même et je suis sur qu'aujourd'hui ou demain, xela2reims pourra tester un virement instantané à 1 600 €.
Ce n'est quand même pas bien compliqué de le dire hein.
Parce que bon, le fraudeur il aura déjà bien eu le temps de faire 15 fois 1 600 € avant le 16e et si la victime ne s'en aperçoit pas, comment dire…
Si au bout de 15 jours après un virement de 1 € la victime ne s'est pas non plus aperçue qu'un nouveau RIB a été enregistré, pas sûr que ca change le 16e jour pour 30 k€.
 
C'est comme cette absurdité de plus en plus répandue de bloquer les captures d'écran, ca gène qui à part le titulaire du smartphone ?
Un fraudeur saura qu'il suffit de prendre une photo de l'écran.
Au moins chez certains établissements c'est en option.

Non. Les "vieux", maîtrisant un minimum l'informatique puisqu'ils sont sur Bourso, ont de l'argent et représentent une clientèle intéressante.
S'en débarasser, comme l'a fait BforBank (un peu sans le vouloir), c'est se priver d'une clientèle patrimoniale rentable pour la banque.

Pour info, j'ai pu ajouter mon bénéficiaire et faire un virement immédiat de 500€ avec Bourso. En 1 minute l'affaire était pliée. Ce qui a pris le plus de temps au final c'est de passer les messages d'avertissement contre la fraude

https://www.franceinfo.fr/faits-div [...] r=CS2-765-

J'ai 40 ans et je bosse dans la tech et les services "app only" ça me casse les couilles sévère. Pas besoin d'être si vieux.  

Refuser les smartphones et les app aujourd'hui c'est pas un peu comme refuser l'électricité en 1950 ? Inéluctable qu'on veuille ou non et juste se priver des avantages en attendant... Moi je le vois comme ça.

C'est un peu plus subtil que ça.
Non seulement il te faut un smartphone mais il peut pas être rooté ni avec un OS pas homologué ou trop ancien et il doit être chargé, pas en panne et sur toi.
C'est un peu une contrainte qu'il serait facile d'éviter typiquement avec du TOTP standard.

Je connais même des collègues qui n'ont que leur smartphone pro. C'est pas pratique d'être obligé de dépendre du tel de ton boulot pour ta banque par ex.

 
Ben tiens j'allais poser la question, car j'ai reçu une carte CE (pret immo donc retour en BED), et à ma grande surprise j'ai le logo CB. Elle n'est pas embossée par contre, faut pas trop en demander

Et de nouveau le TOTP ne répond pas aux critères de sécurité modernes.
 
Les Passkeys fonctionnent avec des OS dégooglés et dans le pire des cas une clé Fido2 coûte moins de 20 balles.
Y a techniquement rien qui empêcherait une solution purement web, d'ailleurs il y a des contributeurs au W3C qui y ont réfléchi:
https://github.com/w3c/secure-payment-confirmation
 
Mais la plupart des banques en ligne vont pas s'emmerder à développer et maintenir une solution alternative pour une portion absolument anecdotique de leur clientèle.

Voilà.
 
C'est du massmarket, basé sur la minimisation des coûts, pour avoir une facturation nulle. Pas possible d'avoir ça, et du service sur mesure pour 3 geeks, faut choisir

Sisi, en payant pour effectivement mais c'est pas dans l'air du temps

Utiliser un smartphone là où ce n’est pas nécessaire c’est plutôt comme vouloir absolument vendre une tourniquette pour faire la vinaigrette, un bel aérateur pour bouffer les odeurs, des draps qui chauffent, un pistolet à gaufres, un chauffe-savates, un canon à patates, un éventre-tomates un écorche-poulet… en 1950.
“Ça fait moderne !”

Bonjour à tous,
Je ne trouve pas d'infos sur les internets, en 2026, on ne peut toujours pas faire de retrait de cash sur un DAB avec son smartphone (et sans la CB) ?

Ca sera forcément dans ta banque uniquement, mais si, il me semble que ça fonctionnait aux DAB CM/CIC

Les passkeys physique c'est très bien mais le TOTP c'est plus safe que le SMS et c'est vraiment moins safe qu'une app maison ? ça me semble pas évident.
 
Le point c'est un peu comme le wifi : le protocole permet de mettre le mdp à la connection et d'avoir même un système login/mdp. Bilan : pour plein de raisons (avoir les mails pour des raisons régales, montrer un logo etc.) on a souvent une page web à la place ce qui est un peu chiant. C'est un peu pareil là : on réinvente la roue.

ça pourrait être une feature de l'offre chère de Bourso tiens

En banques physiques ça existe, ça s’appelle retrait SMS.

Rien à voir? Le retrait SMS faut le déclencher dans l'app (encore ), alors qu'avec un lecteur de sans contact sur le DAB tu peux tout faire juste avec la CB sur le téléphone
Edit : mybad, il a juste dit "avec son smartphone", j'ai lu "avec la CB sur son smartphone" ta propal marche aussi dans ce cas

Ça me ferait bien marrer, alors que le CM a été contraint d'offrir aux clients le digipass pour ceux qui ne voulaient pas de l'App...

Impossible d'empêcher le phishing avec du TOTP, de connaître quel appareil est utilisé pour le transmettre, ou forcer la protection par biométrie.
 
Une passkey n'est utilisable que sur un seul domaine, liée à un seul terminal si configurée de la sorte, et protégée par un PIN ou biométrie.

Ouverture de BoursoVie pour la belle mère qui a reçu un chèque de 500K.
 
Compte BoursoBank de mois de 3 mois.
 
Versement de 120K à l'ouverture de l'assurance vie le 25 janvier dernier.
 
Il ne s'est rien passé depuis, l'argent n'est pas prélevé.
 
Faut-il patienter encore ?

Alerte