Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Apple : un projet open source pour améliorer les gestionnaires de mots de passeCrédits : Nikada/iStock

Disponible sur GitHub en licence MIT, ce projet vise à améliorer les gestionnaires, selon trois axes principaux.

D’abord les gestionnaires eux-mêmes, dans l’idée que la coopération entre les éditeurs mènera à un renforcement des solutions de chacun. Ensuite, permettre un gain de confiance de la part des utilisateurs. 

Enfin, et surtout, améliorer la communication entre les sites web et les gestionnaires de mots de passe, qui pose encore problème aujourd’hui. De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.

Les problèmes ne sont jamais bien graves, car il est toujours possible de récupérer les données dans son compte. Mais le remplissage automatique est une fonction appréciable, et on a tendance à pester rapidement contre les sites ne le prenant pas en charge.

Plus embêtante, l’impossibilité pour le gestionnaire de détecter une nouvelle connexion à un site et donc d’en retenir l’identifiant et le mot de passe.

Idéalement, le projet permettrait à terme d’améliorer les relations entre les deux « parties », de sorte par exemple que les caractéristiques maximales d’un mot de passe puissent être exposées, afin que les gestionnaires proposent automatiquement la séquence aléatoire la plus forte possible. Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.

Le projet veut aboutir notamment à une base de données contenant des informations sur « qui propose quoi », les sites partageant un même type de connexion, des exemples de bonnes pratiques, etc.

29 commentaires
Avatar de hellmut Abonné
Avatar de hellmuthellmut- 08/06/20 à 08:37:06

Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.

la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^

Avatar de cosmocat INpactien
Avatar de cosmocatcosmocat- 08/06/20 à 10:22:13

hellmut a écrit :

la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^

Tout à fait, mais quand tu vois que nos chères banques françaises aiment nous obliger à choisir un mot de passe uniquement numérique et relativement court à travers leur faux clavier numérique, tu te dis qu'il y a encore du travail de "formation"...

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 08/06/20 à 10:35:26

De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.
avec keepass, quasiment aucun problème !

Avatar de ColinMaudry Abonné
Avatar de ColinMaudryColinMaudry- 08/06/20 à 10:41:47

C'est chouette, ils s'attaquent même aux URLs de changement de mot de passe !

Avatar de SebGF Abonné
Avatar de SebGFSebGF- 08/06/20 à 11:23:39

Sauf qu'au bout de X échecs (dépendant des banques), l'accès au compte est verrouillé. Dans le cas présent, un bruteforce ça marche pas terrible.

Une politique de sécurité c'est un ensemble de paramètres. La complexité du mot de passe en fait partie, tout comme le nombre de tentatives infructueuses autorisées, la durée de validité, la ressemblance avec les précédents, etc. Et c'est un ensemble de leviers à ajuster intelligemment en prenant en compte la sécurisation des accès versus la complexité d'utilisation.
Un système d'information trop complexe à utiliser pour ses clients entraînera une faille de sécu immédiate en la présence du post-it sur l'écran.

Avatar de cosmocat INpactien
Avatar de cosmocatcosmocat- 08/06/20 à 12:50:53

>Une politique de sécurité c'est un ensemble de paramètres

J'en suis conscient mais contraindre un utilisateur à choisir un mot de passe très faible ne peut être un choix judicieux même si il y a une politique de sécurité par limitation de tentative ou autres. Cela complexifie grandement et inutilement l'effort à faire dans le cas d'un piratage où il est alors beaucoup plus facile brut-forcer les mots de passe.
 
>la ressemblance avec les précédents

oups, grosse boulette dans ce que tu dis. Ta politique de sécurité ne doit pouvoir que comparer à des précédents mots de passe (en les comparants chiffrés) mais si tu est capable de comparer la ressemblance, c'est que tu stockes les mots de passe en clair, ce qui est la pire des pratiques...

Édité par cosmocat le 08/06/2020 à 12:55
Avatar de transit facilité INpactien
Avatar de transit facilitétransit facilité- 08/06/20 à 13:04:36

SebGF a écrit :

Une politique de sécurité c'est un ensemble de paramètres. La complexité du mot de passe en fait partie, tout comme le nombre de tentatives infructueuses autorisées, la durée de validité, la ressemblance avec les précédents, etc. 

Et le login.
Mon login pour la connexion au site de ma banque est imprimé sur tous mes relevés de compte. Il est même utilisé par le personnel de la banque pour paramétrer mon compte. Donc la porte principale est bien gardée avec des miradors, mais il existe un soupirail...  Des fois, j'ai peur. 

Édité par transit facilité le 08/06/2020 à 13:05
Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 08/06/20 à 13:18:20

Le login n'est pas une donnée de sécurité. Pour la majorité des sites, ça sera ton adresse mail, voire le pseudo publiquement visible sur les forums.

Avatar de Malkomitch INpactien
Avatar de MalkomitchMalkomitch- 08/06/20 à 16:27:14

Carrément, une spec commune pour pouvoir faire des rotations automatiques et périodiques, ça serait top

Avatar de ryô Abonné
Avatar de ryôryô- 08/06/20 à 17:17:38

cosmocat a écrit :

Tout à fait, mais quand tu vois que nos chères banques françaises aiment nous obliger à choisir un mot de passe uniquement numérique et relativement court à travers leur faux clavier numérique, tu te dis qu'il y a encore du travail de "formation"...

Le site Ameli également, mot de passe composé uniquement de chiffres avec un max de 13.
Faudrait que je vérifie si cette aberration est toujours d'actualité .

Il n'est plus possible de commenter cette actualité.
Page 1 / 3