Crunchez vos adresses URL
|
Rejoignez notre discord
|
Hébergez vos photos
Page 2 sur 2 PremièrePremière 12
Affichage des résultats 31 à 49 sur 49
  1. #31
    Une extension pour browser, dans ma tête ça crie "unsafe", ce qui est probablement exagéré mais je m'en tiendrais à la version desktop/portable (sur clef usb) de mon pass manager.

  2. #32
    C'est ce que je me suis dit aussi en lisant la news

  3. #33
    L'extention fait tout l'interêt du système, plus rien à taper

    Bug corrigé, circulez
    Grand maître du lien affilié

  4. #34
    Citation Envoyé par tompalmer Voir le message
    Bug corrigé, circulez
    Voilà.
    Moi ce que je retient de l'article c'est "The fix was pushed in less than a day" et "this would not work if multi factor authentication was on".

  5. #35
    On note qu'a chaque fois qu'il y a un soucis avec Lastpass, ils communiquent, c'est rassurant.

    L'autre fosi quand ils avaient détectée une intrusion (qui avait finalement loupé). Du coup leur image est pas géniale, mais à tort.
    Grand maître du lien affilié

  6. #36
    Ce chat est une Dauphine Avatar de rotoclap
    Ville
    Aix-les-Bains
    Ce qui n'est pas génial, c'est l'autofill activé par défaut...

  7. #37
    Lastpass était vendue comme une appli d'autofill au début, et après c'est l'aspect sécurité qu'on a du marketer.
    C'était l'époque où les navigateurs le gérait mal.
    Grand maître du lien affilié

  8. #38
    Sinon, quelqu'un a déjà essayé 1password?

  9. #39

  10. #40
    Citation Envoyé par XWolverine Voir le message
    Et une politique de déclinaison de 2 ou 3 mots de passe maîtres, pour ne pas avoir les 3 mêmes partout, mais savoir les retrouver en fonction du contexte (genre sites de commerce FNAC et Amazon, FNmotdepassefort1AC, Amamotdepassefort1zon).
    Ça donne un faux sentiment de sécurité cette méthode, c'est pas très compliqué à craquer (cf hashcat) et réutiliser les mêmes lettres ou le nom du site ça réduit significativement l'entropie, sans parler des sites qui vont refuser ton motdepassefort parce que ça correspond pas à leurs contraintes souvent ridicules de politiques de mot de passe.

    Citation Envoyé par XWolverine Voir le message
    Qu'une étude avait effectivement conclu que les mots de passe forts incompréhensibles étaient moins robustes (et sont en plus moins faciles à mémoriser) qu'une phrase, même constituée de mots communs.
    source ? parce que ça l'air d'être du bolshit dit comme ça. Sans en savoir plus je dirais que soit ton étude comparait un mot de passe court mais complexe à un mot de passe long mais composé de mots courants, soit elle était théorique et n'adressait pas la réalité des méthodes utilisées pour craquer les mots de passe.

    ça fait des années que c'est plus valable cette technique, comme l'explique l'ami schneier, une fois connue les crackers ont mis au point des méthodes pour cracker spécifiquement les mots de passes construit avec cette technique.

    Citation Envoyé par Ashley TOUCRU Voir le message
    Je me souviens d'un article de Canard Hardware où un conseil était donné. Il s'agissait d'utiliser une phrase ayant du sens pour l'utilisateur pour la mémoriser facilement, mais qui n'était pas forcément facile à décrypter pour un logiciel. Ca faisait un truc du genre :Magrandmeredeniseestneeen1921
    Qu'en pensez-vous ?
    Que ça fait beaucoup rire les gens qui ont des cartes ATI et hashcat, et puis quand tu as 2 bajillions de mots de passe, tu es vite à court de grand mères.

    Citation Envoyé par Nicryc Voir le message
    Bonjour,
    Voilà je voulais soulever une question aujourd'hui. Est-ce vraiment bien d'utiliser un gestionnaire de mot de passe ? Parce que tous disent qu'ils protègent notre sécurité en créant des mots de passe différents pour chaque site et beaucoup plus forts. Mais finalement, il suffit de cracker 1 seul mot de passe pour accéder à tous les autres, celui du gestionnaire. Donc au final est-ce vraiment une bonne idée ?
    Merci pour vos réponses.

    Oui un gestionnaire de mot de passe c'est améliorer la sécurité par rapport à réutiliser le même mot de passe ou essayer de les mémoriser. Non ce n'est pas une bonne idée si ton gestionnaire de mot de passe est un service en ligne géré par quelqu'un d'autre.
    En fait en matière de sécurité informatique, il faut commencer par définir un modèle de menace pour ensuite définir ta politique de sécurité, c'est pas pareil selon que tu veuilles te protéger de la surveillance de tes parents ou d'un gouvernement par exemple.

    En matière de mot de passe, éviter de réutiliser le même partout ça te protège si jamais un des sites se fait trouer et que la base des mots de passe se retrouve dans la nature. Utiliser un mot de passe avec une forte entropie protège mieux d'une tentative de crack par un cracker qui fait du crack en masse sur 12 millions de mot de passe, mais ça ne te mets pas à l'abri d'un service d'espionnage qui te cible toi en particulier.

    Intéresse toi aux outils utilisés pour cracker les mots de passe pour te faire une idée, des choses comme hashcat ou sprawl par exemple.

