Mots de passe en clair dans les navigateurs : comment s'en préserver

Mots de passe en clair dans les navigateurs : comment s’en préserver

Il y a des solutions pour (presque) tout le monde

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

08/08/2013 8 minutes
111

Mots de passe en clair dans les navigateurs : comment s'en préserver

Le gestionnaire de mots de passe de Chrome permet un peu trop facilement de les voir en texte clair. Il ne s’agit pas à proprement parler d’une faille de sécurité, mais d’un choix de la firme, qui n’a d’ailleurs pas l’intention dans l’immédiat d’y remédier. Mais comme nous le verrons, la situation n'est pas spécifique à Chrome. Explications.

Comme n’importe quel navigateur, Chrome peut enregistrer les mots de passe lors de la saisie d’identifiants sur une page web. Ces mots de passe sont stockés dans une zone dont l’accès est contrôlé par Chrome. Mais dans le cas où l’on a oublié le mot de passe que l’on avait choisi, il existe un moyen de le retrouver en passant par les paramètres du navigateur.

 

chrome

 

Dans le cas de Chrome cependant, il n’existe aucune protection, ni même aucune option pour protéger ces mots de passe. Il suffit de se rendre dans les paramètres avancés puis de chercher le lien « Gérer les mots de passe enregistrés ». Dès lors, n’importe quelle ligne sélectionnée permettra d’afficher un bouton qui fera alors apparaître le mot de passe en clair.

 

chrome

 

Certains pointeront que la situation n’est pas spécifique à Chrome. En effet, on peut pratiquement faire la même manipulation sous Firefox. Toutefois, ce dernier propose une option permettant d’activer un mot de passe maître. Si ce dernier est configuré, plus aucun affichage de mot de passe ne pourra avoir lieu sans d’abord saisir ce dernier. Il s’agit un peu du même principe que les gestionnaires de mots de passe tels que Dashlane. Notez que le navigateur d’Apple, Safari, est celui qui propose le plus de sécurité, notamment dans le système Mavericks à venir : les mots de passe sont enregistrés dans le Trousseau, lui-même protégé, et des mots de passe forts sont proposés lors d’un remplissage de formulaire.

 

Le journal The Guardian, qui a justement pointé du doigt ce manque de protection, s’est également fait l’écho de la réponse de Google. Selon le responsable développement de Chrome, Justin Schuh, la firme est bien au courant de cette faiblesse, mais elle ne compte rien faire dans l’immédiat. Sir Tim Berners-Lee, interrogé par le journal, a jugé cette réaction « décevante », décrivant le défaut de conception comme « la manière d’obtenir tous les mots de passe de votre grande sœur ».

 

Dans la pratique, toute personne venant à manipuler votre session utilisateur pourrait récupérer des données personnelles, dont les identifiants, ou utiliser ces derniers pour obtenir des informations plus sensibles. Le mot de passe maître représente une barrière supplémentaire, même si Justin Schuh estime qu’il procure « un faux sentiment de sécurité ». Selon le responsable, le véritable problème résidera toujours dans la permission donnée à un tiers d’utiliser la machine. Il n’a cependant pas abordé le cas d’un accès non autorisé.

Protéger les mots de passe : une facilité qui dépend largement du navigateur

Par défaut, aucun navigateur n’impose un mot de passe maître, mais certains en proposent tout de même l’option. Quand rien n’est disponible, il faut se tourner vers une solution tierce. En fonction du navigateur, il pourra s’agir d’une extension, voire d’un logiciel dédié.

 

Dans le cas de Chrome, il n’existe pas, comme nous l’avons vu, de mot de passe maître. Il est possible cependant d’installer une extension qui mettra en place une telle fonctionnalité. Nous vous proposons ChromePW :

 

chromepw

 

Une fois installée, il suffit de la configurer avec un mot de passe. Évidemment, puisqu’il va s’agir d’une protection importante, son choix est crucial. On rappellera donc les conseils de base : des majuscules autant que des minuscules, des chiffres, des caractères spéciaux, tout en évitant les mots du dictionnaire ainsi que les informations trop simples à deviner, telles que les noms des enfants, les dates d’anniversaire et ainsi de suite.

 

Concernant Firefox, la solution est plus simple car l’option du mot de passe maître est disponible dans le panneau des réglages. Il faut se rendre dans l’onglet Sécurité et cocher la case « Utiliser un mot de passe principal ». Une fois ce dernier défini (toujours avec les mêmes conseils que dans le chapitre précédent), il ne sera plus possible de cliquer sur le bouton « Mots de passe enregistrés ».

 

firefox mots de passe firefox mots de passe

Internet Explorer et Safari : le mot de passe du compte utilisateur est primordial 

En ce qui concerne Internet Explorer, l’option du mot de passe maître n’est pas présente. Cependant, il n’est pas non plus possible de consulter librement la liste des mots de passe enregistrés dès lors que le compte utilisateur est protégé par un mot de passe. Pour ouvrir le panneau, il faut se rendre dans les options Internet, puis dans l’onglet Contenu. Cliquez alors sur le bouton Paramètres de la zone « Saisie semi-automatique », et le bouton de gestion des mots de passe apparaîtra.

 

internet explorer internet explorer

 

Dans ce panneau, on peut voir la liste de tous les sites pour lesquels des identifiants ont été enregistrés. Toutefois, un clic sur « Afficher » pour un mot de passe réclamera obligatoirement le mot de passe du compte utilisateur. Ce dernier a donc tout intérêt à être fort. Sous Windows 8, même si un code PIN a été défini, c’est le véritable mot de passe qui sera demandé. Une fois entrées, les informations pourront être révélées jusqu’à la fermeture de la fenêtre.

 

Pour Safari, le cas est similaire à Internet Explorer. Au fur et à mesure que l’utilisateur enregistre des identifiants, ces derniers sont placés dans le Trousseau (après que le navigateur a demandé une première s’il souhaitait le faire). Le Trousseau lui-même ne peut pas révéler les fameux sésames à moins que l’utilisateur n’entre à nouveau le mot de passe de la session. Notez qu’à partir de Mavericks, Safari sera également capable de générer des mots de passe complexe dans les formulaires d’inscription.

 

safari

Opera : rien en dehors de la branche 12.X 

Quant à Opera, la situation dépend directement de la branche que vous utilisez. Si vous vous servez toujours d’Opera 12.X, il existe bien une option pour configurer un mot de passe maître. il faut pour cela se rendre dans l’onglet Avancé des réglages, puis cliquer sur Sécurité. Le premier bouton est le bon : « Définir le mot de passe principal » :

 

opera

 

Le fonctionnement est équivalent à ce que l’on a déjà vu : le mot de passe sera demandé avant tout affichage des sésames enregistrés. Pensez seulement à cocher la case « Utiliser le mot de passe principal pour protéger les mots de passe enregistrés » un peu en-dessous, sans quoi la protection ne sera pas prise en compte.

 

Dans le cas d’Opera 15 cependant, il n’existe malheureusement aucune solution. Non seulement l’option n’existe pas dans les réglages, mais aucune extension n’est pour le moment disponible dans cette catégorie. Notez cependant qu’avec les versions en préparation (et qui arriveront à un rythme rapide), elle pourrait faire son retour dans les mois qui viennent. Les extensions arrivent également à un rythme soutenu, et l’auteur de ChromePW pourrait tout à fait décider de traduire son produit pour Opera.

 

opera 15

 

Enfin, il est possible de passer directement par un logiciel tiers du type Dashlane, Kaspersky Password ManagerLastPass ou encore KeePass. La plupart des solutions existantes sont payantes, mais ont le mérite de gérer les mots de passe de l’ensemble des sites web à travers pratiquement tous les navigateurs, ainsi que les identifiants d’autres produits. Attention cependant, un aspect important devra être pris en compte : le caractère multiplateforme du produit. Si vous utilisez plusieurs systèmes d’exploitation différents, notamment mobiles, regardez à deux fois avant de faire votre choix.

 

Quoi qu'il en soit, une solution encore plus simple existe : simplement fermer ou verrouiller sa session avant de quitter sa machine. Cela devrait d'ailleurs être une habitude à prendre.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Protéger les mots de passe : une facilité qui dépend largement du navigateur

Internet Explorer et Safari : le mot de passe du compte utilisateur est primordial 

Opera : rien en dehors de la branche 12.X 

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Fermer

Commentaires (111)


mdc888
Le 08/08/2013 à 09h 38

Bon article, bravo !

Faire de l’info avec de l’utile, ca c’est de l’INPactitude ;)



Maintenant, vous devriez continuer sur cette voie avec par exemple : come sécuriser les mots de passe en clair dans filezilla, qui a le même genre de soucis…


salak
Le 08/08/2013 à 09h 41

Rien de mieux qu’un gestionnaire de mot de passe sur une partition chiffrée en AES-256.


Goliath II Abonné
Le 08/08/2013 à 09h 46

J’utilise Lastpass, très complet autant sur ordinateur que sur mobile, passe très bien sous Chrome et Firefox.<img data-src=" />


eruur
Le 08/08/2013 à 09h 46



regardez à deux avant de faire votre choix



Je suis célibataire <img data-src=" />


FunnyD
Le 08/08/2013 à 09h 46

Et si on met en mdp une phrase du genre : “Cematinjaituéunchevreuiljelemangeraiscemidicuisinéavecdunesquikmiammiam”

C’est bon?


Vincent_H Abonné
Le 08/08/2013 à 09h 48







eruur a écrit :



Je suis célibataire <img data-src=" />







<img data-src=" />



J’ai ajouté “yeux” <img data-src=" />



salak
Le 08/08/2013 à 09h 49







FunnyD a écrit :



Et si on met en mdp une phrase du genre : “Cematinjaituéunchevreuiljelemangeraiscemidicuisinéavecdunutellamiammiam”

C’est bon?





C’est plus sécurisé comme ça <img data-src=" />



FunnyD
Le 08/08/2013 à 09h 50







salak a écrit :



C’est plus sécurisé comme ça <img data-src=" />





<img data-src=" /> Je préfère le nesquick, mais bon, chacun ses mauvais gouts <img data-src=" />



127.0.0.1
Le 08/08/2013 à 09h 53



Mots de passe en clair dans les navigateurs : comment s’en préserver





heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…


Niktareum
Le 08/08/2013 à 09h 54







mdc888 a écrit :



Maintenant, vous devriez continuer sur cette voie avec par exemple : come sécuriser les mots de passe en clair dans filezilla, qui a le même genre de soucis…





J’avais trouvé ca tout seul (donc c’est clairement abusé), j’ai failli faire une crise cardiaque !



