Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
[Tutoriel] La gestion de mots de passe pour accéder au Web
Bonsoir,
Je vous présente un tutoriel de Tanaka59 sur :
Celui-ci vous présentera les différentes méthodes d'authentification disponibles.
Qu’en pensez-vous ?
Bonne lecture
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Bonsoir ,
Je vous propose ici de débattre sur les mots de passes.
Au passage merci aux admins Malick , chrtophe et ceux ayant participé pour la rédaction de l'article
Bonjour, et merci pour l'article.
Quant au brute-force, il n'est pas applicable si le site bloque l'accès après quelques échecs, non ? On en revient donc à une faiblesse des mesures de sécurité des sites plutôt qu'à celle des mots de passe. Même si que les deux soient forts ne peut nuire !
Delphi 5 Pro - Delphi 10.4 Rio Community Edition - CodeTyphon 6.90 sous Windows 10 ; CT 6.40 sous Ubuntu 18.04 (VM)
. Ignorer la FAQ Delphi et les Cours et Tutoriels Delphi nuit gravement à notre code !
Quelques mélanges entre crypter et chiffrer. Crypter ne veut rien dire en français dans un contexte sécurité/chiffrement.
Les erreurs relevées :
"Le tout crypté est chiffré sur le poste utilisateur."
"il faudra crypter et chiffrer "
"tout en cryptant et chiffrant"
"dans un fichier crypté et chiffré"
+ quelques fautes de français.
Le tuto est sympas et fait un premier tour intéressant sur la gestion des mots de passe.
Attention cependant avec la transformation des lettres en chiffre/symbole à la p@ssw0rd.
Si on est capable de faire ce changement, les pirates aussi. Leurs dictionnaires sont remplis des mots et leurs différentes transformations.
Ça ne les ralentira pas plus que ça.
Lesspass : une solution élégante et alternative...
Bonjour,
Je reste (encore) adepte d'une solution centralisée (Bitwarden pour mon cas) pour l'effet cumulatif et historique des mdps générés et usités depuis plus de dix ans. (plus de 500 entrées dans le coffre).
Par contre, j'ai découvert récemment Lesspass ( https://lesspass.com ).
A lire: https://blog.lesspass.com/lesspass-c...e-9f1201fffda5
Cordialement.
Article médiocre
Bonjour,
Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.
Voici quelques rectifications :
§2.1, il est écrit:Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.
§7.2
Je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Carte_à_puce).La technologie de carte à puce est une technologie plutôt récente
et §7.3 sur La RFID, je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Radio-identification), pas si récent, utilisé de plus en plus dans l'industrie.
Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)le trafic d’onde « RFID » peut être écouté
Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
aucune mention n'est faite à l'ANSSI: https://www.ssi.gouv.fr/* 1 = risque inexistant
* 0 = risque
où il y a des infos sur les mots de passe, où le logiciel de séquestre keepass a été validé… certes en 2010 (keepassXC sous linux)
Le conseil d'utiliser plusieurs langues dans ses passphrases me semple en revanche effectivement un bonne pratique… des noms propres peut usités peuvent aussi aider.
Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!
Qu’en pensez-vous ?
Le double facteur avec des solutions suffisamment "éloignées", ceux qui perdent leur sac à main ou sacoche avec carte, infos et smartphone… le smartphone n'est peut-être pas le meilleur moyen pour ce double facteur (d'ailleurs non utilisé par ma banque)
Je n'aime pas la biométrie… car ce n'est pas dit, mais à la différence d'un mot de passe, il est difficile de changer de tête ou d'empreinte digitale (parlez-en aux jardinier ou pratiquant de l'escalade)!
Proche: de plus en plus de double facteur avec une carte (à puce ou rfid…). Le souci est effectivement la perte de ce second moyen d'identification.
J'ai lu un peu en diagonale, je l'avoue... mais ça manque un peu de cohérence.
Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ? Comment l'utilisateur est-il identifié alors s'il n'y a pas de mot de passe maitre ? Un certificat ? un token dans le navigateur ? Amais à ce moment là, il y a un risque de perte du certificat / token / autre en cas de perte / vol / destruction de la machine. Et ce n'est pas répertorié dans le tableau final....
Pour la part, j'utilise une base de données locale chiffrée (KeePass), dont le fichier est synchronisé avec un cloud en Europe.
Ainsi, les seuls risques sont :
- Risque d’accès frauduleux après piratage
- Risque de rançongiciel et keylogger (a la condition d'avoir également réussi à copier la BDD locale/distante pour le pirate)
Les cartes
Bonjour,
Pour le §9, je bloque un peu (beaucoup) sur la ligne "Carte". Englober les cartes magnétiques, sans contact et à puce, c'est mélanger les torchons et les serviettes. On parle de supports qui ne sont pas du tout comparables sur le plan de la sécurité.
Sébastien
Certes, mais l'article est orienté vers les mots de passe Web comme le précise son titre.Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.
Ça c'est le choix de l'utilisateur, si il ne met pas de mot de passe, la base est en clair. C'est sûr qu'un utilisateur de base va pas le savoir, la plupart ne savent même pas accéder aux mots de passe enregistrés. Sur Chrome, je crois que c'est lié au compte utilisateur, on n'y accède pas aussi simplement qu'avec Firefox en recopiant le profil (là je parle sans mot de passe maitre) Reste à voir ensuite la solidité de la base cryptée de cette base.§2.1, il est écrit: Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.
Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")
Pour la carte à puce, elle est utilisée assez récemment avec les ordis, mais de toute façon la carte à puce est d'une fiabilité relative.
Cela n’empêchera pas les recopies de carte, les fraudes dans ce cas seront surtout au niveau bancaire. (paiement sans contact notamment).le trafic d’onde « RFID » peut être écouté Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…).
13.56Mz ça semble être 1m.
Je n'aimes pas les gestionnaires de mots passe externes, car si compromis, c'est tous les mots de passe qui le sont. Ça déporte la responsabilité à un tiers. Ca peut être un avantage ou un inconvénient. L'article présente justement un cas avéré de piratage d'un gestionnaire de mot de passe.
L'authentification à deux facteurs permet une meilleure sécurité, peut être problématique en cas de perte ou vol du téléphone par exemple (ou tout simplement plus de batterie). Ça reste un bon compromis et relativement simple à mettre en place.
Quant à l'authentification biométrique, je me rappelle d'un disque devenu inaccessible car ne reconnaissant pas l'empreinte (mais c'était au début de ceux-ci et je garanti pas que l'utilisateur est fait consciencieusement le relevé d'empreintes), par contre ça peut éviter de saisir le mot de passe comme sur les iphones, il reste possible de saisir le mot de passe.
J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.
Tenez compte du fait qu'il est tout public.Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!
Tu ne saisis pas ton mot de passe, vu que c'est le gestionnaire qui l'affiche, donc il ne sera pas récupérable par keylogger, ce qui n'empechera pas celui-ci de récupérer d'autres trucs.Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ?
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Bonjour,
Tiens justement on reparle de LastPass : https://www.developpez.net/forums/d2.../#post11134761 ... Preuve est que les gestionnaires de mots de passes sont des vraies passoires en terme de sécurité
Le brute de force est censé être limité , genre toutes les x minutes seulement 3 à 5 essais. Après on se fait jeter pour X heures ou minutes. Il y a quand même une première barrière. A moins que le site n'est une faille et que le brute de force puisse être contourné.Envoyé par tourlourou
C'est bon à savoir , je voyais pas une subtilité pareil entre ces 2 termes.
C'est vrai , ici je vise avant tout un publique large . Donc commencer à faire des pages et des pages ... pas vraiment possible. Tout ce qui passe par le Web est le plus connu du commun des mortels. C'est pour cela que j'ai volontairement limité le périmètre.
Ce n'est pas une invention , c'est dans les colonnes de Zataz.com et Le Point : https://www.zataz.com/piratage-de-ca...sur-sable-fin/ , https://www.lepoint.fr/societe/plage...2328919_23.php
Le piratage de puce RFID est une réalité. Le nier c'est de la mauvaise fois !
Que voulez vous dire par l'inverse ? (0= pas de risque , 1=risque) . Au plus le score de risque est élevé au plus la techno est faiblarde ...
Des pirates d’Europe de l'Est ou des Chinois qui siphonnent un site web germanophone , utiliser un mot de passe en allemand sera plus risqué que le mec qui est hispanophone ... Les tentatives en allemand pour casser le mot de passe en espagnol seront ... veines .
C'est qu'il manque pas de culot celui la
Peut être auriez vous vu plutôt "clef" en lieu et place de "token" ou "master password" ?
Et pourtant ces cartes sont des systèmes que nous utilisons tous les jours au travail (pointage avec bande magnétique, ouverture de porte par puce ou RFID , carte de crédit avec demande d'autorisation via une requête internet ... ) . Le tout est bien branché sur le SI interne de l'entreprise et lui même branché sur internet ou un intranet ...
Vous seriez surpris de ce que peux contenir un "backpack" d'un agent de police en civil... comme un lecteur de pass Navigo par exemple. La portée ne dépend pas que de la fréquence, ça dépend avant tout de la puissance du signal, et la puissance admissible du récepteur (avant de cramer).
Comme je le précise dans l'article, les gestionnaires de mdp "libres" sont nettement moins sujets à ces problèmes. De même que la presque totalité des solutions libres qui ont une forte activité /sollicitation (comparativement aux concurrents propriétaires).Tiens justement on reparle de LastPass : https://www.developpez.net/forums/d2.../#post11134761 ... Preuve est que les gestionnaires de mots de passes sont des vraies passoires en terme de sécurité
Le principaux atouts du gestionnaire, c'est de :
1) pouvoir les stocker de manière plus fiable que le font M. et Mme Michu (en claire sur un bloc-note, excel, un papier dans un tiroir... et qui s’appelle "mes mots de passes")
2) permettre de s'affranchir des problèmes /capacités de mémorisation, et par incidence, a) utiliser des mdp bien plus forts, b) ET DIFFÉRENTS !
3) présenter une immunité contre certaines techniques
Je confirme, il y a une incohérence de convention, prenons la première ligne :Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
Le tableau présente un score de "faiblesse" (score de "risque" serait plus approprié), plus il est élevé, plus il est mauvais.
La première case est verte avec un 0, les autres sont rouges avec un 1, le score est élevé. Or la légende indique que "1" signifie "risque inexistant".
Je ne comprend pas ce qui motive cette aversion pour les gestionnaires de mdp locaux, c'est comme si seul leurs défauts étaient pris en compte.
Oui, mais attention, cette techno scanne à quelques millimètres de profondeur seulement, les réseaux capillaires, et si vos doigts sont trop froid... vos tentatives seront "veines".
NB: en français, "crypté" signifie que c'est mis en crypte : une infrastructure où l'on place des cadavres... ^^'C'est bon à savoir , je voyais pas une subtilité pareil entre ces 2 termes.
Oui, pour l'emploi d'une autre langue... mais plus important, le but recherché est de s'éloigner des conventions (en France on parle français, un dossier de finances est nommé "*finnance*", etc.)?
On évitera donc l'anglais et la langue géographique, pour une langue plus rarement employé... exemple, dans la marine française, à une époque, on employait des bretons de souche pour les communications chiffrés (ou non d’ailleurs), car quand bien même le code était cassé, les chances que l'adversaire emploi un breton "non français" était infinitésimal, et les chances de pouvoir le traduire sans, d'autant.
En définitive, j'ai bien apprécié l'article, c'est une bonne ébauche que je peux présenter tel quelle à bien des personnes.
Mon seul regret, c'est le titre qui parle de gestion, alors qu'en définitive il est question de sélection. Je m'attendais donc à un éventail sur les gestionnaire.
Au vu de l'usage croissant des gestionnaires (notamment ceux des navigateurs), je pense qu'il serait utile d'y inclure une partie dédié. Ne serait-ce que pour démystifier certains mythes, et rappeler certains atouts.
Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.
Mon avis
Bonjour Tanaka59,
Bravo belle effort d’écrire un article, surtout sur un sujet compliqué et délicat comme la sécurité.
Il n’est pas simple de comprendre exactement qu’elle est le sujet, c’est le principe d’authentification par mot de passe ou les gestionnaires de mots de passe ? car par exemple quand tu parles des alias d’email comme solution cela n’a rien avoir avec le stockage des mots de passe (où je n’ai peut-être pas bien compris).
Note sur le RFID : oui on peut espionner les communications, mais les vrais professionnels utilisent une communication sécurisée (un peu comme https pour faire simple), et beaucoup des failles sont due à des personnes qui ont implémentés leur propre système de chiffrement au lieu de s’appuyer sur des standards éprouvés.
Ton tableau comparatif ne me semble pas le plus pertinent (sans parler de l’erreur de légende), on ne peut pas comparer des solutions de sécurité à l’emporte pièces comme tu le proposes, pour pouvoir estimer les risques de sécurité il faut utiliser des outils plus précis, utilisant par exemple une TVRA, car un risque est plus ou moins faible, tout n’est pas que noir ou blanc (0/1).
Quant à la conclusion, je ne sais pas qu’elles sont tes compétences (diplômes ou expériences) dans la sécurité pour être aussi affirmatif. Sache que les gestionnaires de mots de passe sont recommandés par beaucoup d’experts de la sécurité, bien qu’ils poussent pour augmenter le niveau de sécurité avec la double authentification par exemple. Ta phrase « Le plus sage, reste bien évidemment d’écarter cette technologie qui n’est pas du tout aussi fiable qu’elle veut le prétendre. » me dérange, aucune solution n’est fiable à 100%, le risque zéro n’existe pas, donc partir du principe que s’il y a un risque même très faible il ne faut pas l’utiliser est trop excessif. Ces outils répondent à un besoin, car tout le monde n’est pas aussi fort que toi pour inventer et mémoriser des mots passe différents et complexes. Je pense qu’il faut plus former les gens sur l’utilisation et les informer sur les risques que de leur dire de ne pas utiliser ces outils. Et espérer que les authentifications multi facteur vont se développer pour augmenter le niveau, bien que l'on découvre la aussi des attaques qui contournent celle-ci.
Pour ma part, je suis un fervent partisan des gestionnaires de mots de passe.
Ils permettent d'avoir des mots de passe unique pour les comptes auxquels on a accès, et ce, de manière simple.
De plus, ils ont l'avantage de recenser/lister tous les sites auxquels on a accès. Donc en cas de pépin, on peut les changer plus facilement.
Tout le monde devrait avoir de l'esprit critique car personne ne pourra m'apporter la preuve de l'absence de celui-ci
Les alias permettent d'envoyer et recevoir à partir d'une adresse sur laquelle il n'est pas possible de se "connecter" (à l'aide d'un mot de passe). Cela permet de choisir une politique de mot de passe plus durable, de sécuriser un peu plus sa boite mail.
Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.
Effectivement cela limite les tentatives d'attaque sur le compte de sa boite mail, mais cela ne supprimera pas le besoin d’avoir des mots de passe associés à ces alias sur les comptes des site web, et donc de retomber sur la problématique de la génération et mémorisation de ceux-ci.
Ce point va dans le sens de ma remarque sur le sujet de l’article, c’est plus la problématique du système d’authentification par mot de passe que les gestionnaires qui est en question.
en fait, si, cela supprime des mots de passe, plus précisément : tous sauf un.
un alias n'a pas la possibilité de login, il ne fait que suivre/ du courrier sur une adresse principale, ou envoyer depuis son adresse principale comme si on le faisait depuis l'alias (une sorte de domiciliation). Donc tu te retrouves avec un seul mot de passe à gérer, pour 31 adresses, dont 30 sont sécurisées (ce que permet G-Suite). si une adresse devient problématique, tu supprimes l'alias et tu en crées un autre... pas de mots de passe supplémentaires à gérer donc, simplement des adresses.
Ce qui est indiqué en section 10 est correcte, la formulation laisse simplement ambigüe certains détails pour ceux ne connaissant pas le principe d'alias.
Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.
Correction coquille en dessous du tableau : risque inexistant remplacé risque existant.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Bonjour Steinvikel,
C'est à dire que tu utiliserais le même mot de passe sur ces 30 sites ?
non, je vais faire un exemple.
Prenons un fournisseur de service hypothétique (www.dvp.com), chez lequel j'ai souscrit un service me permettant d’accéder à une adresse e-mail (steinvikel@dvp.com).
- steinvikel@dvp.com est mon adresse principale, pour y accéder, j'entre cette adresse et un mot de passe, j'accède alors à ma boite mail distante correspondante.
- J'y paramètre ensuite des alias : inscription@dvp.com, SAV@dvp.com, contact@dvp.com, poubelle@dvp.com, ephemere@dvp.com... 30 comme cela.
- Lorsque quelqu'un reçoit un mail semblant provenir de SAV@dvp.com, il envoi ça réponse à la même adresse.
Cette réponse arrive chez le fournisseur de service qui attribue l'adresse SAV@dvp.com à l'adresse steinvikel@dvp.com, il y redirige donc le mail sur la boite mail de ce dernier pour y être stocké (d'où l'analogie avec la domiciliation --> 1 local, plusieurs adresses physiques).
- Lorsque je veux accéder aux mails de SAV@dvp.com, il n'existe pas de boite mail dédié à cette adresse, je me connecte uniquement à steinvikel@dvp.com.
Si un jour cette adresse est pollué, j'ai juste à supprimer l'alias dans mes paramètres, et configurer un nouvel alias si besoin.
Si un attaquant souhaite tenter de s'y connecter, il ne pourra pas, car l'adresse n'est pas une boite mail, ce n'est qu'un "alias", un lien qui "pointe vers".
J'espère que l'exemple est limpide, il l'est pour moi. ^^'
Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.
À propos de la RFID,
Merci pour ces sources que j'ai lu: d'une part, il n'y a aucune précisions techniques. D'autre part, l'article sur le site du point.fr précise bien en fin d'article: "Nous recevons 50 plaintes par an […],mais parce que la carte a été perdue ou volée".
Pour être précis car chrtophe parle de portée de 1m pour la RFID, je vous laisse consulter les caractéristiques techniques d'un lecteur industriel:
https://www.se.com/fr/fr/product/XGC...ormat-d-13mhz/
On y lit: "portée nominale: 10…70 mm"… nominale… c'est à dire sans métal environnant (stylo, clés…), sans seconde carte contre celle qu'on veut lire… et je le répète, les usagers des transports en commun ne me démentiront pas, on ne valide pas son trajet en passant sa carte SNCF ou pass navigo a 50mm du lecteur!
Donc mon propos n'est pas de nier mais d'éclairer.
Et pour ma part, quand je vais à la plage… je n'ai pas de carte bancaire mais un maillot de bain
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager