IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Dirigeant
    Inscrit en
    Juin 2016
    Messages
    3 160
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Dirigeant
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2016
    Messages : 3 160
    Points : 66 249
    Points
    66 249
    Par défaut La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités
    La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe,
    selon un rapport

    Les connexions en ligne sont devenues de plus en plus nombreuses depuis les années 2010 notamment avec l’avènement des réseaux sociaux, de certains services en lignes (abonnement à un site de news, compte d’achats sur les sites e-commerce, etc.) et également de l’IoT. Chaque personne veut être présente sur au moins quelques-uns de ses réseaux et pouvoir profiter de certains services pour la plupart gratuits. Les nombreux services en ligne encouragent les utilisateurs à ne pas utiliser le même mot de passe partout. C’est là qu’interviennent les gestionnaires de mots de passe pour aider les utilisateurs à garder tous les mots de passe dont ils disposent de façon centralisée avec une couche de sécurité (ajout de métadonnées, et bien d’autres). Les gestionnaires de mots de passe permettent le stockage et la récupération d'informations sensibles à partir d'une base de données cryptée.

    Les utilisateurs comptent sur eux pour leur offrir de meilleures garanties de sécurité contre les exfiltrations insignifiantes par rapport aux autres moyens de stockage des mots de passe tels que les fichiers texte non sécurisés. Autrement dit, les gestionnaires de mots de passe permettent de conserver à un seul et même endroit la totalité de vos mots de passe utilisés sur Internet. Ils sont donc très utiles. Cela dit, un groupe d’évaluateurs en sécurité indépendants, ISE, a présenté cette semaine un rapport selon lequel les gestionnaires de mots de passe les plus populaires notamment sur Windows 10 disposent de quelques vulnérabilités qui pourraient être exploitées pour voler les informations d’identité des utilisateurs, en supposant qu’elles n’ont pas déjà été exploitées par des tiers. Cependant, rappellent-ils, cela ne veut pas du tout dire que vous devez abandonner votre gestionnaire de mots passe, puisqu’il vous sera très difficile de vous débrouiller sans.

    Dans le rapport que le groupe a présenté, ils ont exposé les garanties de sécurité que les gestionnaires de mots de passe devraient offrir et ont examiné le fonctionnement sous-jacent de cinq gestionnaires de mots de passe populaires pris en charge par le système d’exploitation Windows 10. Il s’agit des gestionnaires de mots de passe 1Password, Keepass, Dashlane et LastPass. Tous ces gestionnaires de mots de passe cités ci-dessous fonctionnement de la même manière, disent-ils. Les utilisateurs saisissent ou génèrent des mots de passe dans le logiciel et ajoutent les métadonnées pertinentes (par exemple, les réponses aux questions de sécurité et le site auquel le mot de passe est destiné). Ces informations sont cryptées, puis décryptées uniquement lorsque cela est nécessaire pour l'affichage pour les transmettre à un module complémentaire du navigateur qui remplit le mot de passe sur un site Web ou pour les copier dans le Presse-papier pour les utiliser.

    Nom : Capture du 2019-02-21 16-40-30.png
Affichages : 11572
Taille : 29,3 Ko

    Pour chacune de ces gestionnaires, le groupe définit trois états d'existence : non en cours d'exécution, déverrouillé et verrouillé. Dans le premier état, le gestionnaire de mot de passe doit garantir un chiffrement de manière à ce que tant que l'utilisateur n'utilise pas de mot de passe trivial, qu'un attaquant ne puisse brutalement deviner le mot de passe principal dans un délai raisonnable en utilisant les ressources informatiques couramment disponibles. Dans le deuxième état, il ne devrait pas être possible d'extraire le mot de passe principal de la mémoire ni directement, ni sous toute autre forme permettant de récupérer le mot de passe principal d'origine. Et dans le troisième état, toutes les garanties de sécurité d'un gestionnaire de mots de passe non actif doivent s'appliquer à un gestionnaire de mots de passe à l'état verrouillé.

    Dans leur analyse, les évaluateurs disent avoir examiné l'algorithme utilisé par chaque gestionnaire de mots de passe pour transformer le mot de passe principal en une clé de chiffrement et que l'algorithme manque gravement de complexité pour résister aux attaques de type cracking actuelles. Dans le cas de 1Password 4 (version 4.6.2.628), l'évaluation de sa sécurité en cours d'exécution a permis de trouver des protections raisonnables contre l'exposition de mots de passe individuels à l'état déverrouillé. Malheureusement, cela a été éclipsé par sa gestion du mot de passe principal et par plusieurs détails d'implémentation brisés lors de la transition de l'état déverrouillé à l'état verrouillé. Le mot de passe principal reste en mémoire lorsqu'il est déverrouillé et le logiciel ne parvient pas à effacer suffisamment la région de la mémoire du mot de passe obfusqué lors du passage de l'état déverrouillé à l'état verrouillé.

    Il est donc possible de récupérer et de désobfusquer le mot de passe principal à partir de 1Password 4 puisqu'il n'est pas effacé de la mémoire après avoir placé le gestionnaire de mots de passe dans un état verrouillé. En prenant 1Password 7 (version 7.2.576), ce qui les a surpris est qu’ils ont constaté qu'il est moins sécurisé en cours d'exécution que 1Password 4. 1Password 7 a déchiffré tous les mots de passe individuels de la base de données de test dès qu’il est déverrouillé et les met en mémoire cache, contrairement à 1Password 4 qui n’a gardé en mémoire qu’une entrée à la fois. En outre, ils ont aussi constaté que 1Password 7 ne nettoie ni les mots de passe individuels, ni le mot de passe principal, ni la clé secrète de la mémoire lors du passage de l’état déverrouillé à l’état verrouillé.

    Ensuite, dans l’évaluation de Dashlane, les processus indiquaient que l’accent était mis sur la dissimulation de secrets en mémoire afin de réduire les risques d’extraction. De plus, l'utilisation de frameworks de gestion de la mémoire et de l'interface graphique qui empêchait la transmission de secrets à diverses API du système d'exploitation était unique à Dashlane et risquait de les exposer à une écoute illicite par des programmes malveillants. Contrairement aux autres gestionnaires de mots de passe, KeePass est un projet open source. Semblable à 1Password 4, KeePass décrypte les entrées au fur et à mesure de leur interaction. Cependant, elles restent toutes en mémoire, car elles ne sont pas effacées individuellement après chaque interaction. Le mot de passe principal est effacé de la mémoire et ne peut pas être récupéré.

    Nom : c2.png
Affichages : 11101
Taille : 36,1 Ko

    Cependant, alors que KeePass tente de sécuriser les secrets en les effaçant de la mémoire, il existe évidemment des erreurs dans ces flux de travail, car nous avons découvert, disent-ils, que même dans un état verrouillé, nous pouvions extraire les entrées avec lesquelles il avait interagi. Les entrées ayant fait l'objet d'une interaction restent exposées en mémoire même après que KeePass ait été placé dans un état verrouillé. Enfin, semblable à 1Password 4, LastPass obscurcit le mot de passe principal lorsqu’il est saisi dans le champ de déverrouillage. Une fois que la clé de déchiffrement a été dérivée du mot de passe principal, le mot de passe principal est remplacé par la phrase "lastpass". Une fois que LastPass entre dans un état déverrouillé, les entrées de la base de données sont décryptées en mémoire uniquement lors de l'interaction de l'utilisateur.

    Cependant, ces entrées restent en mémoire même après que LastPass a été replacé dans un état verrouillé. Autrement dit, il y a une exposition du mot de passe principale et des entrées en mémoire. Pour avoir plus d’informations sur les tests réalisés et plus de détails sur les résultats et conclusions des tests, vous pouvez vous référer au site de l’ISE. Pour finir, ISE a déclaré que son but n’était pas de critiquer les gestionnaires de mots de passe, mais de mettre en évidence les garanties primaires que tous les gestionnaires de mots de passe devraient pouvoir offrir.

    Nom : c3.png
Affichages : 11461
Taille : 314,5 Ko

    « Ce document ne vise pas à critiquer les implémentations spécifiques du gestionnaire de mots de passe. Il s'agit plutôt d'établir une base minimale raisonnable à laquelle tous les gestionnaires de mots de passe doivent se conformer. Il est évident que des tentatives de nettoyage et de mémoire sensible sont effectuées dans tous les gestionnaires de mots de passe. Cependant, chaque gestionnaire de mots de passe échoue dans la mise en œuvre de la désinfection appropriée des secrets pour des raisons diverses », a conclu ISE dans son argumentaire.

    Suite à cet article Dashlane nous a envoyé un droit de réponse que voici publié dans son intégralité :
    Citation Envoyé par Réponse de Dashlane
    « Le scénario évoqué est celui d'un pirate qui aurait pris le contrôle total de l'appareil d'un utilisateur. Tout d'abord, il convient de noter qu'il s'agit d'une question / d'une hypothèse très couramment envisagée dans le monde de la sécurité. En outre, cette problématique ne se limite pas à Windows 10, mais s'applique à tous systèmes d'exploitation et à tous les périphériques numériques connectés à Internet. En effet, elle est abordée dans notre livre blanc consacré à la sécurité (page 18, section f). Même si les consommateurs ne consultent probablement pas nos livres blancs sur la sécurité, la plupart des grandes entreprises clientes qui ont adopté notre solution (ou toute autre solution de gestion des identités) saut au fait de ce type de problématique, notamment dans le cadre de leurs audits de sécurité.

    Il est en effet exact que si un pirate prend le contrôle total d'un périphérique au niveau le plus bas du système d'exploitation, il peut accéder à toutes les informations du périphérique. C’est non seulement valable avec Dashlane et les autres gestionnaires de mots de passe, mais aussi pour tout logiciel et même tout appareil qui stocke des données numériques. Dans un tel cas de figure, l’attaquant pourrait également voir tout ce qui est tapé par l'utilisateur, y compris les mots de passe et les numéros de carte de crédit, toute information échangée par l'appareil sur Internet même si elle est envoyée par https, et toute information que l'appareil est capable de capturer via du matériel (audio, vidéo, etc.), que l'utilisateur utilise ou non un gestionnaire de mots de passe.

    Il est généralement admis dans le monde de la cybersécurité que le scénario décrit ci-dessus est un cas extrême, en ce sens qu'aucun système ne peut protéger un périphérique déjà complètement compromis. Veuillez noter cependant que les pires conséquences de ce scénario ne touchent pas les données stockées par Dashlane sur votre appareil : ces données (par exemple stockées sur le disque dur) sont cryptées et ne peuvent pas être lues par un pirate, même si celui-ci a pris le contrôle total de l'appareil. Ces conséquences ne s'appliquent qu'aux données présentes dans la mémoire de l'appareil lorsque l’utilisateur a saisi son mot de passe maître.

    Il est dangereux d’utiliser cet argument pour pousser les gens à cesser d’utiliser un logiciel / une technologie de protection :

    Recommander de ne pas utiliser une solution de protection à moins que celle-ci ne soit pratiquement impossible à compromettre conduit à rejeter tout logiciel de sécurité car, dans le scénario décrit, ils peuvent tous potentiellement être compromis.

    Cela revient à dire : "J’accepte uniquement si je suis protégé à 100%. Si ce n'est pas le cas, je ne fais confiance à personne."
    De ce fait, les consommateurs se retrouvent sans protection face aux menaces les plus courantes (réutilisation de mots de passe qui peuvent être volés en ligne par des pirates qui ciblent des millions de consommateurs en une seule attaque) par crainte d'une menace beaucoup moins probable (un cybercriminel qui prendrait spécifiquement le contrôle du périphérique d'un seul utilisateur).
    Cela nous mène directement à la question de l'apathie des consommateurs en matière de protection de leur identité numérique : « comme aucune solution n'est parfaite à 100%, je préfère ignorer le problème...»
    En fin de compte, la seule protection efficace dans ce type scénario est de ne plus utiliser l’appareil compromis.

    C'est pour cette raison que la plupart des experts en sécurité (sinon tous) recommandent tout de même l'utilisation des gestionnaires de mots de passe, alors même qu'ils sont pleinement conscients du scénario évoqué. »
    Source : ISE

    Et vous ?

    Que pensez-vous des résultats de cette recherche ?
    Utilisez-vous un gestionnaire de mots de passe ? Quelle est votre appréciation à propos ?
    Que pensez-vous de la réponse de Dashlane ?

    Voir aussi

    Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d'utilisateurs à cause d'une erreur de configuration d'instance AWS

    Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques selon les chercheurs en sécurité de TeamSIK

    Les pires mots de passe 2018 : « 123456 » trône en tête du classement pour la cinquième année consécutive et est suivi par « password » comme en 2017

    Les régies publicitaires exploitent les gestionnaires de mots de passe intégrés des navigateurs pour traquer les internautes assure une étude
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2010
    Messages
    403
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Juillet 2010
    Messages : 403
    Points : 1 417
    Points
    1 417
    Par défaut
    Je n'ai jamais ressenti le besoin d'utiliser des gestionnaires de mots de passe, il était évident qu'un endroit centralisant ces données (sensibles) serait exposé à ces vulnérabilités.

  3. #3
    Membre éprouvé Avatar de 4sStylZ
    Homme Profil pro
    Null
    Inscrit en
    Novembre 2011
    Messages
    314
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Null
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 314
    Points : 1 056
    Points
    1 056
    Par défaut
    Je n’ai jamais aimé le système de mot de passe, surtout quand c’est utilisé à outrance pour créer des comptes à usage unique.
    De manière génerale je préfère m’exposer à des risques théoriques et ne plus avoir à me soucier de centaines de mots de passes. C’est vraiment un confort dont j’aurai du mal à me passer. À vue de nez j’ai 250 comptes différents sur mon outil, et parfois plus d’un par site web distinct.

    Peut être qu’avec un password manager je m’expose plus, mais ça reste à vérifier :*Après tout, un mot de passe on est embêté quand on se le fait voler mais aussi quand on le perd et sur le coup depuis que j’ai un password manager je ne les perd plus.
    Avant, j’utilisais avant la sauvegarde auto des mots de passe. Je laissais donc stocké les mots de passes (certainement cryptés) sur chacune des machines / browser que j’utilisais. Maintenant ils sont chez un spécialiste de la sécu (bon… ça vaut ce que ça vaut).

    Si je me fait hack mon master password je suis dans la mouise et on pourra monter un bon petit plan d’ingénierie sociale basé sur les accès à des sites de jeux video ou mon compte developpez.com


    Le seul compte que je ne met pas sur mon outil est mon compte bancaire.

  4. #4
    Membre confirmé
    Avatar de Skyxia
    Homme Profil pro
    Ingénieur réseau & sécurité
    Inscrit en
    Mai 2016
    Messages
    359
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Ingénieur réseau & sécurité
    Secteur : Service public

    Informations forums :
    Inscription : Mai 2016
    Messages : 359
    Points : 627
    Points
    627
    Billets dans le blog
    3
    Par défaut
    Hello,

    Personnellement j'avais peur d'utiliser ce genre de logiciels auparavant, maintenant j'utilise Bitwarden sur le conseil d'un ami, et je le trouve plutôt pas mal, j'ai pas regardé en détail ce qu'il valait niveau sécurité mais j'ai jamais eu écho non plus de faille potentielle dessus. L'extension de Firefox est plutôt pratique faut l'avouer

    Cdt,

    Siberattaque : Attaque informatique par un hackeur sibérien.


    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  5. #5
    Membre éprouvé
    Femme Profil pro
    Inscrit en
    Juillet 2012
    Messages
    263
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Italie

    Informations forums :
    Inscription : Juillet 2012
    Messages : 263
    Points : 998
    Points
    998
    Par défaut
    Vous les gardez comment alors vos mots de passe?

  6. #6
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour,

    Pour gérer vos de mot de passe c'est très simple :

    Mail principal + mot de passe sous forme de passe phrase (retenez seulement celui ci) pour vos webmail.

    Pour vous inscrire à des sites web créez un alias de votre adresse mail qui ne permet pas de se connecter à votre messagerie (uniquement de recevoir du courrier).

    Utilisez cet alias pour les sites +/- secure commercial/forum/tchat ...

    Vous oubliez le mot de passe du web service ? Pas de soucis faite "mot de passe oublié" .

    Ainsi vous ne vous emmerdez plus avec des mots de passes à retenir ^^ , encore moins un gestionnaire de mot de passe ... Ils sont forcement tous différents vos mots de passes sur les web services.

    Vous pouvez dormir sur vos deux oreilles.

    L'avantage ? En cas de piratage ou spam trop nombreux ... on coupe l'alias et magie ! Moins de spam !

    Pourquoi risquer le diable avec des applis pareils ?

  7. #7
    Membre confirmé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Septembre 2013
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : Service public

    Informations forums :
    Inscription : Septembre 2013
    Messages : 133
    Points : 458
    Points
    458
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Pourquoi risquer le diable avec des applis pareils ?
    Parce que ces applis sont pratiques et permettent de s'adapter a tout types de mot de passe possible (on vous vois les sites qui sont allergique au caractères spéciaux et ou long mot de passe *gros yeux*) permettent de générer des mot de passes pseudo aléatoires, de se souvenirs d'identifiant, de ne pas avoir a recrée un mot de passe par semaine ou moins en fonction du nombre de site, de renouveler les mot de passes en question régulièrement pour limiter les risques et exposes pour certaines a des risques théoriques limités? Et si le gestionnaire de mot de passe tombe tu fais quoi? Et si tu le/les courriels tombe tu fais quoi? C'est a peu près le même combat au final, le risque zéros n'est pas présent le gestionnaire de mot de passe lui pouvant fonctionner en offline en cas de pépins pour les éventuel application offline a utilisé ou simplement pour éviter d'avoir a récupéré un mot de passe d'un forum ou d'un site pas important sur un réseaux qui n'inspire pas confiance.

  8. #8
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Après, les vulnérabilités ne semblent pas si énormes que cela (sauf pour les cas où le mot de passe maître est exposé).


    Il y a peu de chance qu'une personne débarque dans votre maison/appartement avec de l'azote liquide pour y plonger votre ram.
    Si votre ordinateur est totalement corrompu, c'est de toute manière fini, quoi que vous fassiez.

    Le problème serait surtout l'exploitation d'une autre faille, pour aller lire directement la ram d'autres applications, sachant qu'en théorie, l'OS est censé disposer de mesures pour éviter/limiter de tels accès (e.g. adressage virtuel, canaris, …).
    Sachant que votre mot de passe devra à un moment ou un autre se retrouver dans la ram, qu'il y soit exposé plus ou moins longtemps ne fera en pratique pas grande différence, si on considère que l'attaquant ayant un tel accès à la ram, pourra périodiquement aller la lire. En revanche si on considère que l'attaque commence à un temps t, effectivement, cela exposera aussi les entrées utilisées à t'<t.

    À part disposer d'un secure element, il y aura toujours un moment de "vulnérabilité", si on considère le client comme totalement corrompu, et ce même sans utiliser de gestionnaire de mots de passes. On pourrait même citer, e.g., les side-channels attacks.


    Plutôt que de vulnérabilité, je préfèrerais parler de marge de progression pour offrir une sécurité encore meilleure.


    N'oublions pas aussi, que ce n'est pas parce que les gestionnaires de mots de passes ne sont pas parfaits, que ne pas les utiliser est mieux.

  9. #9
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Pourquoi risquer le diable avec des applis pareils ?
    Parce que lorsqu'on a des dizaines ou des centaines de comptes, ça devient vite ingérable (sauf si on utilise le même mot de passe partout bien sûr ).

    En plus, en ce qui me concerne, c'est bien pratique pour garder une trace de tous les comptes que je possède (je complète la liste au fur et à mesure)

    Sans oublier qu'en entreprise, on est bien obligés d'avoir une liste quelque part pour tous les services, donc un gestionnaire de mots de passe sérieux sera infiniment plus pratique et plus sécurisé qu'un fichier texte qui traîne sur le réseau

    Quant aux risques, j'en suis arrivé à la conclusion que c'est bien minime si on fait attention (surtout par rapport au service rendu) : il faudrait que le fichier de base de données « fuite » dans la nature et que quelqu'un puisse en casser le mot de passe (plus de 20 caractères), ce qui me paraît très peu probable. Au sujet des keyloggers, le problème serait exactement le même en entrant les identifiants à la main, alors...

  10. #10
    Membre confirmé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Septembre 2013
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : Service public

    Informations forums :
    Inscription : Septembre 2013
    Messages : 133
    Points : 458
    Points
    458
    Par défaut
    Citation Envoyé par Volgaan Voir le message
    Au sujet des keyloggers, le problème serait exactement le même en entrant les identifiants à la main, alors...
    D'autant qu'on a la possibilité avec certains de faire un copier coller des ID avec effacement du cache dans les X secondes si on veut éviter le keyloggers. Ok ça ouvre d’éventuel faille, mais on va rapidement finir avec le serpent qui se mort la queue

  11. #11
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 965
    Points
    3 965
    Par défaut
    Le sujet est intéressant.
    Que penser des gestionnaires de mots de passe intégrés aux navigateurs, qu'ils n'ont pas pris en considération ?
    Émotion
    Infantilisation
    Culpabilisation

    Christophe Alévèque - 18 Mars 2021

  12. #12
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par fredoche Voir le message
    Le sujet est intéressant.
    Que penser des gestionnaires de mots de passe intégrés aux navigateurs, qu'ils n'ont pas pris en considération ?
    Sans mot de passe maître (ce qui est le cas par défaut me semble-t-il), la sécurité est nulle, car les mots de passe sont stockés en clair (ou de manière aisément lisible)

    Avec mot de passe maître, c'est mieux, mais je ne suis pas certain qu'on arrive au même niveau de sécurité que les gestionnaires de mots de passe sérieux. À creuser !

  13. #13
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour,

    Citation Envoyé par Itachiaurion Voir le message
    Parce que ces applis sont pratiques et permettent de s'adapter a tout types de mot de passe possible (on vous vois les sites qui sont allergique au caractères spéciaux et ou long mot de passe *gros yeux*) permettent de générer des mot de passes pseudo aléatoires, de se souvenirs d'identifiant, de ne pas avoir a recrée un mot de passe par semaine ou moins en fonction du nombre de site, de renouveler les mot de passes en question régulièrement pour limiter les risques et exposes pour certaines a des risques théoriques limités? Et si le gestionnaire de mot de passe tombe tu fais quoi? Et si tu le/les courriels tombe tu fais quoi? C'est a peu près le même combat au final, le risque zéros n'est pas présent le gestionnaire de mot de passe lui pouvant fonctionner en offline en cas de pépins pour les éventuel application offline a utilisé ou simplement pour éviter d'avoir a récupéré un mot de passe d'un forum ou d'un site pas important sur un réseaux qui n'inspire pas confiance.
    Pour éjecter la multitude de mot de passe j'ai une solution radical qui consiste a n'en retenir aucun ... Simplement noter dans un .txt ou .xls la ou je suis inscrit avec le mail ou le pseudo usité éventuellement, je ne note jamais le mot de passe associé. Pour me connecter je fais >> "Mot de passe oublié" a chaque fois .

    C'est la bonne vieille méthode du token unique a chaque connexion.

    Pour des mots de passes vraiment utilisés de manières récurrente la c'est un peu différent. C'est se faire sa propre sécurité pour le retrouver et y avoir accès en cas de pépin . De manière simple ... la passephrase . Après c'est se débrouiller pour le sécuriser comment le stocker , comment y accéder .

    Citation Envoyé par Neckara Voir le message
    Après, les vulnérabilités ne semblent pas si énormes que cela (sauf pour les cas où le mot de passe maître est exposé).


    Il y a peu de chance qu'une personne débarque dans votre maison/appartement avec de l'azote liquide pour y plonger votre ram.
    Si votre ordinateur est totalement corrompu, c'est de toute manière fini, quoi que vous fassiez.

    Le problème serait surtout l'exploitation d'une autre faille, pour aller lire directement la ram d'autres applications, sachant qu'en théorie, l'OS est censé disposer de mesures pour éviter/limiter de tels accès (e.g. adressage virtuel, canaris, …).
    Sachant que votre mot de passe devra à un moment ou un autre se retrouver dans la ram, qu'il y soit exposé plus ou moins longtemps ne fera en pratique pas grande différence, si on considère que l'attaquant ayant un tel accès à la ram, pourra périodiquement aller la lire. En revanche si on considère que l'attaque commence à un temps t, effectivement, cela exposera aussi les entrées utilisées à t'<t.

    À part disposer d'un secure element, il y aura toujours un moment de "vulnérabilité", si on considère le client comme totalement corrompu, et ce même sans utiliser de gestionnaire de mots de passes. On pourrait même citer, e.g., les side-channels attacks.


    Plutôt que de vulnérabilité, je préfèrerais parler de marge de progression pour offrir une sécurité encore meilleure.


    N'oublions pas aussi, que ce n'est pas parce que les gestionnaires de mots de passes ne sont pas parfaits, que ne pas les utiliser est mieux.
    Justement ! La concentration des mots de passes est dangereuse ... Cela revient à dire chez soi on regroupe toutes les clefs aux même endroit ! Erreur ! En cas de cambriolage ou de vole mieux vaut avoir a changer 1 serrures que 15 ou 20 !

    Par sécurité il est préférable de ranger les doublons de clefs de la voiture a endroit et celle de la maison à un autre , tout comme celle des fenêtres ou de la porte du garage

    Citation Envoyé par Volgaan Voir le message
    Parce que lorsqu'on a des dizaines ou des centaines de comptes, ça devient vite ingérable (sauf si on utilise le même mot de passe partout bien sûr ).

    En plus, en ce qui me concerne, c'est bien pratique pour garder une trace de tous les comptes que je possède (je complète la liste au fur et à mesure)

    Sans oublier qu'en entreprise, on est bien obligés d'avoir une liste quelque part pour tous les services, donc un gestionnaire de mots de passe sérieux sera infiniment plus pratique et plus sécurisé qu'un fichier texte qui traîne sur le réseau

    Quant aux risques, j'en suis arrivé à la conclusion que c'est bien minime si on fait attention (surtout par rapport au service rendu) : il faudrait que le fichier de base de données « fuite » dans la nature et que quelqu'un puisse en casser le mot de passe (plus de 20 caractères), ce qui me paraît très peu probable. Au sujet des keyloggers, le problème serait exactement le même en entrant les identifiants à la main, alors...
    Se pose une question , est ce vraiment nécessaire d'avoir 100 ou 200 comptes ?

    La gestionnaire de mot de passe c'est comme la conciergerie , y laisser toutes ces clefs est risqué ... une seul l'ai moins ...

  14. #14
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Pour éjecter la multitude de mot de passe j'ai une solution radical qui consiste a n'en retenir aucun ... Simplement noter dans un .txt ou .xls la ou je suis inscrit avec le mail ou le pseudo usité éventuellement, je ne note jamais le mot de passe associé. Pour me connecter je fais >> "Mot de passe oublié" a chaque fois .
    Quid donc du mot de passe de tes boîtes mails ?

    Que se passera-t-il si ta boîte mail est hackée ?

    Citation Envoyé par Popi Voir le message
    Justement ! La concentration des mots de passes est dangereuse ... Cela revient à dire chez soi on regroupe toutes les clefs aux même endroit ! Erreur ! En cas de cambriolage ou de vole mieux vaut avoir a changer 1 serrures que 15 ou 20 !

    Par sécurité il est préférable de ranger les doublons de clefs de la voiture a endroit et celle de la maison à un autre , tout comme celle des fenêtres ou de la porte du garage

    […]

    La gestionnaire de mot de passe c'est comme la conciergerie , y laisser toutes ces clefs est risqué ... une seul l'ai moins ...
    Si on étend ta logique, il faudrait que tu utilises un ordinateur et un OS par compte, tu comprendras bien que ça vire au ridicule.
    Dans ta maison, si on casse une vitre, on peut presque tout voler, ce n'est pas pour autant que tu te dis qu'il te faut 2 maisons pour ne pas tout ranger au même endroit.

    Parlons maintenant du vol des mots de passes. Il ne faut pas oublier que les mots de passes sont stockés de manière chiffrés, de sorte à ce qu'il est impossible de les déchiffrer sans connaître le mot de passe maître (et posséder le fichier des mots de passes chiffré, ce qui en fait une authentification forte).

    La seule vulnérabilité réelle viendrait d'une corruption du client, et là, gestionnaire de mot de passe ou non, tous tes mots de passes seront exposés. Et tu ne vas pas utiliser plusieurs ordi pour ne pas "centraliser".

  15. #15
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Se pose une question , est ce vraiment nécessaire d'avoir 100 ou 200 comptes ?
    On y arrive vite après plus d'une décennie entre les sites personnels et les hébergements associés, les boutiques en ligne, les comptes e-mail, le(s) compte(s) pro, YouTube, les forums, les sites d'actualité payants, etc. Mais même s'il n'est question que d'une trentaine de comptes, c'est toujours ça à mémoriser par cœur !

    Citation Envoyé par tanaka59 Voir le message
    La gestionnaire de mot de passe c'est comme la conciergerie , y laisser toutes ces clefs est risqué ... une seul l'ai moins ...
    Sauf que là, pour reprendre l'analogie, toutes les clés sont stockées dans un coffre-fort sécurisé (parce que chiffré), pas dans une boîte en carton cachée dans le placard à balais

  16. #16
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Bonjour ,

    Citation Envoyé par Volgaan Voir le message
    On y arrive vite après plus d'une décennie entre les sites personnels et les hébergements associés, les boutiques en ligne, les comptes e-mail, le(s) compte(s) pro, YouTube, les forums, les sites d'actualité payants, etc. Mais même s'il n'est question que d'une trentaine de comptes, c'est toujours ça à mémoriser par cœur !
    "
    A mon sens il devient nécessaire de se poser les bonnes questions avant de dire "on a trop de mots de passe à gérer" . Se poser la question, de quels sont les services "obligatoires" et ceux relevant du "non essentiel" avant tout.

    Dans les services "obligatoires" nécessitant un compte internet et la gestion d'un mot de passe, en somme du "service critique" je classerai :

    Opérateur d'eau
    Opérateur de gaz
    Opérateur d'électricité
    Service d'alarme, d’objet connectés, télésurveillance, détecteur incendie, appareillage médicalisé (SIM M2M)
    Opérateur télécoms
    Banques
    Services financiers divers (assurance vie, épargne retraite, avoir salariaux ...)
    Assurance (maison, voiture, bateau, personne, animaux ... )
    Assurance maladie (pour les prestations liées à la santé)
    Assurance retraite/pension (paiement des retraites, des pensions et autres avoirs de fin de carrière ... )
    Allocation chômage
    Allocation familiale & services liés au social (bailleur, prestation , location hlm ... )
    Archivage des documents administratif en ligne (bulletin de paie, contrat de travail , certificat de travail ...)
    Mutuelle
    Impôt , paiement des taxes & redevances , timbre fiscal & vignettes
    Dossier médical en ligne (DMP, compte en ligne pour des examens médicaux , liaison entre un hôpital et un patient ... )
    Abonnement transport (TC, train , abo de péage ... )
    Liaison avec l'administration (demande de doc officiel, recensement , service communaux ... )
    Loi et juridictionnel (tous les dossiers relevant de décisions de justice, d'avocat, de juge ou notaire ... )
    Titre d'identité (carte d'identité, passeport, carte grise, carte d'invalidité, certificat d'adoption ... )
    Webmail (gestion des courriers électroniques, adresse mail ... )
    Gestion du courrier et des services d'annuaires (location de boite postale, reroutage de courrier en cas de déménagement , liste rouge, liste d'opposition téléphonique , stop pub ... )
    Intranet d'établissement scolaire et fac (suivi des notes, inscription aux concours , planning de cours ... )

    L'ensemble de ces services sont "critiques" , "vitaux" ou "obligatoires" . Un compte bancaire est obligatoire pour toucher son salaire , accéder à ces fiches de paie et les archiver est obligatoire pour sa future retraite, pour accéder à l'information de la collectivité ou vous habitez cela se passe via des décisions type " légifrance" qui regroupe les lois ...

    Soit 20 à 30 web services qui nécessitent a minima une connexion obligatoire 1 à plusieurs fois par mois/an.

    C'est la qu'est toute la subtilité. Tout ce qui relève des médias , communications de masse (hors communication officielle et personnelle ), loisir , détente , shopping, presse, marketing , associatif ... Certes il important de protéger son Deezer, Facebook ou Spotify ... Après un compte ameli.fr, mutualitechretienne.be , bnp.fr ou de sa fac est à mon sens plus important à gérer que son compte carrefour.be ou eurodisney.com

    Se connecter de manière quotidienne sur groupon.fr qu'on ne me dise pas que c'est plus vital que se connecter sur le portail de son opérateur télécoms et suivre l'état de sa facturation ! Tout ce qui est "non essentiel" à mon sens, on crée un besoin artificiel de sécurisation ... Il sera plus important de se soucier de retenir le mot de passe pour l’accès à son compte aux impôts le mot de passe de son compte Amazon. Pourtant on commande plus sur Amazon que l'on fait sa déclaration d’impôt .

    Citation Envoyé par Volgaan Voir le message
    Sauf que là, pour reprendre l'analogie, toutes les clés sont stockées dans un coffre-fort sécurisé (parce que chiffré), pas dans une boîte en carton cachée dans le placard à balais
    Et tu fais comment quand le coffre fort est forcé (donc ouvert) ou bien bloqué (donc compromis ) voir carrément volé ???

    Cela me rappelle une histoire arrivé dans une commune de la métropole Lilloise. Un gar des services techniques d'une ville c'est fait volé un trousseau de clef avec les passes de 300 portes et 50 modèles de clefs passes partout . Résultat 300 barillés à changer, 15 à 25 clef à refaire à chaque fois ... Cout total de l'opération presque 50 000 € !

    Faire croire aux gens qu'un gestionnaire de mdp est l’alpha et l'oméga en terme de sécurité info est un leurre ... Avoir une hygiène numérique réfléchie et raisonnée passe par l'éducation , pas par une course à l'inscription à 100 , 200 voir 300 sites ...

    As t on réellement le besoin de s’inscrire sur 50 de VAD (Amazon, Cdiscount, Fnac, Groupon ... ) ?

  17. #17
    Membre extrêmement actif
    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    1 616
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 1 616
    Points : 3 965
    Points
    3 965
    Par défaut
    On est pas là pour juger du besoin, du nécessaire, indispensable, plus ou moins important.

    Authentifications, autorisations, identifications reposent quasi exclusivement sur un couple login/mdp, et on en arrive à cette situation où tu listes 30 services importants, rien que ça. Et personne ou presque ne va gérer 30 mdp différents

    C'est un non sens quelque part, dans la "vraie vie", ça ne marche pas comme ça et heureusement.

    Je ne serais pas surpris qu'un jour où l'autre on revienne à des systèmes de PKI, de SSO comme le propose franceconnect.
    Des sites comme google ou facebook proposent ce genre de service, mais là tu confies ça à des tiers dont tu ne sais pas à quel point ils sont dignes de confiance
    Émotion
    Infantilisation
    Culpabilisation

    Christophe Alévèque - 18 Mars 2021

  18. #18
    Inactif  


    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    Décembre 2011
    Messages
    9 012
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : Décembre 2011
    Messages : 9 012
    Points : 23 209
    Points
    23 209
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Et tu fais comment quand le coffre fort est forcé (donc ouvert) ou bien bloqué (donc compromis ) voir carrément volé ???
    Comment veux-tu forcer un coffre-fort numérique si le mot de passe maître est fort ?
    Le vol du coffre-fort ne pose aucun problème étant donné qu'il est chiffré et peut être facilement répliqué.

    Pour le bloquer, qu'entends-tu par là ?


    Après, comme je l'ai dit, si le client est corrompu, avec ou sans gestionnaire de mot de passe, c'est fini.

    Citation Envoyé par tanaka59 Voir le message
    Cela me rappelle une histoire arrivé dans une commune de la métropole Lilloise. Un gar des services techniques d'une ville c'est fait volé un trousseau de clef avec les passes de 300 portes et 50 modèles de clefs passes partout . Résultat 300 barillés à changer, 15 à 25 clef à refaire à chaque fois ... Cout total de l'opération presque 50 000 € !
    En ce, un gestionnaire de mot de passe est plus qu'intéressant.

    Déjà, tu auras tendance à avoir un mot de passe unique par compte, donc si l'un est corrompu, tu n'auras qu'un seul mot de passe à changer sur un seul compte.

    Dans le pire du pire des cas (improbable), tu auras même la liste complète des comptes que tu possèdes. Cela te prendra au pire un après-midi (et encore), mais au moins, tu auras la garanti d'avoir été exhaustif.


    Citation Envoyé par tanaka59 Voir le message
    Faire croire aux gens qu'un gestionnaire de mdp est l’alpha et l'oméga en terme de sécurité info est un leurre ... Avoir une hygiène numérique réfléchie et raisonnée passe par l'éducation , pas par une course à l'inscription à 100 , 200 voir 300 sites ...

    As t on réellement le besoin de s’inscrire sur 50 de VAD (Amazon, Cdiscount, Fnac, Groupon ... ) ?
    Sachant que certaines fonctionnalités sont conditionnées à la possession d'un compte, parfois oui...

    Après, si tu utilises un gestionnaire de mot de passe, avoir 10, 100, 10 000 comptes ne posent aucun problèmes.
    Mieux, en ayant la liste de tous tes comptes, tu peux aussi "faire un point" sur l'utilité de chacun de ces comptes, voir supprimer ceux que tu n'utilises plus.

  19. #19
    Membre confirmé
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Janvier 2011
    Messages
    204
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Janvier 2011
    Messages : 204
    Points : 511
    Points
    511
    Par défaut
    Citation Envoyé par tanaka59 Voir le message
    Et tu fais comment quand le coffre fort est forcé (donc ouvert) ou bien bloqué (donc compromis ) voir carrément volé ???
    Comme déjà dit, pour que cela arrive, il faut déjà qu'une tierce personne récupère mon "coffre" et arrive à en casser le mot de passe (fort, avec itération configurée pour que le hachage, donc chaque tentative de cassage, prenne plus d'une seconde). Bonne chance, d'autant qu'il est possible de renforcer la protection avec des fichiers clés, par exemple... Bref, c'est très peu probable.

    Et puis, il faut aussi savoir contre qui l'on souhaite se protéger. Contre la NSA/USA ? Probablement utopique (quoique...). Ils ont sans doute déjà bien d'autres accès "privilégiés" sans avoir besoin du mot de passe

    En fait, je ne demande pas absolument que la protection soit totalement invulnérable contre les gouvernements et autres groupes ayant accès à de gros moyens matériels, mais "simplement" contre le hacker "de base", la famille, les amis, les voisins, les collègues, etc. Quelle est la probabilité pour que l'un de ceux-ci (avec les maigres moyens dont il dispose) puisse un jour accéder illégitimement à ces mots de passe ? Virtuellement aucune

    Les gestionnaires de mots de passe représentent un compromis entre la commodité d'utilisation et la sécurité. Et comme le souligne très justement Neckara, cela permet de faire le point sur tous les comptes que l'on possède (pour certains comptes très sensibles, je ne note justement pas le mot de passe, mais cela me permet tout de même de garder une trace de son existence).

  20. #20
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Citation Envoyé par Neckara Voir le message
    Comment veux-tu forcer un coffre-fort numérique si le mot de passe maître est fort ?
    Un ordinateur quantique et un brute de force ne te dit rien ? Ce type de machine peut faire jusqu'à 300 millions de brutes de force à la seconde.

    Citation Envoyé par Neckara Voir le message
    Le vol du coffre-fort ne pose aucun problème étant donné qu'il est chiffré et peut être facilement répliqué.
    Même chiffré un vol reste un vol donc une compromission. Qu'est ce qui me dit qu'un pirate qui siphonne des password manager ne vas pas attendre un peu avant de passer à l'action ? Si c'est pas dans un an cela peut être dans 12 ou 24 mois ...

    Citation Envoyé par Neckara Voir le message
    Pour le bloquer, qu'entends-tu par là ?
    Il existe des ransomware qui détruisent et modifient les clefs de chiffrages originales par d'autres ... Cela revient à un cambrioleur ou squatteur de changer ton barillé ... t’empêchant ainsi de rentrer !

    Citation Envoyé par Neckara Voir le message
    En ce, un gestionnaire de mot de passe est plus qu'intéressant.

    Déjà, tu auras tendance à avoir un mot de passe unique par compte, donc si l'un est corrompu, tu n'auras qu'un seul mot de passe à changer sur un seul compte.

    Dans le pire du pire des cas (improbable), tu auras même la liste complète des comptes que tu possèdes. Cela te prendra au pire un après-midi (et encore), mais au moins, tu auras la garanti d'avoir été exhaustif.
    Whaou c'est une révolution ... Excel gère également des listes ... Mettre un mot de passe pour ouvrir un .xlsx ou .docx cela ne vous parle pas ?

    Citation Envoyé par Neckara Voir le message
    Sachant que certaines fonctionnalités sont conditionnées à la possession d'un compte, parfois oui...
    Comme déjà évoqué , dans c'est un organisme "vital" , quand c'est superficiel ... genre Amazon ou FB c'est très discutable.

    Citation Envoyé par Neckara Voir le message
    Après, si tu utilises un gestionnaire de mot de passe, avoir 10, 100, 10 000 comptes ne posent aucun problèmes.
    Mieux, en ayant la liste de tous tes comptes, tu peux aussi "faire un point" sur l'utilité de chacun de ces comptes, voir supprimer ceux que tu n'utilises plus.
    Depuis l'année dernière j'ai fait la chasse aux sites ou je suis inscrit. J'en ai listé entre 140 et 160 ... Beaucoup de réseaux sociaux et marchand en ligne ... Si inutilisé > poubelle et destruction du compte.

    Citation Envoyé par Volgaan Voir le message
    Comme déjà dit, pour que cela arrive, il faut déjà qu'une tierce personne récupère mon "coffre" et arrive à en casser le mot de passe (fort, avec itération configurée pour que le hachage, donc chaque tentative de cassage, prenne plus d'une seconde). Bonne chance, d'autant qu'il est possible de renforcer la protection avec des fichiers clés, par exemple... Bref, c'est très peu probable.
    Il y a également un chose qui me chiffonne avec les password manager. Le logiciel qui est utilisé peut envoyer de l'info via internet ! Donc même si le trafic est sécurisé , chiffré ou crypté rien n’empêche que le trafic soit écouté !

    De mon point de vue le gestionnaire de mot de passe ajoute un peut de complexité à la complexité ... Un mot de passe pour protéger des mots ... alors que l'on en a déjà beaucoup ! C'est un non sens ...

Discussions similaires

  1. Réponses: 10
    Dernier message: 13/01/2018, 07h55
  2. Réponses: 11
    Dernier message: 13/01/2018, 01h17
  3. [JAVA] Gestionnaire de mot de passe
    Par Guimoy dans le forum Mon programme
    Réponses: 3
    Dernier message: 09/02/2016, 12h40
  4. gestionnaire de mots de passes
    Par ludolan dans le forum Débuter
    Réponses: 6
    Dernier message: 19/10/2010, 14h57
  5. Gestionnaire de mot de passe gratuit et performant
    Par Dsphinx dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 25/09/2009, 12h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo