Discussion :

[Stéphane le calme]

Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe
lorsqu'ils s'authentifient ?

Pourquoi permettre aux utilisateurs de coller leurs mots de passe est-elle une bonne chose ?

Permettre le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe, ces logiciels (ou services) qui vous permettent de choisir, sauvegarder puis entrer des mots de passe dans des formulaires en ligne à votre demande. Les gestionnaires de mots de passe peuvent s’avérer très utiles dans la mesure où ils:

• rendent plus facile d'avoir des mots de passe différents pour chaque site Web que vous utilisez ;
• améliorent votre productivité et réduisent la frustration en empêchant les erreurs de frappe lors des authentifications ;
• rendent plus simple d'utiliser des mots de passe longs et complexes.

Toutefois, il faut se rappeler que bien qu’ils peuvent offrir une meilleure protection et/ou s’avérer plus pratiques par exemple que garder vos mots de passe dans un document normal et non protégé sur votre ordinateur, ceux-ci ne sont pas forcément la solution idéale pour résoudre les problèmes de mots de passe d’une entreprise.

En effet, certains de ces services peuvent faire face à des failles de sécurité. C’est le cas par exemple de LastPass qui a dû récemment colmater une faille relative à son système d’authentification à deux facteurs.

Il est quand même important de noter que ce type de service/application peut encourager à :

• avoir plusieurs mots de passe sur des sites différents ;
• ne pas choisir des mots de passe facile à retenir ;
• ne pas noter des mots de passe par exemple sur une feuille de papier qui sera placée par exemple sur l’écran d’un ordinateur.

De plus, nombreux sont les services qui vous proposent l’accès à vos mots de passe depuis n’importe quelle plateforme. Il vous suffit donc de mettre à jour votre liste d’identifiants / MdP sur votre ordinateur et vous pourrez quasi instantanément y avoir accès sur votre tablette ou votre téléphone.

Quelles sont les raisons qui incitent les développeurs à les interdire ?

Mais il y a également des raisons qui peuvent justifier le fait que les développeurs veulent mettre un terme à la possibilité pour les utilisateurs de coller des mots de passe.

Tout d’abord, l’une des raisons évoquées est que le collage de mots de passe permet des attaques par force brute. Si le collage de mots de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mots de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.

Cela est vrai, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à mettre en place pour les attaquants, et qui sont beaucoup plus rapides. Aussi, selon le National Cyber Security Center (NCSC), le risque d'attaques par force brute à l'aide de la fonction copier/coller est donc très faible.

Une autre raison est que le collage des mots de passe les rend plus faciles à oublier étant donné que les utilisateurs ne seront plus obligés de le taper. En principe, il est vrai que plus vous faites appel à vos souvenirs, moins vous avez de chances de les oublier. Cependant, il peut arriver que des internautes aient des comptes sur des services qu’ils utilisent de façon occasionnelle. Cela signifie qu'ils n'ont pas assez d’occasions pour l’écrire et donc peu de chances de s’en souvenir. Pour le NCSC, cette raison n’est valide que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe et ce n'est pas toujours vrai.

Une autre raison est que les mots de passe vont traîner dans le presse-papiers. Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » depuis lequel il pourra le coller autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne qui l'utilise) a accès au presse-papiers, et peut voir ce qui y figure. Copier n'importe quoi d’autre surcharge généralement ce qui était déjà dans le presse-papiers et le détruit.

De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin qu'ils puissent le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou un logiciel malveillant) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

Les mots de passe restant dans le presse-papiers risquent de représenter un problème si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur étant donné que vous pouvez oublier d'effacer le presse-papiers. Cependant, la NCSC estime que ce n'est pas très risqué, car :

• la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site, et certains évitent même complètement le presse-papiers en tapant le mot de passe avec un « clavier virtuel » à la place ;
• le navigateur Internet 'Internet Explorer 6' permet aux pages malvoyantes de copier le presse-papiers, mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
• les virus installés sur votre ordinateur peuvent embarquer des copieurs de presse-papiers sur eux et se saisir de vos mots de passe collés. Ce n'est toujours pas une bonne raison pour empêcher le collage de mot de passe : lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours toutes les lettres, tous les numéros et tous les symboles saisis sur votre ordinateur, y compris vos mots de passe. Ils vont donc voler votre mot de passe, qu'il s'agisse ou non du presse-papiers, donc vous ne gagnez pas beaucoup à empêcher de coller les mots de passe.

Source : NCSC

Et vous ?

Quels choix avez-vous faits dans vos développements ?

[akoho]

lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance.

Bein, au point où on en est, même quand l'ordinateur n'est pas infecté, vous ne devriez tout simplement pas du tout lui faire confiance.

[Alvaten]

Tout d’abord, l’une des raisons évoquées est que le collage de mot de passe permet des attaques par force brute. Si le collage de mot de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mot de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.

Je comprend pas l'argument ? En quoi un logiciels ne peux pas faire la même chose en écrivant le mot de passe à tester ? Interdire de colle ne va en rien empêcher la force brut ...

Perso j'utilise KeePass au quotidien et je n'ai pas souvenir d'un logiciel qui m'ai empêché de coller à par le lock screen des sessions Windows en RDP.

[almarean]

De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.

[SkyZoThreaD]

J'avais vu une conf à la defconf ou un gars était furieux car il n'avait pas pu utiliser un keylogger car l'utilisateur faisait du copier-coller de ses mots de passe depuis un txt... donc oui c'est plutôt bon plan

[ttf77]

Si le copier/coller de mdp est impossible, j'utilise alors keepass2+KP2A-InputStick-Plugin sur mon smartphone connecté en bluetooth sur une clef usb 'InputStick' (www.inputstick.com) inséré sur le PC. La clef est vue comme un clavier USB. C'est une solution facile pour coller toute chaîne de caractères, mots de passe ou autres.

[Jarodd]

C'est une bonne pratique Opquast, qui fait office de référence dans le milieu du web. La proposition a fait consensus, et ils expliquent pourquoi ils recommandent l'autorisation du copier coller

[emutramp]

vous ne devriez tout simplement pas du tout lui faire confiance.

En voila un commentaire plein de bon sens, +1

Concernant le sujet, je me vois mal taper chacun de mes mot de passes de +30 caracteres pour chaque site sur lequel je dois m'identifier (genere avec KeepassX). Si il n'est pas possible de copier/coller, les mots de passes auront tendance a etre simple (pour se retenir / taper facilement). Les mots de passes simple ouvre la porte au bruteforce...

[koyosama]

De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.

Je suis connecter a plus d'une centaine de sites differents avec chacun un login parfois different, parfois le meme, par contre tous avec des mots de passe differents qui respectent tous les bonnes practices d'un mot de passe.
En plus certain sites obligent les utilisateurs a mettrent certains types de mot de passe. Franchement, je n'ai pas envie de me souvenir de tous mes mots de passe.

[23JFK]

J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les saisies de formulaire d'authenification.

[Fagus]

J'en pense que nous ne sommes pas représentatifs pour donner un avis basé sur notre expérience...
Je suis déjà tombé sur des sites qui bloquent le copier-coller, voire la capture d'écran.

C'est pas très compliqué, il suffit d'ouvrir son langage de script préféré qui peut utiliser l'api windows pour simuler des frappes clavier ou la capture d'écran.
De même, mon gestionnaire de mdp simule des frappes clavier, donc la plupart du temps je ne me rends même pas compte de ces limitations.

Si on parle de sécurité, ça reste mieux d'utiliser un gestionnaire de mpd plutôt que "toto123" comme pass identique sur 100 sites. De toutes façon, si on vole et casse mon gestionnaire de mdp, alors l'attaquant a probablement assez de droits pour enregistrer les frappes clavier.

[dasdeb]

De toute façon ils oublient une chose, les navigateurs peuvent servir à mémoriser le couple identifiant/mot de passe et le coller automatiquement

[Invité]

@Faqus Peux-tu nous dire quel est ton gestionnaire de mots de passe s'il te plaît?

[dcad59]

Je copie-colle régulièrement des mots de passe, mais j'aimerai bien un raccourci "coller et oublier" qui collerait le mot de passe puis l'effacerait du presse-papier

Cela limiterait également le temps pendant lequel un keylogger pourrait le récupérer
Cela éviterait de le coller à nouveau par erreur dans une conversation...
Ou bien si je suis sur le poste d'une autre personne, que cette personne puisse le colle si je n'ai rien copié par la suite
La solution pour l'instant est de copier immédiatement un mot ou même une lettre prise au hasard pour remplacer le mdp (ou toute autre donnée sensible) en mémoire

Je ne sais pas si un tel raccourci existe nativement dans un systême (sauf extension, plugin ou logiciel)

[Fagus]

@Faqus Peux-tu nous dire quel est ton gestionnaire de mots de passe s'il te plaît?

Password Safe. Si Bruce Schneier dit que c'est bien, quel autre gourou croire sur parole ? (en même temps, il est co-auteur)

[oudjira]

Dans tous les cas les Messieurs au boulot noir pourront le deviner, je préfère plutôt authentification par emprunt

[Vil'Coyote]

quoi que tu dises, quoi que tu fasses, quoi que tu penses le problème se trouvera toujours entre la chaise et le clavier.

[rame16]

J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les

a l'air d'etre une bonne idée maison ... !

[360noscope]

De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.

Plate à dire j'ai travailler 4 ans dans le public. Tu peux mettre Soleil2017 ou juste dragon ils vont l'oublier. L'informatique ca leurs passe au dessus de la tête. Plus rapide d'aller aux comptoirs de plaindre que ca marche pas et que tu as un mec qui fait tous le taff pour toi que de régler par eux même et de se forcer à se souvenir de leurs mots de passes. Beaucoup de personnes en haut de 40 ans qui ne sont pas habile avec l'informatique vont soit l'écrire sur un bout de papier ou se fier à un technicien pour l'aider ou un jeune qui travail dans un magasin de vente d'électronique. Donc pour moi je suis d'accord avec le copier coller je te dirai que ca sauve du temps parfois. Exemple y'a un wifi dans ma compagnie que le mot de passe ressemble à Xf5?2MComAd-/FkadL0ec&642.D Donc oui ca aide haha