du 23 avril 2018
Date

Choisir une autre édition

Les générateurs de mots de passe en ligne audités par un chercheur

Aaron Toponce s'est « amusé » à passer en revue bon nombre de générateurs en ligne, ou disponibles sous forme d'extensions pour Chrome et Firefox notamment.

Différents critères sont testés, l'ensemble des notes étant disponibles dans un tableau Google Sheets. Langues gérées, type de licence, générateur côté client ou serveur, présence d'un CRNG, HTTPS, niveau d'entropie, trackers et autres sont ainsi passés en revue.

Sur la seule liste des générateurs en ligne, la note maximale, 10, n'est atteinte que par celui de Toponce (qui se fait donc un peu de publicité au passage). Plusieurs obtiennent quand même 8, notamment Clavel, One Shall Pass, SSH.com ou encore Strong.

Parmi les reproches les plus courants, l'utilisation d'un générateur déterministe, les licences propriétaires, l'absence de CRNG et la présence de trackers. LastPass, par exemple, n'obtient que 4,5 sur 10, du fait de certains éléments flous, d'une génération propriétaire côté serveur et de quelques trackers.

Le tableau contient plusieurs onglets, selon le type de générateur que l'on cherche : purement web, phrases de passe, extensions Chrome ou Firefox, et plus récemment les gestionnaires complets. Peu ont encore été testés, KeePassXC obtenant pour l'instant la première place du podium avec 6/7. LastPass et 1Password n'obtiennent que 3/7, et le récent Bitwarden 5/7. Dashlane n'a pas encore été testé.

Une adresse à mettre de côté donc, le tableau se remplissant petit à petit. Sur Twitter, le travail de Toponce a été particulièrement bien accueilli.

chargement Chargement des commentaires...