Minikea
Le 08/08/2013 à 09h 55

sous Opera 12.X, je crois qu’on ne peut pas voir les mots de passes, non?


Ishan
Le 08/08/2013 à 09h 55

Moi chui bien content que la sécu de Chrome soit pourri, j’oubli tout le temps mes mots de passes <img data-src=" /> (mon petit doigt me dis que je devrai extraire tout ce bordel avec un programme de forensic gratos et coller ça dans un truc genre KeePass mmff)


Danytime
Le 08/08/2013 à 09h 55

Depuis un certains temps, des INpactiens un peu parano (comme moi) m’ont fait découvrir 1Password pour la gestion et la sécurisation de mot de passe pour mes plateformes PC/Mac.



Et bien aujourd’hui je les remercie. Comme quoi, on est jamais trop prudent.


hellmut Abonné
Le 08/08/2013 à 09h 56

Personnellement j’utilise une méthode ultra sécurisée, qui a fait ses preuves à de multiples reprises: ne jamais enregistrer le mot de passe.

c’est aussi une option chrome, et ça marche super bien.


ludo0851
Le 08/08/2013 à 09h 59







Vincent_H a écrit :



<img data-src=" />

J’ai ajouté “yeux” <img data-src=" />





Quitte à rester dans les organes, autant y regarder “ à deux fois”

<img data-src=" />



Groumfy
Le 08/08/2013 à 10h 01



Enfin, il est possible de passer directement par un logiciel tiers du type Dashlane, Kaspersky Password Manager, LastPass ou encore KeePass.





Il ne faudrait pas qu’un fournisseur perde sa base de données, comme ça arrive un peu beaucoup dernièrement…



Je préfère les indices de mots de passe, géré à la main. Il faut que ce fichier ou ce carnet papier, même volé (ou stocké sur un serveur <img data-src=" />), soit inutilisable par un tiers.



Supposons que vous ayez plusieurs adresses mail, et que le mot de passe utilise quelques lettres de votre première voiture, et l’année de votre bac. (A démultiplier avec plus de mot-clés)



Exemple de fichier :

Forum tartenpion.fr : mail N°2/voiturebac


Vincent_H Abonné
Le 08/08/2013 à 10h 01







ludo0851 a écrit :



Quitte à rester dans les organes, autant y regarder “ à deux fois”

<img data-src=" />







Je l’ai mis du coup <img data-src=" />



Naunaud
Le 08/08/2013 à 10h 02

1password est mon préféré jusqu’à présent, même si payant.

L’appli Android est un peu spartiate mais fonctionnelle et il est intégré à Dropbox.


Pour éviter tout problème, autant se passer de Chrome qui stockera vos données sur les serveurs Google.

Ca évite PRISM et les services de renseignements américains…


hellmut Abonné
Le 08/08/2013 à 10h 04







ludo0851 a écrit :



Quitte à rester dans les organes, autant y regarder “ à deux fois”

<img data-src=" />





il était une fois dans la ville de Foix un marchand de foie qui vendait du foie.

Il me dit: “Ma foi c’est la première fois et la dernière fois que je vends du foie dans la ville de Foix”.



<img data-src=" /> <img data-src=" />



OlivierJ Abonné
Le 08/08/2013 à 10h 04







Vincent_H a écrit :



On rappellera donc les conseils de base : des majuscules autant que des minuscules, des chiffres, des caractères spéciaux, tout en évitant les mots du dictionnaire ainsi que les informations trop simples à deviner, telles que les noms des enfants, les dates d’anniversaire et ainsi de suite.







L’ensemble du conseil est bon, mais pour la partie “des minuscules, des chiffres, des caractères spéciaux”, d’après l’explication argumentée de XKCD ça ne marche pas aussi bien qu’une phrase, cfhttp://xkcd.com/936/ .







Niktareum a écrit :



J’avais trouvé ca tout seul (donc c’est clairement abusé), j’ai failli faire une crise cardiaque !







Je ne pige pas pourquoi sur ce forum je vois des “c’est abusé”, ce qui ne peut pas se dire en français, à l’inverse de “c’est abuser” ou “c’est abusif”.



unCaillou
Le 08/08/2013 à 10h 07

Moi, j’attends avec impatience la démocratisation de l’identification par carte RFID et son intégration dans les logiciels grand public. Le prochain gros projet de Google soi-disant.



Parce que là le système de mots de passe à tout va, on arrive au bout. Saturation.








Danytime a écrit :



Depuis un certains temps, des INpactiens un peu parano (comme moi) m’ont fait découvrir 1Password pour la gestion et la sécurisation de mot de passe pour mes plateformes PC/Mac.



Et bien aujourd’hui je les remercie. Comme quoi, on est jamais trop prudent.





Bouh les paranos…

Oui je le suis ahahah. Je plaisante, je suis prudente.



Personellement, je préfère taper à la main mes mdp, ça prends 10minutes de temps en temps, je gère mes cookies avec cookiemonsters(car je n’accepte les cookies que des sites fréquement utilisés), et mes MDP ne sont ni en clair sur ma machine, ni sur les cookies (ou alors le site qui gère est vraiment stupide).

Pas de gestionnaire de mdp, je retiens les syntaxes dans ma mémoire à moi, avec une partie reccurente selon les utilisations…

Exemple:

compte WOW (j’en ai pas): P41n4uch0c0l47WOW!

compte XXX: P41n4uch0c0l47XXX!

En changeant les acronymes ou autre.



Vui, je dis haut et fort PAIN AU CHOCOLAT !



Anonyme
Le 08/08/2013 à 10h 16

Sous Linux, Chrome et Chromium utilisent Seahorse / Kwallet, dommage que Firefox ne fasse pas de même. <img data-src=" />


nabalzbhf
Le 08/08/2013 à 10h 17







127.0.0.1 a écrit :



heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…







+1



Avec tous les navigateur t’as acces au mot de passe en clair, suffit de virer le ‘type=“password”’ du champ. Et voila, a la place des t’as le mot de passe en clair…



HarmattanBlow
Le 08/08/2013 à 10h 19







Groumfy a écrit :



Il ne faudrait pas qu’un fournisseur perde sa base de données, comme ça arrive un peu beaucoup dernièrement…





En principe même si tu voles leur base ça ne donne pas accès à tes mdp, pourvu que ton mdp maître soit solide. Tout le cryptage/décrypotage est fait côté client sur les bons sites.





Je préfère les indices de mots de passe, géré à la main. Il faut que ce fichier ou ce carnet papier, même volé (ou stocké sur un serveur <img data-src=" />), soit inutilisable par un tiers.



En offline tu as une solution comme gorilla. Même princpe qu’au-dessus, il faut un mdp maître robuste.



Côté papier, justement, il est assez gonflant de décoder les mdp à la volée. ^^





Supposons que vous ayez plusieurs adresses mail, et que le mot de passe utilise quelques lettres de votre première voiture, et l’année de votre bac. (A démultiplier avec plus de mot-clés)



Exemple de fichier :

Forum tartenpion.fr : mail N°2/voiturebac



Trop faible : un agresseur motivé comprendra vite le principe par essai/erreur et toutes ces infos persos sont faciles à obtenir.



hellmut Abonné
Le 08/08/2013 à 10h 22

et utiliser son cerveau comme disque dur pour stocker les mots de passe sensibles?

non? moi ça marche bien.



<img data-src=" />


HarmattanBlow
Le 08/08/2013 à 10h 28







Symilde a écrit :



Personellement, je préfère taper à la main mes mdp





Donc mdp peu diversifiés, identiques d’un site à l’autre.





compte WOW (j’en ai pas): P41n4uch0c0l47WOW!

compte XXX: P41n4uch0c0l47XXX!

En changeant les acronymes ou autre.



Un vieux truc très connu et un plaisir pour un attaquant : celui-ci gagnera immédiatement accès à tous tes comptes.



Rassure-moi : au moins tu as un schéma différent pour tes adresses mails sur lesquelles tout repose ? Ou bien est-ce qu’en voyant ton mdp WOW je peux en déduire ton mdp mail et aller sur tous les sites en cliquant sur “j’ai oublié mon mdp” ?







OlivierJ a écrit :



L’ensemble du conseil est bon, mais pour la partie “des minuscules, des chiffres, des caractères spéciaux”, d’après l’explication argumentée de XKCD ça ne marche pas aussi bien qu’une phrase, cfhttp://xkcd.com/936/ .





Xkcd est de mauvais conseil : un ensemble de quatre mots est faiblard (même quatre bons mots mais on verrait plus souvent quatre mauvais mots) et si c’est certes meilleur qu’un mdp basé sur un mot, c’est bien moins bon qu’un mdp constitué de huit caractères aléatoires.





Je ne pige pas pourquoi sur ce forum je vois des “c’est abusé”, ce qui ne peut pas se dire en français, à l’inverse de “c’est abuser” ou “c’est abusif”.



Même “c’est abuser” n’est pas “Français”. A la rigueur c’est sémantiquement correct.







hellmut a écrit :



et utiliser son cerveau comme disque dur pour stocker les mots de passe sensibles?

non? moi ça marche bien.





Non, tu réutilises les mêmes mdp partout.



Athot
Le 08/08/2013 à 10h 31







hellmut a écrit :



et utiliser son cerveau comme disque dur pour stocker les mots de passe sensibles?

non? moi ça marche bien.



<img data-src=" />







Moi ça marche pour les sites que je visite au moins une fois par semaine. Mais si j’y vais tous les 36 du mois, j’ai besoin d’un peu d’aide quand même.



dosibox
Le 08/08/2013 à 10h 33

Keepass <img data-src=" />








HarmattanBlow a écrit :



Donc mdp peu diversifiés, identiques d’un site à l’autre.





Un vieux truc très connu et un plaisir pour un attaquant : celui-ci gagnera immédiatement accès à tous tes comptes.



Rassure-moi : au moins tu as un schéma différent pour tes adresses mails sur lesquelles tout repose ? Ou bien est-ce qu’en voyant ton mdp WOW je peux en déduire ton mdp mail et aller sur tous les sites en cliquant sur “j’ai oublié mon mdp” ?







Justement non.

Un schéma “directeur” par genre.

Ce que j’ai fait est bien trop simpliste, mais c’était pour montrer.



Pour mon mail, j’ai un serveur mail personnel. Et un mot de passe qui est franchement bien distinct.



Quand j’ai changé juste WOW et XXX, c’était juste pour montrer que ca peut être simple de se souvenir. Ca peut être en début, fin et milieu de chaîne, avec un décalage de touche. (C’est ce que j’utilise personnellement pour ce qui est jeu et forum/site communautaire avec un schéma et un morceau “statique” différent)



Ensuite, un MDP, ça se change. Une phrase qui me revient en tête…

“Les mot de passe, c’est comme la brosse à dent. Tu ne la prêtes pas, tu ne la laisse pas traîner, tu la changes régulièrement”.



Danytime
Le 08/08/2013 à 10h 39







Symilde a écrit :



Bouh les paranos…

Oui je le suis ahahah. !





C’est ça qui est bien :) et merci quoi.



Moi aussi avant j’avais cette méthode de mémoire, mais bon quand on dépasse la centaine de mots de passe important et que je ne m’autorise que des mdp de 26 caractères minimum… il faut bien passer par un gestionnaire ^^



pinkyrose
Le 08/08/2013 à 10h 42

Hi,







127.0.0.1 a écrit :



heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…





Je ne vois pas en quoi l’OS devrait être responsable de données qui ne concernent qu’un logiciel, même s’il s’agit d’un navigateur.



GruntZ Abonné
Le 08/08/2013 à 10h 53







127.0.0.1 a écrit :



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…



+1





pinkyrose a écrit :



Hi,

Je ne vois pas en quoi l’OS devrait être responsable de données qui ne concernent qu’un logiciel, même s’il s’agit d’un navigateur.





“Responsable” est un bien grand mot, mais il est normal qu’il propose un moyen de sécuriser les données stockées.

En procédant ainsi, on centralise la gestion de la sécurité, et ainsi, c’est toutes les informations stockées qui le sont.



Sur mon portable, le /home (c’est un Linux) est chiffré; et sans mon password d’ouverture de session, rien n’est lisible sur ce morceau du disque dur.

Et comme à part Linux, tout est dedans … <img data-src=" />



salak
Le 08/08/2013 à 11h 02







Symilde a écrit :



Justement non.

Un schéma “directeur” par genre.

Ce que j’ai fait est bien trop simpliste, mais c’était pour montrer.



Pour mon mail, j’ai un serveur mail personnel. Et un mot de passe qui est franchement bien distinct.



Quand j’ai changé juste WOW et XXX, c’était juste pour montrer que ca peut être simple de se souvenir. Ca peut être en début, fin et milieu de chaîne, avec un décalage de touche. (C’est ce que j’utilise personnellement pour ce qui est jeu et forum/site communautaire avec un schéma et un morceau “statique” différent)



Ensuite, un MDP, ça se change. Une phrase qui me revient en tête…

“Les mot de passe, c’est comme la brosse à dent. Tu ne la prêtes pas, tu ne la laisse pas traîner, tu la changes régulièrement”.





Et tu fais comment pour retenir une cinquantaine de mot de passe ? A moins que tu ne sois inscrite que sur PCI et ta boite mail, c’est pas viable et peu sûr comme solution. Je préfère de loin un long mot de passe avec des caractères aléatoires avec une fréquence de changement de mdp, beaucoup plus secure que de retenir des morceaux de code semblables dans sa tête.



carbier Abonné
Le 08/08/2013 à 11h 02







HarmattanBlow a écrit :



Un vieux truc très connu et un plaisir pour un attaquant : celui-ci gagnera immédiatement accès à tous tes comptes.





Mais bien sur… bon il faut juste trouver le préfixe… mais c’est un jeu d’enfant <img data-src=" />







HarmattanBlow a écrit :



Xkcd est de mauvais conseil : un ensemble de quatre mots est faiblard (même quatre bons mots mais on verrait plus souvent quatre mauvais mots) et si c’est certes meilleur qu’un mdp basé sur un mot, c’est bien moins bon qu’un mdp constitué de huit caractères aléatoires.





Tant il est vrai que 4 mots mixés avec un caractère spécial + écrit différemment en majuscule et minuscule est très faible… (un mot pouvant aussi être un nom propre)



Mais même sans cela il y a à peu près 200 000 mots en Français.

Imaginons que nous prenions seulement les 2000 mots les plus utilisés. Si tu en utilises 4: cela te fait 1,6 10^12 possibilités

Si tu mixes simplement un mot en minuscule et un mot en majuscule cela te fait 2.6 10^14 possibilités



8 caractères aléatoires (minuscules, majuscules, chiffres) c’est 2,2 10^14 possibilités <img data-src=" />



nucl3arsnake
Le 08/08/2013 à 11h 04

Question con, qu’est ce qui vérifie que les extension du type LastPassword n’envoient pas les données ailleurs? Ça me parait un excellent moyen de gagner pleins de MdP <img data-src=" />


Davco
Le 08/08/2013 à 11h 06







geekounet85 a écrit :



sous Opera 12.X, je crois qu’on ne peut pas voir les mots de passes, non?







Exact, je ne vois même pas où est le souci dans Opera 12.xx le mot de passe principal ne servant de fait qu’à bloquer l’utilisation de “la baguette magique” qui permet effectivement d’utiliser les mdp, mais en aucun cas de les voir.



Merci le passage à cette grosse daube qu’est Opera 1516 et le basculement vers un Chrome lite.. On passe d’un navigateur gérant de façon très sécurisée les mdp à un navigateur où l’on peut les voir en clair, chapeau !



Si l’on veut voir ses mots de passe sous Opera 12xx il existe un logiciel pour ça, dont je tairai le nom et qui est détecté comme trojan par les antivirus.



cobalt_77
Le 08/08/2013 à 11h 09

Une méthode qui n’est pas nouvelle consiste à utiliser une “passphrase” pour sécuriser un compte.



Apparemment, la méthode Diceware permet d’avoir une protection plus efficace qu’un simple mot de passe :http://world.std.com/~reinhold/diceware.html



La force de la “passphrase” réside dans le caractère aléatoire du choix des mots.

Voir :http://world.std.com/~reinhold/dicewarefaq.html#redundancy



C’est aussi fort qu’un mot de passe à rallonge blindé de caractères spéciaux et plus facile à retenir (mais toujours aussi long à taper).


Lawliet
Le 08/08/2013 à 11h 11

Une seule chose : Dashlane couplé à Google authenticator. <img data-src=" />


HarmattanBlow
Le 08/08/2013 à 11h 20







carbier a écrit :



Mais bien sur… bon il faut juste trouver le préfixe… mais c’est un jeu d’enfant





Le problème est qu’une fois que tu as obtenu un mdp tu as obtenu tous les autres. Et Symilde comprend apparemment bien le problème puisqu’il/elle dit utiliser plusieurs schémas et autres.





Imaginons que nous prenions seulement les 2000 mots les plus utilisés. Si tu en utilises 4: cela te fait 1,6 10^12 possibilités



Une machine à 10k$ dédiée au crackage de mots de passe teste 63 milliards (6,3E10) de mots de passe SHA1 par seconde. Soit 24s de calcul de force brute dans le pire des cas (et bien moins qu’une seconde avec une approche statistique et bayésienne, voire en exploitant une faille non-publique de l’algo ou de sa mise en oeuvre) . ;)



Alors certes il faut disposer des hashes et sels et ce n’est que du SHA1 mais dans la pratique nombre de sites se font dérober à la fois les hashes et les sels, et utilisent du SHA1. Y compris des sites de certains grands noms.









nucl3arsnake a écrit :



Question con, qu’est ce qui vérifie que les extension du type LastPassword n’envoient pas les données ailleurs? Ça me parait un excellent moyen de gagner pleins de MdP <img data-src=" />





Encore une fois pour les bons sites tout est chiffré côté client (ce qui peut être aisément vérifié par lecture du code source de la page web et examen des communications via par exemple Fiddler). Si bien que ces sites ne connaissent pas tes mots de passe et ne peuvent donc pas les transmettre.



bzc Abonné
Le 08/08/2013 à 11h 22

http://zx2c4.com/projects/password-store/



Chiffré avec ma clé GPG, en ligne de commande (donc facilement accessible via SSH si j’ai besoin d’un mot de passe quand je suis pas sur mon PC), backup et versioning via Git, les données restent chez moi (et sur mon sevreur pour le backup). Que demander de plus ?


salak
Le 08/08/2013 à 11h 23







nucl3arsnake a écrit :



Question con, qu’est ce qui vérifie que les extension du type LastPassword n’envoient pas les données ailleurs? Ça me parait un excellent moyen de gagner pleins de MdP <img data-src=" />





Si c’est pas libre, rien bien sûr. A moins de sniffer le traffic et d’analyser le flux de données, rien ne te garantit que l’extension/application n’est pas truffé de backdoor.



Edtech Abonné
Le 08/08/2013 à 11h 25

Personnellement, Windows 8.1 stocke tous mes mots de passe et le compte Microsoft est protégé par un mot de passe très complexe et une double identification par un authentificator (donc il faut avoir mon tel pour se loguer).


manus Abonné
Le 08/08/2013 à 11h 27

Il existe PasswordSafe, qui est gratuit et il existe un client sur presque toutes les plateformes:

http://passwordsafe.sourceforge.net/



http://passwordsafe.sourceforge.net/relatedprojects.shtml


Ares
Le 08/08/2013 à 11h 31







geekounet85 a écrit :



sous Opera 12.X, je crois qu’on ne peut pas voir les mots de passes, non?





Non de base on pouvait pas. En revanche il existait des boutons personnalisés, type baguette (wand), avec les actions qui vont bien et qui au lieu de lancer la connexion comme la baguette classique affichait un popup avec le mdp en clair … et je trouvais bête que toi même, sur ton PC, sur ta session n’ait pas accès à tes propres infos, mots de passes compris <img data-src=" />







127.0.0.1 a écrit :



heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…





D’accord avec toi sur le fond :)



nucl3arsnake
Le 08/08/2013 à 11h 36







HarmattanBlow a écrit :



Encore une fois pour les bons sites tout est chiffré côté client (ce qui peut être aisément vérifié par lecture du code source de la page web et examen des communications via par exemple Fiddler). Si bien que ces sites ne connaissent pas tes mots de passe et ne peuvent donc pas les transmettre.