    Généralement utiliser un gestionnaire de mot de passe local qui stocke les mots de passe avec un chiffrement fort, c'est une grosse amélioration par rapport à l'usage courant. Pour ça, pass est un outil que je recommande: génère les mots de passe avec un outil éprouvé (pwgen), stocke en local, chiffre avec ta clé gpg, est multiplateforme (linux, anrdroid, osx, ios, windows, console, git, emacs, extension firefox, freebsd,...), propose des outils de migrations des autres gestionnaires de mot de passe (lastpass, keepass, 1password, roboform, ked, gorilla password, pwsafe, kwallet,...), offre la possibilité de sotcker plus que juste le mot de passe.

  11. #41
    Citation Envoyé par tinadej Voir le message
    [...]
    Je ne te suis pas bien, là.
    Je vais regarder ce que ce hashcat est capable de faire, mais je doute d'un miracle.
    Dans le cas du mot de passe fort mergé avec un contexte, qu'on tente de casser un mot de passe par masque / hash / ..., se créer une règle perso de déclinaison d'un mot de passe fort (je donnais l'exemple du nom de marchand web coupé en 2, c'est volontairement basique mais je ne vais pas non plus dire comment je conçois mes mots de pase, hein ) ne permet d'aider l'algo à craquer que si on a une idée du type de règle perso, sinon, on va vite revenir à du brute force intelligent qui ne va rien donner facilement. Moi j'arriverai peut-être à trouver la bonne ligne de commande pour craquer mes mots de passe, mais un tiers, ça m'étonnerais (évidemment, j'exclue l'expert qui m'en voudrait à moi personnellement).

    Dans le cas du mot de passe fort imbittable versus phrase, c'est opposer le nb de combinaisons. Un mot de passe de 10 caractères parmi 100 possibles (minuscules / majuscules / chiffres / caractères spéciaux, ça fait plutôt 70-80) donne le même nombre de combinaisons que 4 mots à combiner dans un dico de 100 000 entrées. Si on utilise des mots persos (pas dans un dico), plus de 4 dans la phrase, les coller ou pas (et varier le caractère de séparation) on dépasse facilement la robustesse d'un mot de passe dit fort et on s'en souviendra bien plus facilement.

    Edit : Ah merde, t'en parles là :
    Citation Envoyé par tinadej Voir le message
    ça fait des années que c'est plus valable cette technique, comme l'explique l'ami schneier, une fois connue les crackers ont mis au point des méthodes pour cracker spécifiquement les mots de passes construit avec cette technique.
    Bon, je vais lire ...

  12. #42
    Bonjour les Canards !

    Je me posais justement la question de si c'était une bonne idée ou pas d'utiliser un gestionnaire de mot de passe. Que me conseilleriez vous ? J'ai regardé la page de présentation de "pass", qui est évoqué deux posts au dessus, et qui m'a semblé pas vraiment user-friendly... Auriez vous quelque chose plus accessible à me conseiller ?

    Bonne soirée !

    PS : J'ai une offre d'une année gratuite à 1Password, mais bon, c'est quand même pas rien la sécurité informatique, alors je veux pas faire un choix sur un coup de tête ^^
    Canard Pc, pour la vie, et bien plus encore.

  13. #43
    Perso ça fait 2 ans que j'utilise Keepass2, j'ai 40 entrées dessus. Je sécurise juste avec un gros mot de passe généré par keepass que j'ai appris par cœur (16 caractères alphanumériques) avant de le supprimer. J'ai un backup papier dans un coin aussi si jamais.
    Il faut faire attention aux applis avec des features trop user-friendly (auto-remplissage des formulaires web, et tout) car souvent c'est dans ces extensions que se trouvent les failles de sécurité, encore plus si c'est pas géré nativement et que ça passe par des plugins.
    Après pour les différents gestionnaires de mots de passe à toi de faire tes courses, même si payer pour 1Password ne se justifie pas forcément selon ton usage.

  14. #44
    Next inpact avait fait un comparatif des principaux.

    En gros, ils sont tous assez corrects et se départagent sur le prix, Keepass est une alternative libre pour barbu mais est plus chiant à utiliser (pas d'autocomplete comme dit plus haut, et encore moins sur mobile (taper un mot de passe abscon généré de + de 15 caractères sur un petit clavier mal agencé rencontre vite ses limites). On peut faire des copiers coller mais c'est relou.
    Lastpass le fait sur Android ça, et 1 password sur Ios (mais ce dernier était cher vu qu'il est lié à l'univers d'Apple)
    Grand maître du lien affilié

  15. #45
    Je met à jour parce que Bitwarden est apparu et fait du bruit

    C'est Open source, et ça peut s'autoheberger.

    Synchronisation cloud, Extention browser, apps mobiles, chiffré en AES 256

    C'est gratuit, mais pas que. Il y a un plan a 10 $ / an qui rajoute le bilan de santé du Vault (j'imagine que c'est comme partout un truc qui te dit que t'utilises des doublons, et qui fait l'audit des pass qui ont été breach)

    si vous avez un NAS compatible ou serveur VPS, ça me semble être un bon choix pour les libristes barbus
    Grand maître du lien affilié

  16. #46
    Ya une implem Rust auto-hebergeable aussi.

  17. #47
    J'utilise le gestionnaire de mots de passe Lastpass depuis 2 ans. Il fonctionne bien et c'est gratuit. Disponible en tant qu'extension Chrome et téléchargeable sur Android

  18. #48
    Y'a aussi désormais "nordpass" qui est la solution de nordvpn.

    Meilleur chiffrement mais manque de fonctionnalités en ce momeng
    Grand maître du lien affilié

  19. #49
    J'utilise 1password depuis des années, facile d'utilisation et rapide (lorsque tu es sur un site il te propose directement le login associé) et les données sont cryptés. Le gros avantage c'est de pouvoir mettre des passwords très compliqués.



    rencontre beurette

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •