Normalement, ils sont quand meme bien secure pour qu’en brute force, ca passe pas hein
Pis même, une attaque en brute force sur des mots de passe d’application ça se remarque assez vite. Et il suffit de doubler le temps d’attente entre chaque essaie à partir d’un certain nombre d’échec et t’es protégé pendant un moment…
oui oui, je suis pas inquiet de ce coté la. C’est plutot le risque de récupérer un mot de passe d’application via une appli mal codée (genre pidgin qui stock en clair les mots de passe dans le fichier acconts.xml)
Mais c’est clairement un gros plus.
Apres, si les gens utilisent des softs codés a la pisse qui se foutent eperdument de la securité de leurs users, on peut pas faire grand chose non plus. C’est un peu comme les mecs qui prennent “soleil” comme password, en se disant que c’est secure, c’est pas azerty ni 12345…
D’ou ma question sans reponse pour le moment : y’a quoi comme bon client gtalk gratos ? La derniere fois que j’ai utilsé gtalk, c’etait une grosse grosse merde. Ca a changé ?
Trillian est payant, Miranda, on se croirait revenu en 1994, et pidgin, en dehors de sa gestion à chier des mdp est plutot bon. Mais j’aimerai bien changé pour un client qui crypte les mdp …
Spark, Psi (et trillian est pas payant, enfin, j’ai jamais payé, jamais cracké et il me fait pas chier).
@Ben : j’étais passé complètement à côté du fonctionnement alors, my bad. Comme Google l’avait présenté au début, c’étaient des mdp jetables, ou du moins assignés à une application. Comme quoi, il faut toujours tester les choses pour pas se méprendre : /. Du coup ouais, un keyloger et c’est violable easy comme sécurité (sauf qu’il ne pourra pas accéder à ton compte Gmail , normalement, qui lui demande un SMS, donc libre à toi de révoquer l’accès s’il devient douteux).
ah ? il me semblait. Bon je regarde ceux que tu m’as listé. merci !
Pas de soucis 
Et oui, c’est mieux comme système. Mais pas ideal. Mais bon, c’est maintenant aux applis de mettre en place le système d’authentification à token.
En attendant, j’adopte le 2 step. Ca complique toujours la vie des malintentionnés
Par contre une question : j’ai activé le 2 steps, donc j’ai du rentrer le mot de passe + le code, pas de souci jusque là. En cochant ordinateur fiable, je pensais qu’il mémorisait pendant 30 jours que je n’avais plus besoin du code sur ce pc, or, une déco (FF n’enregistre rien, c’est voulu) et paf, de nouveau code. C’est stocké en local ? Ce n’est pas compatible avec le fait de ne rien enregistrer comme historique ?
[EDIT : je confirme que c’est lié au cookie du navigateur : http://support.google.com/accounts/bin/answer.py?hl=fr&topic=1099586&ctx=topic&answer=2544838 ]
le two step c’est pas un genre de musique ? 
ha ok. En lisant ce topic et en voyant mes propres expériences, à la réflexion même si ce n’est pas inviolable, à moins de se faire chourrer son pc, ça permet que tout essai litigieux en dehors de ses ordis (boulot, chez soi) génère automatiquement un sms. C’est déjà ça. Mais ça ne m’étonne pas que les mots de passe d’applis soient interchangeables malheureusement, mais comme on peut les révoquer. Que ça soit lié aux cookies ne m’étonne pas finalement, car sur un ordi ne m’appartenant pas mais réputé sûr, mais avec une purge violente des cookies il me demande un code sms à chaque fois.
Je n’ai pas encore testé avec un client non android. Thunderbird en imap avec mot de passe généré, ça sms à chaque fois ou pas ? Même question avec mail2web.
Tiens bientôt moins d’avis sur les applications du market.[ul]
[li]Tout bénéf pour les adeptes de spywares puisqu’on sera moins prévenu de cela (ou tout simplement on sera moins mis en garde de bugs)[/li][li]prétexte pour nous forcer à nous inscrire à google+[/li][/ul]
Oui en effet le compte google+ est maintenant obligatoire pour commenter les applis android sur google play pour soit disant éviter les commentaires anonymes. Nan mais genre le prétexte le plus pathétique. En plus autant je peux comprendre en partie que les sites de journaux veulent traquer les trolls, autant je ne comprendrai jamais que l’on affiche ces données pour les forums, avis, et même commentaires pour les journaux. Avoir l’identité, et encore c’est à voir, mais l’afficher n’apportera rien. Si les gens veulent rester anonyme, contrairement à ce que veulent certains députés, c’est aussi en partie à cause du fait que tout le monde ne veut pas passer sur Tf1 à 18h, ne veulent pas être lynché pour un oui ou pour un non, ou tout simplement resté tranquille. Alors que les hommes politiques, ou même les journalistes, ont des relais pour se défendre.
Il se trouve que j’ai un compte FB et pas de compte G+. J’aurai pu avoir un compte G+, je n’ai rien contre, mais pas pour l’afficher en public. Afficher mon nom pour des simples avis d’applis c’est quand même un peu n’importe quoi. Bon j’ai mis mes initiales au cas où dès que G+ est né.
edit: ortho, tournure de phrases
J’ai été aussi très virulent à ce sujet hier. Je trouve ça complètement con et machiavélique. Oh, tiens, deux adjectifs qui décrivent au mieux la politique de Google depuis 2 ans. Donc voilà, comme toi, je ne commenterai plus jamais sur le Google Play et tant pis pour les devs, peut-être qu’ils râleront suffisamment fort quand ils n’auront plus de retour (et de fait, plus de remontée sur le Store, qui établit ses classements grâce à la communauté).
Je ne sais pas pourquoi, mais des fois il a du mal à enregistrer le cookie. De temps en temps, il me réclame le code 2-3 fois de suite, je ne sais pas pourquoi…
Sinon, pour répondre sur les mots de passe applicatifs, l’intérêt c’est qu’en plus d’être unique par application (ce qui permet de savoir la date de dernière utilisation, même si j’aimerais des logs plus poussés) ils sont révocables.
Un doute sur une appli? Un clic et elle n’accède plus à ton compte Google sans que tu aies à changer quoi que ce soit. Dommage que ces mots de passe ne fonctionnent pas pour l’authentification web : certaines apps, surtout celles de Google d’ailleurs (grmbl) grugent et passent par là…