Je parle d’add on coté client, sur ton firefox par exemple ;)



SrBelial
Le 08/08/2013 à 11h 37







mdc888 a écrit :



Bon article, bravo !

Faire de l’info avec de l’utile, ca c’est de l’INPactitude ;)



Maintenant, vous devriez continuer sur cette voie avec par exemple : come sécuriser les mots de passe en clair dans filezilla, qui a le même genre de soucis…







Le besoin de chiffrer ce type de données dans filezilla est à pondérer : lors de la connexion à un serveur FTP le mot de passe est dans tous les cas envoyé en clair lors de l’établissement de la connexion, et qu’il soit chiffré dans filezilla ou non n’empêchera pas quiconque sur le réseau de l’obtenir en sniffant le port adéquat.



Pour le FTPs, le sFTP, le SSH je crois que c’est pas la même paire de manches. L’enregistrement des informations de connexion à de tels serveurs devrait effectivement être blindée.




Groumfy
Le 08/08/2013 à 11h 37







HarmattanBlow a écrit :



Trop faible : un agresseur motivé comprendra vite le principe par essai/erreur et toutes ces infos persos sont faciles à obtenir.







La technique de base est celle des chaussettes de l’archiduchesse.



C’était un exemple didactique.



Il faut extraire une ou plusieurs lettres de chaque mot, pour composer le mot de passe. A titre d’exemple, “renault” peut donner, “r” ou “re” ou “rt” comme composant de mot de passe.



Un vrai indice de mot de passe sera composé d’extraction de N mots. Chaque indice doit rester suffisamment vague, et se baser sur une information non connue du public.




HarmattanBlow
Le 08/08/2013 à 11h 50







Groumfy a écrit :



Il faut extraire une ou plusieurs lettres de chaque mot, pour composer le mot de passe. A titre d’exemple, “renault” peut donner, “r” ou “re” ou “rt” comme composant de mot de passe.



Un vrai indice de mot de passe sera composé d’extraction de N mots. Chaque indice doit rester suffisamment vague, et se baser sur une information non connue du public.





J’avais déjà pensé à faire un truc comme ça mais devoir faire toutes ces manipulations de tête est vite lourdingue à mon avis, à moins de rester simple et donc vulnérable.



Skeeder
Le 08/08/2013 à 11h 54



Concernant Firefox, la solution est plus simple car l’option du mot de passe maître est disponible dans le panneau des réglages. Il faut se rendre dans l’onglet Sécurité et cocher la case « Utiliser un mot de passe principal ». Une fois ce dernier défini (toujours avec les mêmes conseils que dans le chapitre précédent), il ne sera plus possible de cliquer sur le bouton « Mots de passe enregistrés ».



Il est toujours possible de cliquer sur le bouton, mais il demandera le mot de passe principal.









carbier a écrit :



(..)

Tant il est vrai que 4 mots mixés avec un caractère spécial + écrit différemment en majuscule et minuscule est très faible… (un mot pouvant aussi être un nom propre)



Mais même sans cela il y a à peu près 200 000 mots en Français.

Imaginons que nous prenions seulement les 2000 mots les plus utilisés. Si tu en utilises 4: cela te fait 1,6 10^12 possibilités

Si tu mixes simplement un mot en minuscule et un mot en majuscule cela te fait 2.6 10^14 possibilités



8 caractères aléatoires (minuscules, majuscules, chiffres) c’est 2,2 10^14 possibilités <img data-src=" />







Le coup de la passphrase ça n’augmente pas énormément la force du mot de passe si on sait que t’as mis une passphrase. En gros c’est comme si t’écrivais le moyen mnémotechnique pour te souvenir de ton mot de passe au lieu d’écrire le mot de passe. A la différence près que c’est comme si t’avais un alphabet environ 1000x plus grand. Mais la difficulté pour t’en souvenir est pour moi exactement la même à “force équivalente”, et c’est le reproche qu’on peut faire au comic xkcd : c’est pas fondamentalement plus simple de se souvenir de #Ghn7k9- que de DiezegammaHectornamibie7upkiwiNeuftiret… <img data-src=" />




baldodo
Le 08/08/2013 à 11h 54







Symilde a écrit :



Ensuite, un MDP, ça se change. Une phrase qui me revient en tête…

“Les mot de passe, c’est comme la brosse à dent. Tu ne la prêtes pas, tu ne la laisse pas traîner, tu la changes régulièrement”.







Il n’y a pas de consensus sur ce principe ; certains experts pensent que renouveler le mot de passe (en dehors de cas avéré de compromission) au mieux n’apporte pas grand chose, au pire est néfaste (beaucoup d’utilisateurs choisissant alors des mots de passe plus simples que si le mot de passe était plus pérenne).



Sur le sujet des mots de passe, allez lire (pour ceux qui lisent l’anglais) les très bons papiers de Joseph Bonneau, et en particulier :http://www.jbonneau.com/doc/BHOS12-IEEESP-quest_to_replace_passwords.pdf



mooms
Le 08/08/2013 à 12h 00







OlivierJ a écrit :



Je ne pige pas pourquoi sur ce forum je vois des “c’est abusé”, ce qui ne peut pas se dire en français, à l’inverse de “c’est abuser” ou “c’est abusif”.







Tu dis “c’est perdu” ou “c’est perdre” ? au départ c’est une expression orale, donc pas très orthodoxe, et dans le contexte “abusé” me semble plus valable que “abuser” puisque on parle au passé.



Exemple:



“c’est abuser de lui voler tous ses bonbons” est correct mais si on parle au passé “il lui a volé tous ses bonbons, c’est abusé” est la forme correcte (d’une expression cheloue je suis d’accord).




Glyphe
Le 08/08/2013 à 12h 01

Peut-être que mettre un certificat SSL sur PC INpact serait déjà un bon début …

Parce que vous donnez souvent des conseils sur la sécurité pour vos lecteurs mais vous ne respectez même pas une règle assez simple à mettre en place et qui ne coute quasiment rien … et qui devrait être d’office partout en 2013 !! <img data-src=" />


Mithiriath Abonné
Le 08/08/2013 à 12h 03

Quelqu’un aurait un bon logiciel avec un chiffrement fort qui ferait ce travail sous Windows et Debian depuis une clé USB qui contiendrait les mots de passe?


RaoulC
Le 08/08/2013 à 12h 10







127.0.0.1 a écrit :



heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…





<img data-src=" /> ?

Le système d’exploitation doit assurer la sécurité des mots de passe d’une application tiers?<img data-src=" />



Par contre, l’application peut tout à fait utiliser les dispositifs de sécurité de l’OS. mais c’est à l’initiative des développeurs. Internet Explorer le fait mais c’est le seul sous Windows. Et ce n’est pas la panacée il suffit de stopper un service et hop on lit les mdp.



Ok, pour faire ca il faut que l’OS nous laisse faire , donc avoir les droits.

Chose qui est le cas dans 90% des cas puisque tout le monde ou presque surfe avec un compte admin qui permet de faire sauter toutes les mesure des sécurités et restrictions de l’OS instantanément (sous Windows hein, attention).



Le chiffrement dans le navigateur et l’emploi dun master password ne sont

donc pas superflux.



De toute facon , les mots de passe des navigateurs doivent bien à un moment être déchiffrés pour être transmis aux sites webs . La on peut pas employer le hashage !



Cela dit, imaginons une machine infectée :

* Si pas de master password, le malware déchiffre les mdp de la même manière que la navigateur et zou

* Si master password il y a, le malware peut n’activer sa fonction keylogger que sur la fenêtre du master password pour etre plus discret , utiliser le master password pour déchiffrer les password et faire comme si il n’y avait aucun master password.



Comment ca? Parano moi? <img data-src=" />

/me file fabriquer un chapeau en papier d’alu contre les ondes de PRISM




draky
Le 08/08/2013 à 12h 12

Si on supprime l’extension dans Chrome, le mot de passe saute, non ?


FunnyD
Le 08/08/2013 à 12h 17







HarmattanBlow a écrit :



J’avais déjà pensé à faire un truc comme ça mais devoir faire toutes ces manipulations de tête est vite lourdingue à mon avis, à moins de rester simple et donc vulnérable.





Ou :





  • d’être un génie

  • de ne s’inscrire sur aucun site ( ce qui limite l’interet <img data-src=" />)





Ricard
Le 08/08/2013 à 12h 18







geekounet85 a écrit :



sous Opera 12.X, je crois qu’on ne peut pas voir les mots de passes, non?





Je confirme. Les mots de passes sont déjà chiffrés il me semble.<img data-src=" />



RaoulC
Le 08/08/2013 à 12h 19







HarmattanBlow a écrit :



J’avais déjà pensé à faire un truc comme ça mais devoir faire toutes ces manipulations de tête est vite lourdingue à mon avis, à moins de rester simple et donc vulnérable.







En fait c’est le problème fondamental des MDP que vous soulevez là :

Si il doit être assez compliqué a trouver pour l’attaquant, il ne doit pas être difficile à retenir pour l’utilisateur.



Et chercher a résoudre ce paradoxe c’est un peu comme chercher la quadrature du cercle <img data-src=" />



earendil_fr Abonné
Le 08/08/2013 à 12h 19







Glyphe a écrit :



Peut-être que mettre un certificat SSL sur PC INpact serait déjà un bon début …

Parce que vous donnez souvent des conseils sur la sécurité pour vos lecteurs mais vous ne respectez même pas une règle assez simple à mettre en place et qui ne coute quasiment rien … et qui devrait être d’office partout en 2013 !! <img data-src=" />







Si tu mets https://www.pcinpact.com, tu l’auras ton certificat SSL…



Davco
Le 08/08/2013 à 12h 20







TheRarePearl a écrit :



Quelqu’un aurait un bon logiciel avec un chiffrement fort qui ferait ce travail sous Windows et Debian depuis une clé USB qui contiendrait les mots de passe?







Keepass:http://keepass.info/



Prendre la version 2.23 portable.



cyrilleberger
Le 08/08/2013 à 12h 20

Très bon article. Je me demandais justement comment voir les mots de passes en clair dans chrome <img data-src=" />


Davco
Le 08/08/2013 à 12h 23







Ricard a écrit :



Je confirme. Les mots de passes sont déjà chiffrés il me semble.<img data-src=" />







Voui je l’ai dit <img data-src=" />



Groumfy
Le 08/08/2013 à 12h 26







HarmattanBlow a écrit :



J’avais déjà pensé à faire un truc comme ça mais devoir faire toutes ces manipulations de tête est vite lourdingue à mon avis, à moins de rester simple et donc vulnérable.







Tout dépend du contenu.



Mes boites mail, qui sont rattachées à plein de comptes, ont des mots de passe basées sur ce principe, avec des chiffres, des majuscules et des caractères spéciaux.



Pour un compte Steam/Blizzard, j’ai un mot de passe suffisament solide, mais différent des boites mails.



Pour un site dont le contenu n’est pas sensible, j’en utilise un facile à retenir et à taper. Faut pas pousser non plus <img data-src=" />




TizeN
Le 08/08/2013 à 12h 30

Perso, comme beaucoup j’utilise KeePass depuis maintenant plusieurs mois.

Couplé à boxcryptor avec chiffrement des noms de fichiers (envoyés in the cloud).



Du coup j’ai 3 mots de passe de 15c complètement aléatoire à retenir, un pour l’accès à la session, un pour déchiffrer les fichiers, et un pour déchiffrer la bdd KeePass, avant que quelqu’un arrive à déchiffrer ces 3 là je pense que j’aurai déjà changé tout mes mots de passe important depuis longtemps <img data-src=" />


Glyphe
Le 08/08/2013 à 12h 30







earendil_fr a écrit :



Si tu mets https://www.pcinpact.com, tu l’auras ton certificat SSL…







Bon je vais être plus clair vu que certains on du mal à lire entre les lignes …

Je sous-entendais que l’authentification devrait passer PAR DÉFAUT en https lorsqu’on se log in … ce qui n’est clairement pas le cas actuellement !




baldodo
Le 08/08/2013 à 12h 32







RaoulC a écrit :



En fait c’est le problème fondamental des MDP que vous soulevez là :

Si il doit être assez compliqué a trouver pour l’attaquant, il ne doit pas être difficile à retenir pour l’utilisateur.



Et chercher a résoudre ce paradoxe c’est un peu comme chercher la quadrature du cercle <img data-src=" />







au final quand tu compiles toutes les règles tu aboutis au paradoxe suivant :

“The password must be impossible to remember and never written down.” - Dr Rick Smith



tiré de :http://www.cryptosmith.com/book/export/html/60



Altium
Le 08/08/2013 à 12h 37







Goliath II a écrit :



J’utilise Lastpass, très complet autant sur ordinateur que sur mobile, passe très bien sous Chrome et Firefox.<img data-src=" />





Pareil, 4 Ans d’utilisation en complément avec ma Yubikey surement la meilleure solution actuellement sur le marché en Online.



Mithiriath Abonné
Le 08/08/2013 à 12h 42







Nerdebeu a écrit :



Keepass:http://keepass.info/



Prendre la version 2.23 portable.







Merci <img data-src=" />



Est il possible avec ce logiciel d’avoir plusieurs bases de données avec un mot de passe principale par bdd? histoire de ne pas avoir le même mot de passe pour protéger tous tes mots de passe.



Y a t il ou peut on rajouter un système pour empêcher un keyloger de récupérer tes mots de passe principaux? Clavier virtuel, un peu comme font les banques quand tu rentres tes identifiants.



Ce logiciel est basé sur PGP pour sa partie chiffrement?



Niktareum
Le 08/08/2013 à 12h 56







OlivierJ a écrit :



Je ne pige pas pourquoi sur ce forum je vois des “c’est abusé”, ce qui ne peut pas se dire en français, à l’inverse de “c’est abuser” ou “c’est abusif”.







C’est vraiment abusé les gens qui parlent/écrivent comme ca !



Y EN A MARRE !



Mahoneko
Le 08/08/2013 à 13h 02







TheRarePearl a écrit :



Est il possible avec ce logiciel d’avoir plusieurs bases de données avec un mot de passe principale par bdd? histoire de ne pas avoir le même mot de passe pour protéger tous tes mots de passe.







Une base de données est un fichier .kdbx. chaque fichier est chiffré avec la clé maitre qui peut différer d’un fichier à l’autre.



D’ailleurs une clé maitre peut être un mot de passe, un fichier clé ou la combinaison des deux. (ça peut également être lié à un compte windows, mais je déconseille cette méthode, si tu perds ton compte windows, oubli ta bdd de mot de passe)







TheRarePearl a écrit :



Y a t il ou peut on rajouter un système pour empêcher un keyloger de récupérer tes mots de passe principaux? Clavier virtuel, un peu comme font les banques quand tu rentres tes identifiants.







Non pas de clavier virtuel. Tu peux éventuellement utiliser un fichier clé en complément du mot de passe maitre.







TheRarePearl a écrit :



Ce logiciel est basé sur PGP pour sa partie chiffrement?







Je ne suis pas un expert de PGP, mais si j’en crois Wikipedia, il est basé sur une paire de clé privée + publique, plus utile dans un contexte de communication / échange. Je ne vois pas l’intérêt dans ce cas la.



Keepass utilise un chiffrement AES en utilisant le hash (SHA 256) de ta clé maitre comme clé de chiffrement.



http://keepass.info/features.html#lnksec



Edit : plus d’information ici :http://keepass.info/help/base/security.html








Mithiriath Abonné
Le 08/08/2013 à 13h 29







Mahoneko a écrit :



Une base de données est un fichier .kdbx. chaque fichier est chiffré avec la clé maitre qui peut différer d’un fichier à l’autre.



D’ailleurs une clé maitre peut être un mot de passe, un fichier clé ou la combinaison des deux. (ça peut également être lié à un compte windows, mais je déconseille cette méthode, si tu perds ton compte windows, oubli ta bdd de mot de passe)







Non pas de clavier virtuel. Tu peux éventuellement utiliser un fichier clé en complément du mot de passe maitre.







Je ne suis pas un expert de PGP, mais si j’en crois Wikipedia, il est basé sur une paire de clé privée + publique, plus utile dans un contexte de communication / échange. Je ne vois pas l’intérêt dans ce cas la.



Keepass utilise un chiffrement AES en utilisant le hash (SHA 256) de ta clé maitre comme clé de chiffrement.



http://keepass.info/features.html#lnksec



Edit : plus d’information ici :http://keepass.info/help/base/security.html







Merci <img data-src=" />



Oui ça n’a aucun rapport avec PGP. Je ne sais plus pourquoi j’ai parlé de ça. <img data-src=" />



Il y a apparemment plusieurs mécanismes mis en place pour contrer les keyloggers.



Il ne me reste plus qu’à acheter une clé USB avec un switch qui interdit l’écriture et avec un système d’autodestruction de la clé en cas d’essai trop nombreux du mot de passe chiffrant la partition de la clé . <img data-src=" />



Davco
Le 08/08/2013 à 13h 32







TheRarePearl a écrit :



Merci <img data-src=" />



Est il possible avec ce logiciel d’avoir plusieurs bases de données avec un mot de passe principale par bdd? histoire de ne pas avoir le même mot de passe pour protéger tous tes mots de passe.







Oui tout à fait. Suffit de créer une nouvelle base de données soient dans la fenêtre de “l’ancienne” (et si les deux sont ouvertes ensuite, on peut naviguer par onglets). Soir ouvrir Keepass, sans ouvrir l’ancienne base (annuler sans entrer son mdp) et faire “fichier”, “nouvelle” .





Y a t il ou peut on rajouter un système pour empêcher un keyloger de récupérer tes mots de passe principaux? Clavier virtuel, un peu comme font les banques quand tu rentres tes identifiants.





oui avec un plug-in trouvable sur le site: On-Screen Keyboard 2





Ce logiciel est basé sur PGP pour sa partie chiffrement?





Je te renvoie là:



http://keepass.info/features.html



Davco
Le 08/08/2013 à 13h 35







Mahoneko a écrit :



Non pas de clavier virtuel. Tu peux éventuellement utiliser un fichier clé en complément du mot de passe maitre.







Si en plugin.




Mithiriath Abonné
Le 08/08/2013 à 13h 46







Nerdebeu a écrit :



Oui tout à fait. Suffit de créer une nouvelle base de données soient dans la fenêtre de “l’ancienne” (et si les deux sont ouvertes ensuite, on peut naviguer par onglets). Soir ouvrir Keepass, sans ouvrir l’ancienne base (annuler sans entrer son mdp) et faire “fichier”, “nouvelle” .







oui avec un plug-in trouvable sur le site: On-Screen Keyboard 2







Je te renvoie là:



http://keepass.info/features.html







Oki doki merci <img data-src=" />



c’est sympa keepass je l’utilise avec keefox sur firefox et sur mon iphone avec minikeepass pour avoir toujours mes passwords sous la main



je crois qu’il y a une version 2 pour mac qui vient d’arriver assez recemment



parfois l’autocompletion sur les champs fait un peu n’importe quoi dans les forums, il faut que je trouve comment desactiver ca <img data-src=" />



HarmattanBlow
Le 08/08/2013 à 14h 06







TheRarePearl a écrit :



Y a t il ou peut on rajouter un système pour empêcher un keyloger de récupérer tes mots de passe principaux? Clavier virtuel, un peu comme font les banques quand tu rentres tes identifiants.





Le clavier virtuel des banques relève avant tout de la poudre aux yeux destinée à rassurer l’utilisateur car toute application pouvant lire ta frappe clavier peut aussi lire tes clics souris et l’apparence des boutons cliqués, voire directement le code source de la page. En règle générale tout ce que l’utilisateur peut voir et faire sur son ordinateur peut être fait par un bot donc tu peux oublier cette approche.



En revanche tu peux utiliser des systèmes basés sur des jetons physiques recelant des clés privées non-lisibles depuis l’ordinateur : générateur de mots de passe temporaires, carte à puce, etc. Voire un module TPM. Ce type de solution trouve aussi d’autres usages, du chiffrement des emails jusqu’à celui des disques durs en passant par le login du système d’exploitation.



Goliath II Abonné
Le 08/08/2013 à 14h 09







ExoDarkness a écrit :



Pareil, 4 Ans d’utilisation en complément avec ma Yubikey surement la meilleure solution actuellement sur le marché en Online.







Idem pour la Yubikey! <img data-src=" />



J’aimerais bien que ma Yubikey fonctionne avec GMail mais bon…



lemick
Le 08/08/2013 à 14h 13

Keepass et lastpass <img data-src=" />


Bill2
Le 08/08/2013 à 14h 22







floop a écrit :



c’est sympa keepass je l’utilise avec keefox sur firefox et sur mon iphone avec minikeepass pour avoir toujours mes passwords sous la main



je crois qu’il y a une version 2 pour mac qui vient d’arriver assez recemment



parfois l’autocompletion sur les champs fait un peu n’importe quoi dans les forums, il faut que je trouve comment desactiver ca <img data-src=" />







L’autocompletion est complètement paramétrable.

Par exemple : j’ai rajouté des champs annee/mois/jour pour m’authentifier rapidement sur le site de la française des jeux …



127.0.0.1
Le 08/08/2013 à 14h 41







RaoulC a écrit :



<img data-src=" /> ?







Non, pas de troll.



il faut juste se poser la question “De qui ou quoi doit-on protéger la liste des mots de passe ?”.



Dans 99.9% des cas, je dirais que c’est d’un accès non autorisé aux données. Accès par un site web (faille de sécu du browser), par un trojan, par un autre utilisateur, …



La meilleure ligne de défense dans tous les cas, ca me parait de sécuriser au plus proche des données. Donc plutôt du coté OS que du coté Browser.



SebGF Abonné
Le 08/08/2013 à 14h 55

Petit détail complémentaire pour Opera 12.x



Sans mot de passe général avec protection de l’insertion automatique, le fichier wand.dat peut être copié et exploité par une autre installation du navigateur (peu importe l’OS). C’est pratique dans le sens où je le synchronise sur mes installations, mais potentiellement une faille en cas de vol du fichier.



Par contre, si un mot de passe est paramétré, il demandera de le valider à la première utilisation de la “baguette magique”.


OlivierJ Abonné
Le 08/08/2013 à 14h 58







HarmattanBlow a écrit :



Xkcd est de mauvais conseil : un ensemble de quatre mots est faiblard (même quatre bons mots mais on verrait plus souvent quatre mauvais mots) et si c’est certes meilleur qu’un mdp basé sur un mot, c’est bien moins bon qu’un mdp constitué de huit caractères aléatoires.







Je ne suis pas d’accord, surtout que XKCD explique mathématiquement son point de vue, qui est qu’un ensemble de 4 mots est plus fort que les combinaisons de 8-10 caractères, du point de vue de l’entropie (du nombre de combinaisons, en gros).



Son point de vue est surtout qu’avec sa méthode, on a des mots de passe faciles à retenir, tout en étant dur à craquer pour un ordinateur, alors que pour les 8 caractères aléatoires, c’est dur à retenir, et pas forcément dur à craquer par ordinateur.







mooms a écrit :



Tu dis “c’est perdu” ou “c’est perdre” ? au départ c’est une expression orale, donc pas très orthodoxe, et dans le contexte “abusé” me semble plus valable que “abuser” puisque on parle au passé.

Exemple:

“c’est abuser de lui voler tous ses bonbons” est correct mais si on parle au passé “il lui a volé tous ses bonbons, c’est abusé” est la forme correcte (d’une expression cheloue je suis d’accord).







Tu te trompes.

La comparaison de “c’est abuser”, c’est avec “c’est se moquer du monde”. Et “c’est abusé” ça n’est pas du passé <img data-src=" /> .

On ne peut pas dire en français “c’est abusé” (ça n’a pas de sens), car on abuse DE quelque chose, ou on est abusé PAR quelqu’un.







Niktareum a écrit :



C’est vraiment abusé les gens qui parlent/écrivent comme ca !

Y EN A MARRE !







Ouais !

<img data-src=" />

(cf mon explication ci-dessus)



HarmattanBlow
Le 08/08/2013 à 15h 08







OlivierJ a écrit :



Je ne suis pas d’accord





Ce n’est pas une question d’opinion mais de mathématiques.





surtout que XKCD explique mathématiquement son point de vue, qui est qu’un ensemble de 4 mots est plus fort que les combinaisons de 8-10 caractères, du point de vue de l’entropie (du nombre de combinaisons, en gros).



Non, justement, ce n’est pas ce que démontre xkcd. Ce que démontre xkcd c’est qu’un mdp de 8 caractères dérivé d’un mot est plus faible que 4 bons mots pris aléatoirement.



Mais ces 4 bons mots forment tout de même un mauvais mot de passe, qui reste inférieur à un mdp de 8 caractères aléatoires. Pire encore, les 4 mots choisis sont rarement bons : on a souvent dans le lot des mots très répandus (parmi les 500 ou 1000 plus fréquents).



Bejarid
Le 08/08/2013 à 15h 38

Sécuriser ses mots de passe via des extension dont on ne connait même pas l’éditeur/auteur.



Fabuleux.



C’est bien, continuez à utiliser Chrome, continuez, et surtout, n’oubliez pas de crier au piratage quand vous vous ferez visiter vos comptes :)



PS: pour le débat mot de passe vs charabiat de passe, perso je mix des nom commun et des nom propre, bon courage pour faire une attaque dico (faudrait déjà qu’il ait le nom propre, car bien sur ce n’est pas simplement un prénom courant) ou brute force pure (mini 15 char à chaque fois).



PS: sachant qu’il y a un API pour l’accès au trousseau sous windows, bravo aux éditeurs qui font des logiciels gérant des mots de passes dans l’utiliser, continuez comme ça Google et Mozilla, surtout n’investissez pas dans la sécurité, ça pourrait géner vos copains de la NSA :)


OlivierJ Abonné
Le 08/08/2013 à 15h 48







HarmattanBlow a écrit :



Ce n’est pas une question d’opinion mais de mathématiques.



Non, justement, ce n’est pas ce que démontre xkcd. Ce que démontre xkcd c’est qu’un mdp de 8 caractères dérivé d’un mot est plus faible que 4 bons mots pris aléatoirement.



Mais ces 4 bons mots forment tout de même un mauvais mot de passe, qui reste inférieur à un mdp de 8 caractères aléatoires. Pire encore, les 4 mots choisis sont rarement bons : on a souvent dans le lot des mots très répandus (parmi les 500 ou 1000 plus fréquents).







Je sais bien que c’est une question de mathématiques, quand même, vu la suite de mon propos :) . C’était une matière diplomatique de dire que tu avais tort <img data-src=" /> .



Ton argument est valable, mais reste un peu théorique car pour la plupart d’entre nous on ne va pas retenir des mots de passe aléatoires. Et comme on est obligé d’être pratique dans le cas présent…









Bill2 a écrit :



L’autocompletion est complètement paramétrable.

Par exemple : j’ai rajouté des champs annee/mois/jour pour m’authentifier rapidement sur le site de la française des jeux …







oui il faut que je regarde ca…

j’avais des problemes sur certains forums, en plus de sauver mon mot de passe et login ca avait conserve ce que je tapais dans la fenetre du coup a chaque fois que je me postais ca requotais automatiquement un ancien post

j’ai falli devenir fou <img data-src=" />



HarmattanBlow
Le 08/08/2013 à 15h 58







OlivierJ a écrit :



Ton argument est valable, mais reste un peu théorique car pour la plupart d’entre nous on ne va pas retenir des mots de passe aléatoires. Et comme on est obligé d’être pratique dans le cas présent…





La plupart d’entre nous ne vont pas retenir des mots de passe aléatoires de huit caractères ? Bigre ! Le cerveau humain a dû encore rétrécir. Parce que de mon temps c’est ce que nous faisions tous





C’était une matière diplomatique de dire que tu avais tort



Vraiment ? Il me semblait que tu avais tout simplement mal compris xkcd et perdu de vue le fait que la démonstration ne valait que pour les mots de passe dérivés d’un mot.



Je te cite:





OlivierJ a écrit :



Je ne suis pas d’accord, surtout que XKCD explique mathématiquement son point de vue, qui est qu’un ensemble de 4 mots est plus fort que les combinaisons de 8-10 caractères, du point de vue de l’entropie (du nombre de combinaisons, en gros).




Orshak
Le 08/08/2013 à 16h 13

Le plus sécurisé quand même c’est de ne pas enregistrer ses mdp surtout.



En utilisant des “règles” pour les créer, c’est assez facile à retenir/retrouver, même si on a 200 comptes….


Orshak
Le 08/08/2013 à 16h 30

Ah oui, et si les sites pouvaient arrêter de limiter à 812 caractères (souvent sans gérer la casse) en interdisant les caractères spéciaux et les espaces, ce serait bien aussi….



Perso, un mdp de moins de 2024 caractères sans caractères spéciaux, min/maj, caractères alphanumériques, ça me fait chier d’avoir ça (et y en a un PAQUET qui imposent ça, c’est à pleurer).



Je ne parle même pas des banques/opérateurs et de leur manie des codes super limités genre 68 chiffres max pour pouvoir coller leur clavier virtuel…. qui ne sert à rien vu que les troyens sachant les contourner existaient 12 ans avant qu’ils ne passent à ça. :(


PreviouslNpact
Le 08/08/2013 à 16h 51







Symilde a écrit :



Vui, je dis haut et fort PAIN AU CHOCOLAT !







ça fait 7 mois que j’en ai pas mangé un digne de ce nom <img data-src=" />



Orshak
Le 08/08/2013 à 17h 48







PCl a écrit :



ça fait 7 mois que j’en ai pas mangé un digne de ce nom <img data-src=" />







T’as déménagé à l’étranger ? Ou pire, dans le Sud ? <img data-src=" />



(désolé c’était tentant)



HarmattanBlow
Le 08/08/2013 à 20h 07







Orshak a écrit :



Ah oui, et si les sites pouvaient arrêter de limiter à 812 caractères (souvent sans gérer la casse) en interdisant les caractères spéciaux et les espaces, ce serait bien aussi….



Perso, un mdp de moins de 2024 caractères sans caractères spéciaux, min/maj, caractères alphanumériques, ça me fait chier d’avoir ça (et y en a un PAQUET qui imposent ça, c’est à pleurer).



Je ne parle même pas des banques/opérateurs et de leur manie des codes super limités genre 68 chiffres max pour pouvoir coller leur clavier virtuel…. qui ne sert à rien vu que les troyens sachant les contourner existaient 12 ans avant qu’ils ne passent à ça. :(





<img data-src=" />



Faith
Le 08/08/2013 à 20h 18







Orshak a écrit :



Ah oui, et si les sites pouvaient arrêter de limiter à 812 caractères (souvent sans gérer la casse) en interdisant les caractères spéciaux et les espaces, ce serait bien aussi….



Perso, un mdp de moins de 2024 caractères sans caractères spéciaux, min/maj, caractères alphanumériques, ça me fait chier d’avoir ça (et y en a un PAQUET qui imposent ça, c’est à pleurer).



Je ne parle même pas des banques/opérateurs et de leur manie des codes super limités genre 68 chiffres max pour pouvoir coller leur clavier virtuel…. qui ne sert à rien vu que les troyens sachant les contourner existaient 12 ans avant qu’ils ne passent à ça. :(





Sauf qu’on ne peut pas réellement brute-forcer un mot de passe par internet…

Un password de quelques chiffres est largement suffisant s’il est aléatoire.



Il ne faut pas se laisser terroriser par le mythe du mot de passe qui se cracke en 0.02 seconde. Sur le net, tout site vaguement correct bloque l’identification pendant quelques minutes au bout de quelques essais loupés, en particulier les banques.




js2082
Le 08/08/2013 à 20h 34



Mots de passe en clair dans les navigateurs : comment s’en préserver





C’est tout con:

NE JAMAIS FAIRE ENREGISTRER SES MDP PAR SON NAVIGATEUR.



Je dirais même plus:

NE JAMAIS ENREGISTRER SON MDP SUR UN PC.



Vu la vulnérabilité des systèmes informatiques, je suis surpris qu’autant d’INpactiens enregistrent leurs mdp sur leur PC. A croire que le monde a zappé les 40 dernières années de l’informatique.<img data-src=" />



Le meilleur stockage reste le cerveau, inaccessible par un pirate informatique.


Futureman
Le 08/08/2013 à 20h 37







damien_spirale a écrit :



Pour éviter tout problème, autant se passer de Chrome qui stockera vos données sur les serveurs Google.

Ca évite PRISM et les services de renseignements américains…







T’as pas tort dans le fond.

Si je fais le compte j’ai plus de choses à cacher aux gvt et autres instances qu’à la famille/amis/voisins.



Qu’importe que le password soit en clair ou pas, le danger vient de l’extérieur, et il a déjà full access…



Faith
Le 08/08/2013 à 20h 45







js2082 a écrit :



Vu la vulnérabilité des systèmes informatiques, je suis surpris qu’autant d’INpactiens enregistrent leurs mdp sur leur PC. A croire que le monde a zappé les 40 dernières années de l’informatique.<img data-src=" />





Ou alors les inpactiens se rendent compte que leur accès à PCINpact n’intéresse personne ?

Les quelques rares mots de passes réellement utiles pour un truand ne sont pas enregistrables (banques&co)



Orshak
Le 08/08/2013 à 21h 16







Faith a écrit :



Ou alors les inpactiens se rendent compte que leur accès à PCINpact n’intéresse personne ?

Les quelques rares mots de passes réellement utiles pour un truand ne sont pas enregistrables (banques&co)









Si seulement tu réalisais les bêtises que tu écris… :/



Un péquin “lambda”, pouvoir savoir quels sont ses centres d’intérêts, ses habitudes de login/mdp/surf, avoir accès à presque toute sa vie (parce que la réalité c’est ça)… ça intéresse des tas de gens.



Parce que le péquin “lambda” il bosse dans l’agence de pub concurrente de celle qui t’emploie pour trouver ce qu’ils font, chez le concurrent pour un marché, chez l’opérateur qui te permettra de récup des listes d’appels sans passer par la justice (de manière illégale mais osef), j’en passe et des meilleures.



Faut arrêter de croire/prétendre que les données des péquins “lambda” n’intéressent pas, c’est les plus utiles d’une certaines manière, parce que c’est ce qui permet de pénétrer plus facilement des systèmes/entités qui sont violemment protégées à haut niveau… passer par en bas où la sécurité est presqu’inexistante.



Le social engeenering et toutes les boîtes de “sécurité et de “vente d’information” qui fleurissent à tous les niveaux de l’industrie depuis 10 ans en sont la preuve….



Sachant qu’encore une fois, ça touche TOUT ce que les gens font sur Internet, TOUT, et ça se saurait si les gens avaient, dans l’ensemble, pour habitude de segmenter leur vie privée et professionnelle par exemple…..



Faith
Le 08/08/2013 à 21h 29







Orshak a écrit :



Si seulement tu réalisais les bêtises que tu écris… :/





Je réalise que certains croient que ce sont des bêtises…





Le social engeenering et toutes les boîtes de “sécurité et de “vente d’information” qui fleurissent à tous les niveaux de l’industrie depuis 10 ans en sont la preuve….



Le social engeenering se fait d’abord et avant tout en vrai, et en toute légalité

Se procurer des mots de passe, c’est totalement hasardeux et assez peu utile.



[edit]Tout ce que tu pourrais éventuellement obtenir avec les mots-de-passe d’un mec, tu l’obtiendrait nettement plus facilement en “vrai”.

D’autant plus qu’il faut être capable de relier identité réelle et identité(s) virtuelle(s). Ca, c’est encore une autre histoire.



HarmattanBlow
Le 08/08/2013 à 22h 48







Faith a écrit :



Sauf qu’on ne peut pas réellement brute-forcer un mot de passe par internet…





Sauf qu’une part énorme de sites web ayant des systèmes d’authentification ont été violés et que les pirates ont eu accès aux hashes et parfois aux sels pour un nombre significatif d’entre eux (sels qui d’ailleurs ne sont pas toujours stockés sur un serveur différent). Et je ne parle pas seulement de petits sites mais bien également de quelques grands noms (y compris pour le coup des sels stockés sur le même serveur).



Donc c’est par rapport à la force brute qu’il faut se protéger.





Sur le net, tout site vaguement correct bloque l’identification pendant quelques minutes au bout de quelques essais loupés, en particulier les banques.



Des sites très corrects sont pénétrés tous les jours, y compris les banques qui paient chaque année de très grosses rançons pour éviter des scandales, ainsi que des organismes de défense et de renseignement. Parfois via des failles humaines internes (chantage, corruption, employé licencié mécontent, etc), parfois via des trucs informatiques.



Il faut se rappeler que de nos jours le moindre site s’appuie sur une couche logicielle de plusieurs milliards de lignes de code contenant inévitablement de nombreuses failles, dont plusieurs introduites volontairement.







Faith a écrit :



Ou alors les inpactiens se rendent compte que leur accès à PCINpact n’intéresse personne ?





Mais si parce que parmi ces inpactiens il y en a qui utilisent le même mdp que pour leurs boîtes mails, adresses que tu récupéreras au passage.



Et quand tu possèdes le mdp de l’adresse mail, tu peux :

* Te faire passer pour la personne auprès de ses contacts (demande d’argent pour dépannage - ça fonctionne !)

* Te faire passer pour la personne auprès de tous les sites où cette adresse est enregistrée (“j’ai oublié mon mdp” -&gt; “votre mdp a été envoyé à cette adresse”)

* Faire des achats sur les sites où la carte de crédit est enregistrée (seul le code au dos est à rentrer et c’est une chance sur 1000 avec trois tentatives, ce qui paie vite si tu voles beaucoup de mdp), se faire virer les allocations familiales sur un nouveau compte (possible ? je ne sais pas, c’est un exemple), etc.

* Lire toute la correspondance (espionnage industriel et économique) et gagner des accès à des réseaux d’entreprises (mail à l’admin système). Ou si la personne est locataire d’un ou plusieurs serveurs et a négligemment conservé les identifiants dans sa boîte mail, gagner un nouveau zombie.

*J’en passe et des meilleures.







Faith a écrit :



D’autant plus qu’il faut être capable de relier identité réelle et identité(s) virtuelle(s). Ca, c’est encore une autre histoire.





Tu plaisantes ? ^^

Outre le fait que la moitié des boîtes mails contiennent encore des documents nominatifs, tu sais que certaines entreprises proposent aux sites web d’identifier la plupart de leurs visiteurs (nom, prénom, adresse) sur la base d’une simple IP ou adresse mail ?



hugot
Le 09/08/2013 à 06h 13

Très bon article , mais lorsqu’une session est ouverte et que vous y avez accès , NETPASS le fait aussi pour presque tout y compris pour IE ,il faut comme pour Chrome impérativement être sur le Pc et en session … ;-)


gkaplan38
Le 09/08/2013 à 07h 05

pour firefox il existe un module “show password” et windows 8 comporte maintenant un bouton dans les champs masqués qui permet de controler ce qu’on ecrit

LastPass est interessant mais bonjour les degats le jour ou Snowden ou Obahama s’en mele.

Comme disait Degaulle : si c’est secret n’en parlez pas !


Faith
Le 09/08/2013 à 07h 26







HarmattanBlow a écrit :



parfois aux sels pour un nombre significatif d’entre eux (sels qui d’ailleurs ne sont pas toujours stockés sur un serveur différent).





Et il faut en plus un accès aux sources pour savoir comment les sels sont utilisés…





Donc c’est par rapport à la force brute qu’il faut se protéger.



En théorie et dans un monde parano, je suis d’accord.

Dans la pratique, un pass de 68 caractère correctement choisi t’assure la tranquillité.





Parfois via des failles humaines internes (chantage, corruption, employé licencié mécontent, etc), parfois via des trucs informatiques.



Alors je vais t’apprendre une grande nouvelle: les employés dont tu parles ont (s’ils font partie de l’informatique interne) accès à absolument tout ce qui existe comme information sur les clients.





Mais si parce que parmi ces inpactiens il y en a qui utilisent le même mdp que pour leurs boîtes mails, adresses que tu récupéreras au passage.



Et quand tu possèdes le mdp de l’adresse mail, tu peux :



Brillante démonstration complètement inutile. J’ai régit à un commentaire qui propose d’augmenter la taille à 20 caractères… Si c’est pour utiliser le même partout, c’est encore pire.





Outre le fait que la moitié des boîtes mails contiennent encore des documents nominatifs,



Là, tu parles de piratage de boite mail… C’est une histoire bien différente faisable uniquement si tu utilises le même mot de passe à plusieurs endroits.





tu sais que certaines entreprises proposent aux sites web d’identifier la plupart de leurs visiteurs (nom, prénom, adresse) sur la base d’une simple IP ou adresse mail ?



Ce qui est loin d’être suffisant pour “identifier” quelqu’un. Le fait que tu t’appelles Jacques Martin et que tu habites à Trifoulli-les-oies ne sert pas à grand monde (à part aux marketteux, et encore)



HarmattanBlow
Le 09/08/2013 à 11h 52







Faith a écrit :



Et il faut en plus un accès aux sources pour savoir comment les sels sont utilisés…





Il y a très peu de combinaisons à tester en pratique, cela ralentira au mieux un tout petit peu la résolution du premier mdp.





Dans la pratique, un pass de 68 caractère correctement choisi t’assure la tranquillité.



Je crois rêver en lisant ça ! Un pwd SHA1 de huit bons caractères aléatoires (majuscules + minuscules + chiffres) se cracke en une heure au pire (une à dix minutes avec une approche statistique et bayésienne, ou en exploitant d’éventuelles failles) sur une petite station à 10k$. Ces huit caractères sont donc déjà limites. Mais six ou sept ?! Et pour info le même mdp LDLM ou MD5, qui sont encore utilisés, se cracke en un temps dix à cent fois plus court.



Bon sang reviens sur Terre : oui des types ont les sels, les hashes et forcent des mots de passe dans des locaux équipés pour ça, avec des stations dédiées à ça. C’est une industrie avec des types qui pénètrent les comptes, d’autres qui crackent des pwd, d’autres qui exploitent ces données, soit en indépendants soit comme prestataires de multinationales mafieuses ou d’organismes de renseignement.





Alors je vais t’apprendre une grande nouvelle: les employés dont tu parles ont (s’ils font partie de l’informatique interne) accès à absolument tout ce qui existe comme information sur les clients.



Certains mais il y a un monde entre donner une info et filer l’accès à toute la base, surtout dans des environnements où les employés sont contrôlés et ne peuvent pas simplement se pointer faire un dump des colonnes désirées sur une clé USB.





Brillante démonstration complètement inutile. J’ai régit à un commentaire qui propose d’augmenter la taille à 20 caractères… Si c’est pour utiliser le même partout, c’est encore pire.



Mais certains le font et c’est pour ça que n’importe quel site avec des couples mdp/logins est une cible lucrative.





Là, tu parles de piratage de boite mail… C’est une histoire bien différente faisable uniquement si tu utilises le même mot de passe à plusieurs endroits.



Oui, et c’est le cas de certains, d’où lucrativité.





Ce qui est loin d’être suffisant pour “identifier” quelqu’un.



Chez moi avoir le nom et l’adresse d’une personne c’est l’identifier.



Alors soit tu tournes mal tes phrases, soit tu as un gros problèmes à reconnaître que tu as eu tort, ce qui nous est arrivé à tous.



PreviouslNpact
Le 09/08/2013 à 14h 41







Orshak a écrit :



T’as déménagé à l’étranger ? Ou pire, dans le Sud ? <img data-src=" />



(désolé c’était tentant)







Dans le sud d’un pays étranger <img data-src=" />



Faith
Le 09/08/2013 à 16h 02







HarmattanBlow a écrit :



Il y a très peu de combinaisons à tester en pratique, cela ralentira au mieux un tout petit peu la résolution du premier mdp.





En pratique, il y a une infinité de combinaisons à tester.

Un sel ne s’ajoute pas “simplement” au début ou à la fin du pass. Un sel, ça s’utilise avec un algo qui peut éventuellement utiliser des données comme la date d’inscription, le login, etc, si possible hachées

Et dans ce cas, comment trouves tu l’algo adapté ? Tu as beau avoir récupéré la base et le sel, tu n’es même pas capable de retrouver ton propre mot de passe.





Mais six ou sept ?! Et pour info le même mdp LDLM ou MD5, qui sont encore utilisés, se cracke en un temps dix à cent fois plus court.



Bon sang reviens sur Terre



Je suis sur Terre, et je constate que 99% des gens ont des mots de passe de 8 caractères max. Et je remarque que malgré tes quelques minutes annoncées, il n’y a pas de problème majeur de sécurité sur le net…



HarmattanBlow
Le 09/08/2013 à 16h 49







Faith a écrit :



Un sel ne s’ajoute pas “simplement” au début ou à la fin du pass.





Mais si et c’est ce qui est fait dans toutes les exemples d’authentification (*) que j’ai vu au cours de ma vie, y compris des mises en œuvre très réputées qui sont utilisée par tous les grands noms. Et il n’y a aucun problème à ça.



Mais si un gus s’amusait à saler avec un algo tordu ce ne serait pas un obstacle : de toute façon le code source sera souvent dérobé en même temps que les mdp. Et même si ce n’est pas le cas, en partant d’un mdp connu (quitte à créer un compte) l’attaquant aurait tôt fait de deviner l’algo.





(*) Il existe des algos de renforcement de clé qui utilisent le sel différemment mais ces algos ne sont pas utilisés par des serveurs d’authentification : le coût CPU est trop élevé pour être fréquemment utilisé, c’est d’ailleurs le but. Pour un chiffrement côté client en revanche…





Un sel, ça s’utilise avec un algo qui peut éventuellement utiliser des données comme la date d’inscription, le login, etc



Seule un amateur ferait ça : on ne sale pas avec des données ayant une faible entropie, c’est un boulevard pour des rainbow tables et une fragilisation de l’algorithme (la clé devient davantage prévisible).





, si possible hachées



Ce serait complètement stupide : combiner des techniques cryptographiques de hashage n’améliore pas leur robustesse et peut au contraire la dégrader (même problème qu’auparavant) ! C’est une des premières choses qu’on enseigne dans le domaine. Désolé mais tout ça montre que tu ne connais pas le sujet et que tu inventes.





Je suis sur Terre, et je constate que 99% des gens ont des mots de passe de 8 caractères max. Et je remarque que malgré tes quelques minutes annoncées, il n’y a pas de problème majeur de sécurité sur le net…



Et moi je constate que selon les sources le coût annuel des vols d’identités est évalué de plusieurs milliards à plusieurs dizaines de milliards de dollars rien que pour les USA.



Faith
Le 09/08/2013 à 16h 54







HarmattanBlow a écrit :



de toute façon le code source sera souvent dérobé en même temps que les mdp.





Evidemment…<img data-src=" />





Et même si ce n’est pas le cas, en partant d’un mdp connu (quitte à créer un compte) l’attaquant aurait tôt fait de deviner l’algo.



Et par quel miracle ?





Seule un amateur ferait ça : on ne sale pas avec des données ayant une faible entropie, c’est un boulevard pour des rainbow tables et une fragilisation de l’algorithme (la clé devient davantage prévisible).



Tu manques beaucoup d’imagination.

La réduction d’entropie est loin d’être nécessaire par l’ajout au sel d’une donnée supplémentaire.





C’est une des premières choses qu’on enseigne dans le domaine. Désolé mais tout ça montre que tu ne connais pas le sujet et que tu inventes.



Ou alors que tu ne comprends pas ce que je dis…





Et moi je constate que selon les sources le coût annuel des vols d’identités est évalué de plusieurs milliards à plusieurs dizaines de milliards de dollars rien que pour les USA.



Quasiment aucun ne se fait de cette manière.



mdc888
Le 12/08/2013 à 06h 24







SrBelial a écrit :



Le besoin de chiffrer ce type de données dans filezilla est à pondérer : lors de la connexion à un serveur FTP le mot de passe est dans tous les cas envoyé en clair lors de l’établissement de la connexion, et qu’il soit chiffré dans filezilla ou non n’empêchera pas quiconque sur le réseau de l’obtenir en sniffant le port adéquat.



Pour le FTPs, le sFTP, le SSH je crois que c’est pas la même paire de manches. L’enregistrement des informations de connexion à de tels serveurs devrait effectivement être blindée.







Sauf que tu peux utiliser Filezilla en SFTP, et la, pas de soucis de ce coté; mais le problème des mots de passe en clair sur le PC subsiste…



pascal.petit Abonné
Le 12/08/2013 à 17h 31







127.0.0.1 a écrit :



heu… pourquoi s’en préserver <img data-src=" /> ??



C’est plutôt une bonne chose que le navigateur permette de gérer les données en clair.



Ce n’est pas l’application qui doit sécuriser les données stockées sur le disque-dur. C’est le système d’exploitation qui doit s’en occuper: login, droits d’accès, chiffrement…









Oui mais non. L’OS fournit les outils et que les programmes utilisent.



Les navigateurs sont de vraies usines à gaz avec des extensions & Co. En théorie, eux seuls sont à même de savoir dans quel contexte donner accès à un mot de passe … sauf qu’ils ne le font pas.



Sur firefox, une fois les mots de passe déverrouillés en fournissant le mot de passe principal, par ex. en allant sur un site nécessitant une authentification, toutes les extensions peuvent accéder au mots de passe en clair.



Pour le constater soit-même :




  1. aller sur un site demandant une authentification

  2. installer l’extension password-reuse-visualizer https://addons.mozilla.org/en-US/firefox/addon/password-reuse-visualizer/)

  3. la lancer et constater qu’elle a accès à tous les mots de passe en clair.



    C’est un vrai problème de conception pour firefox :




  • on n’est pas prévenu lors de l’installation que l’application aura accès à tous les mots de passe en clair

  • elle y accède sans qu’on soit prévenu à l’exécution



    moi, je serai la NSA, je publierai une extension appréciée pour firefox, n’ayant rien à voir officiellement avec les mots de passe mais récupérant les mots de passe en clair sans que personne ne s’en doute.