Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Page 2 sur 3 PremièrePremière 123 DernièreDernière
Affichage des résultats 31 à 60 sur 61
  1. #31
    Une extension pour browser, dans ma tête ça crie "unsafe", ce qui est probablement exagéré mais je m'en tiendrais à la version desktop/portable (sur clef usb) de mon pass manager.

  2. #32
    C'est ce que je me suis dit aussi en lisant la news

  3. #33
    L'extention fait tout l'interêt du système, plus rien à taper

    Bug corrigé, circulez
    Grand maître du lien affilié

  4. #34
    Citation Envoyé par tompalmer Voir le message
    Bug corrigé, circulez
    Voilà.
    Moi ce que je retient de l'article c'est "The fix was pushed in less than a day" et "this would not work if multi factor authentication was on".

  5. #35
    On note qu'a chaque fois qu'il y a un soucis avec Lastpass, ils communiquent, c'est rassurant.

    L'autre fosi quand ils avaient détectée une intrusion (qui avait finalement loupé). Du coup leur image est pas géniale, mais à tort.
    Grand maître du lien affilié

  6. #36
    Ce chat est une Dauphine Avatar de rotoclap
    Ville
    Aix-les-Bains
    Ce qui n'est pas génial, c'est l'autofill activé par défaut...

  7. #37
    Lastpass était vendue comme une appli d'autofill au début, et après c'est l'aspect sécurité qu'on a du marketer.
    C'était l'époque où les navigateurs le gérait mal.
    Grand maître du lien affilié

  8. #38
    Sinon, quelqu'un a déjà essayé 1password?

  9. #39

  10. #40
    Citation Envoyé par XWolverine Voir le message
    Et une politique de déclinaison de 2 ou 3 mots de passe maîtres, pour ne pas avoir les 3 mêmes partout, mais savoir les retrouver en fonction du contexte (genre sites de commerce FNAC et Amazon, FNmotdepassefort1AC, Amamotdepassefort1zon).
    Ça donne un faux sentiment de sécurité cette méthode, c'est pas très compliqué à craquer (cf hashcat) et réutiliser les mêmes lettres ou le nom du site ça réduit significativement l'entropie, sans parler des sites qui vont refuser ton motdepassefort parce que ça correspond pas à leurs contraintes souvent ridicules de politiques de mot de passe.

    Citation Envoyé par XWolverine Voir le message
    Qu'une étude avait effectivement conclu que les mots de passe forts incompréhensibles étaient moins robustes (et sont en plus moins faciles à mémoriser) qu'une phrase, même constituée de mots communs.
    source ? parce que ça l'air d'être du bolshit dit comme ça. Sans en savoir plus je dirais que soit ton étude comparait un mot de passe court mais complexe à un mot de passe long mais composé de mots courants, soit elle était théorique et n'adressait pas la réalité des méthodes utilisées pour craquer les mots de passe.

    ça fait des années que c'est plus valable cette technique, comme l'explique l'ami schneier, une fois connue les crackers ont mis au point des méthodes pour cracker spécifiquement les mots de passes construit avec cette technique.

    Citation Envoyé par Ashley TOUCRU Voir le message
    Je me souviens d'un article de Canard Hardware où un conseil était donné. Il s'agissait d'utiliser une phrase ayant du sens pour l'utilisateur pour la mémoriser facilement, mais qui n'était pas forcément facile à décrypter pour un logiciel. Ca faisait un truc du genre :Magrandmeredeniseestneeen1921
    Qu'en pensez-vous ?
    Que ça fait beaucoup rire les gens qui ont des cartes ATI et hashcat, et puis quand tu as 2 bajillions de mots de passe, tu es vite à court de grand mères.

    Citation Envoyé par Nicryc Voir le message
    Bonjour,
    Voilà je voulais soulever une question aujourd'hui. Est-ce vraiment bien d'utiliser un gestionnaire de mot de passe ? Parce que tous disent qu'ils protègent notre sécurité en créant des mots de passe différents pour chaque site et beaucoup plus forts. Mais finalement, il suffit de cracker 1 seul mot de passe pour accéder à tous les autres, celui du gestionnaire. Donc au final est-ce vraiment une bonne idée ?
    Merci pour vos réponses.

    Oui un gestionnaire de mot de passe c'est améliorer la sécurité par rapport à réutiliser le même mot de passe ou essayer de les mémoriser. Non ce n'est pas une bonne idée si ton gestionnaire de mot de passe est un service en ligne géré par quelqu'un d'autre.
    En fait en matière de sécurité informatique, il faut commencer par définir un modèle de menace pour ensuite définir ta politique de sécurité, c'est pas pareil selon que tu veuilles te protéger de la surveillance de tes parents ou d'un gouvernement par exemple.

    En matière de mot de passe, éviter de réutiliser le même partout ça te protège si jamais un des sites se fait trouer et que la base des mots de passe se retrouve dans la nature. Utiliser un mot de passe avec une forte entropie protège mieux d'une tentative de crack par un cracker qui fait du crack en masse sur 12 millions de mot de passe, mais ça ne te mets pas à l'abri d'un service d'espionnage qui te cible toi en particulier.

    Intéresse toi aux outils utilisés pour cracker les mots de passe pour te faire une idée, des choses comme hashcat ou sprawl par exemple.

    Généralement utiliser un gestionnaire de mot de passe local qui stocke les mots de passe avec un chiffrement fort, c'est une grosse amélioration par rapport à l'usage courant. Pour ça, pass est un outil que je recommande: génère les mots de passe avec un outil éprouvé (pwgen), stocke en local, chiffre avec ta clé gpg, est multiplateforme (linux, anrdroid, osx, ios, windows, console, git, emacs, extension firefox, freebsd,...), propose des outils de migrations des autres gestionnaires de mot de passe (lastpass, keepass, 1password, roboform, ked, gorilla password, pwsafe, kwallet,...), offre la possibilité de sotcker plus que juste le mot de passe.

  11. #41
    Citation Envoyé par tinadej Voir le message
    [...]
    Je ne te suis pas bien, là.
    Je vais regarder ce que ce hashcat est capable de faire, mais je doute d'un miracle.
    Dans le cas du mot de passe fort mergé avec un contexte, qu'on tente de casser un mot de passe par masque / hash / ..., se créer une règle perso de déclinaison d'un mot de passe fort (je donnais l'exemple du nom de marchand web coupé en 2, c'est volontairement basique mais je ne vais pas non plus dire comment je conçois mes mots de pase, hein ) ne permet d'aider l'algo à craquer que si on a une idée du type de règle perso, sinon, on va vite revenir à du brute force intelligent qui ne va rien donner facilement. Moi j'arriverai peut-être à trouver la bonne ligne de commande pour craquer mes mots de passe, mais un tiers, ça m'étonnerais (évidemment, j'exclue l'expert qui m'en voudrait à moi personnellement).

    Dans le cas du mot de passe fort imbittable versus phrase, c'est opposer le nb de combinaisons. Un mot de passe de 10 caractères parmi 100 possibles (minuscules / majuscules / chiffres / caractères spéciaux, ça fait plutôt 70-80) donne le même nombre de combinaisons que 4 mots à combiner dans un dico de 100 000 entrées. Si on utilise des mots persos (pas dans un dico), plus de 4 dans la phrase, les coller ou pas (et varier le caractère de séparation) on dépasse facilement la robustesse d'un mot de passe dit fort et on s'en souviendra bien plus facilement.

    Edit : Ah merde, t'en parles là :
    Citation Envoyé par tinadej Voir le message
    ça fait des années que c'est plus valable cette technique, comme l'explique l'ami schneier, une fois connue les crackers ont mis au point des méthodes pour cracker spécifiquement les mots de passes construit avec cette technique.
    Bon, je vais lire ...

  12. #42
    Bonjour les Canards !

    Je me posais justement la question de si c'était une bonne idée ou pas d'utiliser un gestionnaire de mot de passe. Que me conseilleriez vous ? J'ai regardé la page de présentation de "pass", qui est évoqué deux posts au dessus, et qui m'a semblé pas vraiment user-friendly... Auriez vous quelque chose plus accessible à me conseiller ?

    Bonne soirée !

    PS : J'ai une offre d'une année gratuite à 1Password, mais bon, c'est quand même pas rien la sécurité informatique, alors je veux pas faire un choix sur un coup de tête ^^
    Canard Pc, pour la vie, et bien plus encore.

  13. #43
    Perso ça fait 2 ans que j'utilise Keepass2, j'ai 40 entrées dessus. Je sécurise juste avec un gros mot de passe généré par keepass que j'ai appris par cœur (16 caractères alphanumériques) avant de le supprimer. J'ai un backup papier dans un coin aussi si jamais.
    Il faut faire attention aux applis avec des features trop user-friendly (auto-remplissage des formulaires web, et tout) car souvent c'est dans ces extensions que se trouvent les failles de sécurité, encore plus si c'est pas géré nativement et que ça passe par des plugins.
    Après pour les différents gestionnaires de mots de passe à toi de faire tes courses, même si payer pour 1Password ne se justifie pas forcément selon ton usage.

  14. #44
    Next inpact avait fait un comparatif des principaux.

    En gros, ils sont tous assez corrects et se départagent sur le prix, Keepass est une alternative libre pour barbu mais est plus chiant à utiliser (pas d'autocomplete comme dit plus haut, et encore moins sur mobile (taper un mot de passe abscon généré de + de 15 caractères sur un petit clavier mal agencé rencontre vite ses limites). On peut faire des copiers coller mais c'est relou.
    Lastpass le fait sur Android ça, et 1 password sur Ios (mais ce dernier était cher vu qu'il est lié à l'univers d'Apple)
    Grand maître du lien affilié

  15. #45
    Je met à jour parce que Bitwarden est apparu et fait du bruit

    C'est Open source, et ça peut s'autoheberger.

    Synchronisation cloud, Extention browser, apps mobiles, chiffré en AES 256

    C'est gratuit, mais pas que. Il y a un plan a 10 $ / an qui rajoute le bilan de santé du Vault (j'imagine que c'est comme partout un truc qui te dit que t'utilises des doublons, et qui fait l'audit des pass qui ont été breach)

    si vous avez un NAS compatible ou serveur VPS, ça me semble être un bon choix pour les libristes barbus
    Grand maître du lien affilié

  16. #46
    Ya une implem Rust auto-hebergeable aussi.

  17. #47
    J'utilise le gestionnaire de mots de passe Lastpass depuis 2 ans. Il fonctionne bien et c'est gratuit. Disponible en tant qu'extension Chrome et téléchargeable sur Android

  18. #48
    Y'a aussi désormais "nordpass" qui est la solution de nordvpn.

    Meilleur chiffrement mais manque de fonctionnalités en ce momeng
    Grand maître du lien affilié

  19. #49
    J'utilise 1password depuis des années, facile d'utilisation et rapide (lorsque tu es sur un site il te propose directement le login associé) et les données sont cryptés. Le gros avantage c'est de pouvoir mettre des passwords très compliqués.



    rencontre beurette

  20. #50
    Yop,

    Pardon pour l'exhumation de topic mais j'ai pas trouvé plus récent, voici le problème:

    J'ai crée un compte onepassword (version essai) et j'ai envoyé une invitation sur une autre adresse mail mais je n'arrive pas à utiliser l''extension firefox avec le compte "invité" est-ce que c'est normal et que ça veut dire que je dois le faire à partir du compte principal ? Je peux me connecter via le programme sur le pc ou via le site mais l'extension ne se connecte qu'au compte principal on dirait: je ne vois pas d'option "changer de compte".

    Je ne comprends pas: comment se connecter dans l'extension FF avec un autre compte?

    Merci pour le coup de main, si jamais vous savez.

  21. #51
    Non... me dites pas que...on peut pas???

    https://1password.community/discussi...rome-extension

    Ok, c'est chrome et pas FF mais si j'ai bien compris, ça n'est pas possible de se connecter à l'extention avec un compte invité ? Purée de bordel de cul. Il faut que chaque user ait sa propre session ?

  22. #52
    Vu les déboirs de Last Pass je pense peut-être revenir sur 1Password mais je voulais savoir s'il était enfin possible de ne pas avoir à rentrer son mort de passe maître à chaque fois ? Avec Last Pass, j'ai la possibilité de lui dire de ne plus me demander mon mot de passe maître sur ma machine. Mon coffre fort est "toujours ouvert". Mais avec 1Password, à chaque fois que j'allumais ma machine et que je devais remplir un mot de passe, je devais avant remplir mon mot de passe maître. Autant dire que ça ne me faisait pas vraiment gagner du temps.

    Est-ce qu'ils ont enfin ajouté cette option là ?

  23. #53
    Seulement pour une certaine durée, après si tu prends un YubiKey tu dois pouvoir juste mettre ton doigt
    Grand maître du lien affilié

  24. #54
    Intéressant les YubiKey, je ne connaissait pas. Je vais regarder ce qu'il est possible de faire. Merci pour l'astuce.

  25. #55
    Alors pour ceux qui seraient intéressés, la YubiKey ne peut malheureusement pas être utilisée pour débloquer le compte 1Password parce qu'ils utilisent le mot de passe (qui n'est jamais stocké chez-eux ni en local) comme clef de déchiffrement pour avoir accès au coffre fort. Il n'est donc pas possible d'utiliser autre chose pour avoir accès à son compte. Ca a l'avantage d'être très sécuritaire et très casse couille en même temps.

  26. #56
    Pourtant sur mac ca marche avec Touch ID, windows hello peut etre ?
    Grand maître du lien affilié

  27. #57
    Pour préciser ca marche mais il faut re-rentrer son pass manuellement toutes les semaines un truc comme ca
    Grand maître du lien affilié

  28. #58
    Perso je trouve que la gestion des mots de passe est un faux problème.

    En soit quels sont les mots de passe hyper importants qui ne doivent surtout pas se retrouver dans la nature ? Ben le mdp de sa boite mail, rien de plus.
    Tout le reste (à part pour la crypto monnaie ofc) est totalement osef si on se fait voler le mot de passe, vu qu'on peut le régénérer.

    On m'a déjà piraté mon compte Steam, ben j'ai fait une récup' via mon adresse mail, idem pour facebook etc ...

    Du coup j'ai un seul mot de passe fort (une phrase en l33t), et tout le reste c'est un mot de passe basique et rapide à faire, avec juste un chiffre qui change selon la nature de ce que protège le mot de passe.
    On dit que pétrir, c'est modeler,
    Moi j'dis que péter, c'est démolir.

  29. #59
    C'est pas la question, soit tu as :

    - Des comptes avec des infos personnelles qui serviront d'une facon ou d'une autre sur le Dark web
    - Des comptes de réseaux sociaux ou on peux ecrire des contenus a ta place
    - Des comptes avec la CB deja entrée, comme Amazon
    - Des mdp de travail, de sites webs

    Comme la plupart des gens (et surtout ceux qui utilisent pas des gestionnaires) reutilisent les mdp, si y'en a un qui tombe sa fout la merde pour tous les autres
    Grand maître du lien affilié

  30. #60
    J'utilise Bitwarden depuis 2019 et je viens de voir/activer la suppression du presse-papiers comme le fait Keepass par défaut, oups

    Sinon, ravi de Bitwarden depuis (formule basique), protégé par un passphrase de 5 mots, méthode Diceware https://diceware.fr/

    J'ai la plus grosse !

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •