Une extension pour browser, dans ma tête ça crie "unsafe", ce qui est probablement exagéré mais je m'en tiendrais à la version desktop/portable (sur clef usb) de mon pass manager.
Une extension pour browser, dans ma tête ça crie "unsafe", ce qui est probablement exagéré mais je m'en tiendrais à la version desktop/portable (sur clef usb) de mon pass manager.
L'extention fait tout l'interêt du système, plus rien à taper
Bug corrigé, circulez
Grand maître du lien affilié
On note qu'a chaque fois qu'il y a un soucis avec Lastpass, ils communiquent, c'est rassurant.
L'autre fosi quand ils avaient détectée une intrusion (qui avait finalement loupé). Du coup leur image est pas géniale, mais à tort.
Grand maître du lien affilié
Ce qui n'est pas génial, c'est l'autofill activé par défaut...
Lastpass était vendue comme une appli d'autofill au début, et après c'est l'aspect sécurité qu'on a du marketer.
C'était l'époque où les navigateurs le gérait mal.
Grand maître du lien affilié
Grand maître du lien affilié
Ça donne un faux sentiment de sécurité cette méthode, c'est pas très compliqué à craquer (cf hashcat) et réutiliser les mêmes lettres ou le nom du site ça réduit significativement l'entropie, sans parler des sites qui vont refuser ton motdepassefort parce que ça correspond pas à leurs contraintes souvent ridicules de politiques de mot de passe.
source ? parce que ça l'air d'être du bolshit dit comme ça. Sans en savoir plus je dirais que soit ton étude comparait un mot de passe court mais complexe à un mot de passe long mais composé de mots courants, soit elle était théorique et n'adressait pas la réalité des méthodes utilisées pour craquer les mots de passe.
ça fait des années que c'est plus valable cette technique, comme l'explique l'ami schneier, une fois connue les crackers ont mis au point des méthodes pour cracker spécifiquement les mots de passes construit avec cette technique.
Que ça fait beaucoup rire les gens qui ont des cartes ATI et hashcat, et puis quand tu as 2 bajillions de mots de passe, tu es vite à court de grand mères.
Oui un gestionnaire de mot de passe c'est améliorer la sécurité par rapport à réutiliser le même mot de passe ou essayer de les mémoriser. Non ce n'est pas une bonne idée si ton gestionnaire de mot de passe est un service en ligne géré par quelqu'un d'autre.
En fait en matière de sécurité informatique, il faut commencer par définir un modèle de menace pour ensuite définir ta politique de sécurité, c'est pas pareil selon que tu veuilles te protéger de la surveillance de tes parents ou d'un gouvernement par exemple.
En matière de mot de passe, éviter de réutiliser le même partout ça te protège si jamais un des sites se fait trouer et que la base des mots de passe se retrouve dans la nature. Utiliser un mot de passe avec une forte entropie protège mieux d'une tentative de crack par un cracker qui fait du crack en masse sur 12 millions de mot de passe, mais ça ne te mets pas à l'abri d'un service d'espionnage qui te cible toi en particulier.
Intéresse toi aux outils utilisés pour cracker les mots de passe pour te faire une idée, des choses comme hashcat ou sprawl par exemple.
Généralement utiliser un gestionnaire de mot de passe local qui stocke les mots de passe avec un chiffrement fort, c'est une grosse amélioration par rapport à l'usage courant. Pour ça, pass est un outil que je recommande: génère les mots de passe avec un outil éprouvé (pwgen), stocke en local, chiffre avec ta clé gpg, est multiplateforme (linux, anrdroid, osx, ios, windows, console, git, emacs, extension firefox, freebsd,...), propose des outils de migrations des autres gestionnaires de mot de passe (lastpass, keepass, 1password, roboform, ked, gorilla password, pwsafe, kwallet,...), offre la possibilité de sotcker plus que juste le mot de passe.
Je ne te suis pas bien, là.
Je vais regarder ce que ce hashcat est capable de faire, mais je doute d'un miracle.
Dans le cas du mot de passe fort mergé avec un contexte, qu'on tente de casser un mot de passe par masque / hash / ..., se créer une règle perso de déclinaison d'un mot de passe fort (je donnais l'exemple du nom de marchand web coupé en 2, c'est volontairement basique mais je ne vais pas non plus dire comment je conçois mes mots de pase, hein ) ne permet d'aider l'algo à craquer que si on a une idée du type de règle perso, sinon, on va vite revenir à du brute force intelligent qui ne va rien donner facilement. Moi j'arriverai peut-être à trouver la bonne ligne de commande pour craquer mes mots de passe, mais un tiers, ça m'étonnerais (évidemment, j'exclue l'expert qui m'en voudrait à moi personnellement).
Dans le cas du mot de passe fort imbittable versus phrase, c'est opposer le nb de combinaisons. Un mot de passe de 10 caractères parmi 100 possibles (minuscules / majuscules / chiffres / caractères spéciaux, ça fait plutôt 70-80) donne le même nombre de combinaisons que 4 mots à combiner dans un dico de 100 000 entrées. Si on utilise des mots persos (pas dans un dico), plus de 4 dans la phrase, les coller ou pas (et varier le caractère de séparation) on dépasse facilement la robustesse d'un mot de passe dit fort et on s'en souviendra bien plus facilement.
Edit : Ah merde, t'en parles là :
Bon, je vais lire ...
Bonjour les Canards !
Je me posais justement la question de si c'était une bonne idée ou pas d'utiliser un gestionnaire de mot de passe. Que me conseilleriez vous ? J'ai regardé la page de présentation de "pass", qui est évoqué deux posts au dessus, et qui m'a semblé pas vraiment user-friendly... Auriez vous quelque chose plus accessible à me conseiller ?
Bonne soirée !
PS : J'ai une offre d'une année gratuite à 1Password, mais bon, c'est quand même pas rien la sécurité informatique, alors je veux pas faire un choix sur un coup de tête ^^
Canard Pc, pour la vie, et bien plus encore.
Perso ça fait 2 ans que j'utilise Keepass2, j'ai 40 entrées dessus. Je sécurise juste avec un gros mot de passe généré par keepass que j'ai appris par cœur (16 caractères alphanumériques) avant de le supprimer. J'ai un backup papier dans un coin aussi si jamais.
Il faut faire attention aux applis avec des features trop user-friendly (auto-remplissage des formulaires web, et tout) car souvent c'est dans ces extensions que se trouvent les failles de sécurité, encore plus si c'est pas géré nativement et que ça passe par des plugins.
Après pour les différents gestionnaires de mots de passe à toi de faire tes courses, même si payer pour 1Password ne se justifie pas forcément selon ton usage.
Next inpact avait fait un comparatif des principaux.
En gros, ils sont tous assez corrects et se départagent sur le prix, Keepass est une alternative libre pour barbu mais est plus chiant à utiliser (pas d'autocomplete comme dit plus haut, et encore moins sur mobile (taper un mot de passe abscon généré de + de 15 caractères sur un petit clavier mal agencé rencontre vite ses limites). On peut faire des copiers coller mais c'est relou.
Lastpass le fait sur Android ça, et 1 password sur Ios (mais ce dernier était cher vu qu'il est lié à l'univers d'Apple)
Grand maître du lien affilié
Je met à jour parce que Bitwarden est apparu et fait du bruit
C'est Open source, et ça peut s'autoheberger.
Synchronisation cloud, Extention browser, apps mobiles, chiffré en AES 256
C'est gratuit, mais pas que. Il y a un plan a 10 $ / an qui rajoute le bilan de santé du Vault (j'imagine que c'est comme partout un truc qui te dit que t'utilises des doublons, et qui fait l'audit des pass qui ont été breach)
si vous avez un NAS compatible ou serveur VPS, ça me semble être un bon choix pour les libristes barbus
Grand maître du lien affilié
J'utilise le gestionnaire de mots de passe Lastpass depuis 2 ans. Il fonctionne bien et c'est gratuit. Disponible en tant qu'extension Chrome et téléchargeable sur Android
Y'a aussi désormais "nordpass" qui est la solution de nordvpn.
Meilleur chiffrement mais manque de fonctionnalités en ce momeng
Grand maître du lien affilié
J'utilise 1password depuis des années, facile d'utilisation et rapide (lorsque tu es sur un site il te propose directement le login associé) et les données sont cryptés. Le gros avantage c'est de pouvoir mettre des passwords très compliqués.
rencontre beurette
Yop,
Pardon pour l'exhumation de topic mais j'ai pas trouvé plus récent, voici le problème:
J'ai crée un compte onepassword (version essai) et j'ai envoyé une invitation sur une autre adresse mail mais je n'arrive pas à utiliser l''extension firefox avec le compte "invité" est-ce que c'est normal et que ça veut dire que je dois le faire à partir du compte principal ? Je peux me connecter via le programme sur le pc ou via le site mais l'extension ne se connecte qu'au compte principal on dirait: je ne vois pas d'option "changer de compte".
Je ne comprends pas: comment se connecter dans l'extension FF avec un autre compte?
Merci pour le coup de main, si jamais vous savez.
Non... me dites pas que...on peut pas???
https://1password.community/discussi...rome-extension
Ok, c'est chrome et pas FF mais si j'ai bien compris, ça n'est pas possible de se connecter à l'extention avec un compte invité ? Purée de bordel de cul. Il faut que chaque user ait sa propre session ?
Vu les déboirs de Last Pass je pense peut-être revenir sur 1Password mais je voulais savoir s'il était enfin possible de ne pas avoir à rentrer son mort de passe maître à chaque fois ? Avec Last Pass, j'ai la possibilité de lui dire de ne plus me demander mon mot de passe maître sur ma machine. Mon coffre fort est "toujours ouvert". Mais avec 1Password, à chaque fois que j'allumais ma machine et que je devais remplir un mot de passe, je devais avant remplir mon mot de passe maître. Autant dire que ça ne me faisait pas vraiment gagner du temps.
Est-ce qu'ils ont enfin ajouté cette option là ?
Seulement pour une certaine durée, après si tu prends un YubiKey tu dois pouvoir juste mettre ton doigt
Grand maître du lien affilié
Intéressant les YubiKey, je ne connaissait pas. Je vais regarder ce qu'il est possible de faire. Merci pour l'astuce.
Alors pour ceux qui seraient intéressés, la YubiKey ne peut malheureusement pas être utilisée pour débloquer le compte 1Password parce qu'ils utilisent le mot de passe (qui n'est jamais stocké chez-eux ni en local) comme clef de déchiffrement pour avoir accès au coffre fort. Il n'est donc pas possible d'utiliser autre chose pour avoir accès à son compte. Ca a l'avantage d'être très sécuritaire et très casse couille en même temps.
Pourtant sur mac ca marche avec Touch ID, windows hello peut etre ?
Grand maître du lien affilié
Pour préciser ca marche mais il faut re-rentrer son pass manuellement toutes les semaines un truc comme ca
Grand maître du lien affilié
Perso je trouve que la gestion des mots de passe est un faux problème.
En soit quels sont les mots de passe hyper importants qui ne doivent surtout pas se retrouver dans la nature ? Ben le mdp de sa boite mail, rien de plus.
Tout le reste (à part pour la crypto monnaie ofc) est totalement osef si on se fait voler le mot de passe, vu qu'on peut le régénérer.
On m'a déjà piraté mon compte Steam, ben j'ai fait une récup' via mon adresse mail, idem pour facebook etc ...
Du coup j'ai un seul mot de passe fort (une phrase en l33t), et tout le reste c'est un mot de passe basique et rapide à faire, avec juste un chiffre qui change selon la nature de ce que protège le mot de passe.
On dit que pétrir, c'est modeler,
Moi j'dis que péter, c'est démolir.
C'est pas la question, soit tu as :
- Des comptes avec des infos personnelles qui serviront d'une facon ou d'une autre sur le Dark web
- Des comptes de réseaux sociaux ou on peux ecrire des contenus a ta place
- Des comptes avec la CB deja entrée, comme Amazon
- Des mdp de travail, de sites webs
Comme la plupart des gens (et surtout ceux qui utilisent pas des gestionnaires) reutilisent les mdp, si y'en a un qui tombe sa fout la merde pour tous les autres
Grand maître du lien affilié
J'utilise Bitwarden depuis 2019 et je viens de voir/activer la suppression du presse-papiers comme le fait Keepass par défaut, oups
Sinon, ravi de Bitwarden depuis (formule basique), protégé par un passphrase de 5 mots, méthode Diceware https://diceware.fr/
J'ai la plus grosse !