Discussion :

[Christophe]

Bonsoir,

Je vous présente un tutoriel de Tanaka59 sur :

La gestion de mots de passe pour accéder au WEB

Celui-ci vous présentera les différentes méthodes d'authentification disponibles.

Qu’en pensez-vous ?
Selon vous, y a-t-il une solution meilleure que d’autres ?
Que pensez-vous des substituts au mot de passe traditionnel ?
Quelle solution voyez-vous dans le futur ?

Bonne lecture

[Invité]

Bonsoir ,

Je vous propose ici de débattre sur les mots de passes .

Au passage merci aux admins Malick , chrtophe et ceux ayant participé pour la rédaction de l'article

[tourlourou]

Bonjour, et merci pour l'article.

Quant au brute-force, il n'est pas applicable si le site bloque l'accès après quelques échecs, non ? On en revient donc à une faiblesse des mesures de sécurité des sites plutôt qu'à celle des mots de passe. Même si que les deux soient forts ne peut nuire !

[Aesahetr]

Quelques mélanges entre crypter et chiffrer. Crypter ne veut rien dire en français dans un contexte sécurité/chiffrement.

Les erreurs relevées :
"Le tout crypté est chiffré sur le poste utilisateur."
"il faudra crypter et chiffrer "
"tout en cryptant et chiffrant"
"dans un fichier crypté et chiffré"

+ quelques fautes de français.

Le tuto est sympas et fait un premier tour intéressant sur la gestion des mots de passe.
Attention cependant avec la transformation des lettres en chiffre/symbole à la p@ssw0rd.
Si on est capable de faire ce changement, les pirates aussi. Leurs dictionnaires sont remplis des mots et leurs différentes transformations.
Ça ne les ralentira pas plus que ça.

[ttf77]

Bonjour,
Je reste (encore) adepte d'une solution centralisée (Bitwarden pour mon cas) pour l'effet cumulatif et historique des mdps générés et usités depuis plus de dix ans. (plus de 500 entrées dans le coffre).
Par contre, j'ai découvert récemment Lesspass ( https://lesspass.com ).
A lire: https://blog.lesspass.com/lesspass-c...e-9f1201fffda5
Cordialement.

[bcag2]

Bonjour,
Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.

Voici quelques rectifications :

§2.1, il est écrit:

Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.

Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")

§7.2

La technologie de carte à puce est une technologie plutôt récente

Je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Carte_à_puce).

et §7.3 sur La RFID, je vous invite à lire la page wikipédia (https://fr.wikipedia.org/wiki/Radio-identification), pas si récent, utilisé de plus en plus dans l'industrie.

le trafic d’onde « RFID » peut être écouté

Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)

Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende

* 1 = risque inexistant
* 0 = risque

aucune mention n'est faite à l'ANSSI: https://www.ssi.gouv.fr/
où il y a des infos sur les mots de passe, où le logiciel de séquestre keepass a été validé… certes en 2010 (keepassXC sous linux)

Le conseil d'utiliser plusieurs langues dans ses passphrases me semple en revanche effectivement un bonne pratique… des noms propres peut usités peuvent aussi aider.


Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!

Qu’en pensez-vous ?
Selon vous, y a-t-il une solution meilleure que d’autres ?
Le double facteur avec des solutions suffisamment "éloignées", ceux qui perdent leur sac à main ou sacoche avec carte, infos et smartphone… le smartphone n'est peut-être pas le meilleur moyen pour ce double facteur (d'ailleurs non utilisé par ma banque)
Que pensez-vous des substituts au mot de passe traditionnel ?
Je n'aime pas la biométrie… car ce n'est pas dit, mais à la différence d'un mot de passe, il est difficile de changer de tête ou d'empreinte digitale (parlez-en aux jardinier ou pratiquant de l'escalade)!
Quelle solution voyez-vous dans le futur ?
Proche: de plus en plus de double facteur avec une carte (à puce ou rfid…). Le souci est effectivement la perte de ce second moyen d'identification.

[Sebajuste]

J'ai lu un peu en diagonale, je l'avoue... mais ça manque un peu de cohérence.

Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ? Comment l'utilisateur est-il identifié alors s'il n'y a pas de mot de passe maitre ? Un certificat ? un token dans le navigateur ? Amais à ce moment là, il y a un risque de perte du certificat / token / autre en cas de perte / vol / destruction de la machine. Et ce n'est pas répertorié dans le tableau final....


Pour la part, j'utilise une base de données locale chiffrée (KeePass), dont le fichier est synchronisé avec un cloud en Europe.

Ainsi, les seuls risques sont :
- Risque d’accès frauduleux après piratage
- Risque de rançongiciel et keylogger (a la condition d'avoir également réussi à copier la BDD locale/distante pour le pirate)

[Seb_de_lille]

Bonjour,

Pour le §9, je bloque un peu (beaucoup) sur la ligne "Carte". Englober les cartes magnétiques, sans contact et à puce, c'est mélanger les torchons et les serviettes. On parle de supports qui ne sont pas du tout comparables sur le plan de la sécurité.

Sébastien

[Christophe]

Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.

Certes, mais l'article est orienté vers les mots de passe Web comme le précise son titre.

§2.1, il est écrit: Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.



Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password"), les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe")

Ça c'est le choix de l'utilisateur, si il ne met pas de mot de passe, la base est en clair. C'est sûr qu'un utilisateur de base va pas le savoir, la plupart ne savent même pas accéder aux mots de passe enregistrés. Sur Chrome, je crois que c'est lié au compte utilisateur, on n'y accède pas aussi simplement qu'avec Firefox en recopiant le profil (là je parle sans mot de passe maitre) Reste à voir ensuite la solidité de la base cryptée de cette base.

Pour la carte à puce, elle est utilisée assez récemment avec les ordis, mais de toute façon la carte à puce est d'une fiabilité relative.

le trafic d’onde « RFID » peut être écouté Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…).

Cela n’empêchera pas les recopies de carte, les fraudes dans ce cas seront surtout au niveau bancaire. (paiement sans contact notamment).
13.56Mz ça semble être 1m.

Je n'aimes pas les gestionnaires de mots passe externes, car si compromis, c'est tous les mots de passe qui le sont. Ça déporte la responsabilité à un tiers. Ca peut être un avantage ou un inconvénient. L'article présente justement un cas avéré de piratage d'un gestionnaire de mot de passe.


L'authentification à deux facteurs permet une meilleure sécurité, peut être problématique en cas de perte ou vol du téléphone par exemple (ou tout simplement plus de batterie). Ça reste un bon compromis et relativement simple à mettre en place.

Quant à l'authentification biométrique, je me rappelle d'un disque devenu inaccessible car ne reconnaissant pas l'empreinte (mais c'était au début de ceux-ci et je garanti pas que l'utilisateur est fait consciencieusement le relevé d'empreintes), par contre ça peut éviter de saisir le mot de passe comme sur les iphones, il reste possible de saisir le mot de passe.

J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.

Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!

Tenez compte du fait qu'il est tout public.

Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ?

Tu ne saisis pas ton mot de passe, vu que c'est le gestionnaire qui l'affiche, donc il ne sera pas récupérable par keylogger, ce qui n'empechera pas celui-ci de récupérer d'autres trucs.