Discussion :

[miltone]

Salut à tous,

Voilà j'ai trouvé une application mSecure permettant de sauvegarder l'ensemble de ses logins/password sur téléphone portable, tablette et PC et cela de facon synchrone sur l'ensemble des appli installées sur chaque terminal.

Un peu comme Keepass mais pour tous les terminal et synchronisé.

Bien entendu pour pouvoir effectuer cette tâche mSecure se base sur un système cloud. Le cryptage des informations se fait par une clé 256bits qui se base apparement sur un truc appelé blowfish encryptation (connais pas).

La solution de mSecure est plutôt allechante pour qui possède plusieurs terminal et s'en sert régulièrement pour une utilisation autant pro que perso.

Mais là il s'agit concrètement de donner ULTRA CONFIDENTIEL surtout si on enregistre ces données de banque et de services public et privé important.

Alors comment travail exactement le système mSecure ? Possèdent-ils le possibilité de voir en clair toutes nos données ? Même si ils la garde ultra confidentiel et qu'il ne s'amuse pas à lire ces données est ce qu'ils ont néanmoins la possibilité de les voir si ils le voulaient ?

Je suis assez retissent à la solution du fait de laisser ce genre de donner sur le cloud mais le service rendu est vraiment vraiment utile et pratique je trouve. Alors j'aimerais bien avoir votre avis concernant ce genre de service ou avoir des retour d'expérience.

Qu'en pensez-vous ? l'utilisez-vous ? Est-ce réellement sécurisé et confidentiel ?

Et sinon quel autre solution permettrait une synchronisation (pas nécessairement automatique) sur plusieurs devices de données confidentiel sans passé par du cloud ?


Merci à tous de votre participation

[souviron34]

Et sinon quel autre solution permettrait une synchronisation (pas nécessairement automatique) sur plusieurs devices de données confidentiel sans passé par du cloud ?

un petit bout de papier dans son portefeuille ou sur sa table de nuit ??

[atb]

Je ne connais pas trop cette application, mais dans le genre, j’utilise l’option « Autorisation des applications et des sites » de ma boite Gmail. Cela me permet de générer des mots de passe automatiques pour tous les différents diapositifs avec les quels je me connecte à ma boite (PC, terminaux sous android,...).

L’avantage est que ces mots de passe sont des codes automatiques, impossible de deviner quoi ce soit.
A distance, je peux à tout moment couper l’accès en supprimant l’accès via ma boite Gmail.
Si quelqu’un déchiffre le mot de passe sauvegardé sur mon téléphone par exemple, il ne pourra pas remonter et le réutiliser sur gmail pour changer quoi ce soit. (Je parle de la boite gmail et non pas de l’application, différence sur le paramétrage justement).

Si on se connecte à sa boite à partir d’un PC pour la première fois par exemple, google demande un autre code spécifique envoyé par SMS . C.-à-d. si quelqu'un intercepte mon mot de passe pour ma boite principale, il lui faudrait aussi le téléphone pour pouvoir y accéder.

Le souci, si je perds le téléphone + le cookie sur mon PC, impossible de se reconnecter à ma boite !

[MiaowZedong]

Personnellement, j'utilise des cryptogramme d'un même mot de passe. Le mot de passe "source", le même pour tout, est facile à retenir; je note juste les méthodes de cryptage correspondant aux divers comptes (ce sont des méthodes simples de cryptage "à la main"), comme ça je ne risque pas d'oublier, mais même si le papier ou le fichier texte (j'utilise en fait les deux) tombe entre de mauvaises main, il est inutile sans connaitre le mot de passe "source".

Comme ça je peux cloisoner mes nombreux mots de passe sans risquer d'en oublier.

[pmithrandir]

un petit bout de papier dans son portefeuille ou sur sa table de nuit ??

On m'a montré celle la pour un code de carte de crédit.

Si ton code est 1234 tu prépare un papier dans ton portefeuille avec par exemple :
george : 05 45 90 12 34 (05 45 étant l'indicatif de ta ville).

Entre les bouts de papiers, le téléphone portable et les noms de contact bidons, ca laisse pas mal de possibilité de sauvegarde sous le nez des gens, mais sans trop de danger.

[miltone]

Vos réponses n'était pas vraiment ce que j'attendais mais au fait c'est très intéressant de voir vos petits trucs de cryptage.

Ainsi une idée me viens. Il me suffirait de stocker, par un logiciel "in the cloud" accessible sur tous mes terminaux, mes mot de passe DEJA crypter suivant une petite règle établi par mes soins et connu que de moi.

Cette solution me parait vraiment efficace mais subsiste le problème des codes sauvegardé qu'on n'a pas choisi comme la banque, assurance etc...

Finalement je me demande s'il n'est pas préférable d'avoir une solution cross-platform synchronisable uniquement manuellement. C'est chiant au début de devoir réécrire ces mot de passe pour chaque terminal mais au final ca garanti de pouvoir stocker l'ensemble de ces données (donc de centralisé au maximum) dans un logiciel qui crypte le tout sans passé par la case cloud.

@atb : ta solution est intéressante je ne connaissais pas du tout.
@MiaowZedong : y'a de l'idée d'en lair. Idéal pour stocker en cloud ses mdp.
@pmithrandir : ta solution est tellement crypter que même toi tu va t'auto-crypter j'ai l'impression

[pmithrandir]

J'ai essayé de trouver la methode d'atb, mais sans succés sur ma boite gmail. C'est ou ?

Pour le stockage sur la cloud, il y a aussi la possibilité de :
- crééer une partition encryptée de type linux. (un mot de passe permet de la débloquer et d'accéder a son contenu, autrement totalement inutilisable)
- faire un système d'encodage à la main avec comme clef un mot de passe a toi.

Le soucis de ces 2 méthodes est que l'on a une sécurité basée sur un mot de passe unique, ce qui peut être dangereux.(si on a le mot de passe, on accède a tout).

Après, le mot de passe de la banque, je ne l'ai jamais trouvé très important. Comme on ne peut pas ajouter de destinataire autrement qu'en passant par son conseiller en général, ca limite vachement ce que la personne peut faire.

[Nachalnikov]

Concernant blowfish, c'est un algo de cryptage basé sur une clef. Avec cette clef, tu chiffres et tu déchiffres. L'algo est donc synchrone. C'est un algo libre et très facilement implementable (en java, moins d'une vingtaine de lignes pour les deux méthodes chiffrer, dechiffrer avec commons-vfs).

Pour des données aussi critiques, j'aurais plutôt opté pour du PGP (mais je ne suis pas un expert)

[miltone]

Mais les données crypter dans un cloud son crypter AVANT envoi APRES par leur serveur ?

[tchize_]

La logique voudrais "avant", histoire qu'il ne sachent rien faire des données.

Sinon, pour les mots de passe dans le portefeuille, il y a le password card.

http://www.passwordcard.org/en

Le plus drole, c'est que pour les sites les plus fréquenté (DVP par exemple) au bout d'une semaine vous connaissez par coeur un mot de passe hyper tordu :p

[Tommy31]

Sinon, pour les mots de passe dans le portefeuille, il y a le password card.

http://www.passwordcard.org/en

Ah, génial

[Jidefix]

Moi je trouve toujours ce strip d'actualité:
http://xkcd.com/936/

Pas forcément très réaliste mais avec un petit fond de vérité quand même...

[tchize_]

a ce sujet, les 20 dernières années de développement en sécurité informatique nous ont, étrangement, poussé à adopter des mots de passe impossibe à retenir par un être humain, mais faciles à générer par des logiciels de crack