EN DIRECT 2801 connexion / inscription
Connexion

Surnom/Pseudo
Mot de Passe :

[ Vous avez perdu votre mot de pass ? | Devenir membre ]

×

Episode 2 : Bien choisir un mot de passe, si facile que ça ?

Aller à la page : 123  
CowcotLand topic RSS feed Surveiller les réponses de ce sujet
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 13:27:03  Lien permanent
Répondre en citant
Salut tout le monde,

Aujourd'hui on parle de sécurité des mots de passe: comment bien les créer, les stocker et les utiliser.

Depuis de très nombreuses années beaucoup de site web, serveurs d'entreprise et comptes de réseau sociaux se sont fait compromette en grande partie à cause d'une faiblesse liée aux mots de passe utilisés. Je propose donc de décortiquer tout cela aujourd'hui pour que demain, ce ne soit pas vous la victime.

On pose les valises, un peu de définition
Tout d'abord, un mot de passe c'est quoi et à quoi ça sert ? Cette question semble anodine car vous utilisez toutes et tous des mots de passe au quotidien. Avant de rentrer dans les détails, voici quelques points clés :

- Un mot de passe est un ensemble de caractères qui est utilisé comme moyen d'authentification (prouver qui je suis) afin d'accéder à un lieu protégé tel que votre compte Cowcotland, vos mails, mais aussi accéder à votre smartphone, le PIN de votre carte de banque, etc.
- Comme il s'agit de prouver que c'est bien moi, mon mot de passe doit être secret et vous imaginez bien qu'un mot de passe, tout comme une brosse à dent, ne se partage pas.
- Un mot de passe doit être suffisamment fort pour qu'une personne malveillante ne puisse pas le deviner et usurper l'identité du compte.
- Idéalement, un mot de passe doit être unique. Si un compte est compromis et qu'une personne malveillante connait votre mot de passe, vos autres comptes seront également compromis.

Dans cette définition, il faut retenir plusieurs choses : un mot de passe est composé de caractères (quel type de caractères ? On va voir ça juste après), il doit être fort (comme Popeye ! Ahah hum...) et finalement, il doit être unique (ça, c'est très important).

Un bon mot de passe, c'est quoi ? Comment je le crée ?
Quand on parle de mot de passe, je ne peux m'empêcher de faire référence à cette BD de xkcd : https://xkcd.com/936/. Elle explique parfaitement et très simplement la théorie des mots de passe. Pour faire simple, pendant de nombreuses années les gens étaient forcés à créer et retenir des mots de passe complexe pour l'être humain mais très facile à deviner pour un ordinateur. Depuis quelque temps, les choses changent et de plus en plus de mot de passe se sont transformés en passphrase (une phrase qui fait office de mot de passe), quelque chose qui est facile à retenir pour l'être humain, mais difficile à deviner pour un ordinateur.

La composition d'un mot de passe
Pour comprendre comment créer un bon mot de passe, il faut d'abord comprendre comment il est composé.

La composition est faite de la manière suivante:
- Caractères alphabétique en minuscule : [a-z]
- Caractères alphabétique en majuscule : [A-Z]
- Chiffres : [0-9]
- Caractères spéciaux : (&, é, ", ', §, è, !, ç, à, -, $, *, €, ^, ¨, =, +, etc)

En fonction du site que vous visitez, il vous sera demandé de définir un mot de passe comprenant une ou plusieurs caractéristiques de la liste précédente ainsi qu'un nombre de caractères minimum, souvent 8. Pourquoi 8 et pas 2, 6, ou 25 caractères minimum ? C'est une question d'entropie.

Au plus on ajoute de la complexité, au plus le mot de passe sera solide.

Vous êtes toujours là ? Parfais, on continue ^^

L'entropie
On parlait justement d'entropie. Mais au fait, c'est quoi l'entropie d'un mot de passe ? Allé, je fais le flemmard et cite Wikipedia :
"En informatique, la robustesse d'un mot de passe est exprimée en termes d'entropie de Shannon, mesurée en bits. Il s'agit d'un concept de la théorie de l'information. Au lieu de mesurer la robustesse par le nombre de combinaisons de caractères qu'il faut tester pour trouver le mot de passe avec certitude, on utilise le logarithme en base 2 de ce nombre. Cette mesure est appelée l'entropie du mot de passe. Un mot de passe avec une entropie de 42 bits calculée de la sorte serait aussi robuste qu'une chaîne de 42 bits choisie au hasard."

Pour faire simple, voici une passphrase et un mot de passe :
- bonjourtoutlemonde
- b;rEJV"Z

La passphrase est composée de 18 caractères alphabétique en minuscule
Le mot de passe est composé de 8 caractères multiples

A votre avis, lequel des deux est le plus robuste ? [spoiler]Le premier ![/spoiler]. En effet, la passphrase a une entropie de 84 bits de sécurité tandis que le mot de passe, malgré sa complexité supérieure, dispose d'une entropie de 52 bits de sécurité.

La formule pour calculer:
- Passphrase : 18*(log26/log2) -> 26 = 26 caractères de l'alphabet
- Mot de passe : 8*(log95/log2) -> 95 = Tout les caractères ASCII non étendu

Comme le disait la définition, au plus le nombre de bits de sécurité est élevé, au plus votre mot de passe sera robuste ! Pour la petite histoire, actuellement on considère un mot de passe robuste à partir de 60 bits de sécurité. Au plus les puissances des GPU augmente, au plus le nombre de bits de sécurité devra être élevé pour contrer cette puissance de calcul.

Wait... Est-ce que tout se base uniquement sur l'entropie ? Eh bien... Pas toujours !

Les attaques par dictionnaire
Quand on a parlé d'entropie, on faisait référence à la robustesse d'un mot de passe face à une attaque de type bruteforce. Dans les faits, c'est rarement utilisé. Ce qui fonctionne par contre beaucoup mieux, ce sont les attaques par dictionnaire. Vous allez vite comprendre toute la nuance entre un bon mot de passe, et une bonne passphrase Clin d'oeil

Une attaque par dictionnaire consiste à produire une liste de mot de passe qu'une victime pourrait potentiellement utiliser (des mots du dictionnaire ou des mots de passe déjà vu sur internet), et les tester un à un. Il s'agit bien souvent d'un type d'attaque plus rapide, et est donc souvent privilégié par les attaquants car il existe des listes toutes faites de plusieurs millions de mot de passe. On se souvient tous des mots de passe à éviter type 0123456, Password!, iloveyou, bonjour! etc, c'est à cause de ces wordlist qu'il faut les bannir de toute utilisation.

Sans faire de savants calculs, vous comprendrez donc aisément que face à une attaque de dictionnaire, bonjourtoutlemonde ne va pas résister longtemps (le temps de trouver le tuple "bonjour", "tout", "lemonde").

Je fais quoi alors ?
Vous l'aurez compris, trouve un bon mot de passe n'est finalement pas si simple que ça. Heureusement, il existe des techniques faciles à appliquer et qui vont révolutionner votre vie !
Commençons par un tips : Tester si mon mot de passe est connu sur internet. Il existe un site très intéressant qui se nomme "Have I been pwned" (https://haveibeenpwned.com/Passwords). Entrez votre mot de passe dans le form et vous verrez si il a déjà été leaké par le passé. Bien entendu, il existe un débat dans la communauté de sécurité sur le risque encouru de poster votre mot de passe sur ce site. On peut en parler dans les commentaires, vous verrez, il y a de bons arguments pour et contre.

Prenons donc l'exemple de nos deux mots de passe précédents: bonjourtoutlemonde et b;rEJV"Z. Le premier a été vu 2 fois par le passé, le second, zéro ! Ça signifie que le premier mot de passe se trouve probablement déjà dans une wordlist, auquel cas, c'est une question de minutes avant de le trouver.

Ah, ça devient intéressant ! D'abords le premier mot de passe est robuste en terme d'entropie, puis finalement pas tant que ça face à une attaque de type dictionnaire, et le second c'est l'inverse ! Du coup, on fait comment ? Que faut-il choisir ? La réponse : un mot de passe aléatoire de 64 caractères, rien que ça !

Wait, 64 caractères à retenir pour un mot de passe, et il doit être unique ? Donc si j'ai deux comptes, je dois retenir 2 mots de passe de 64 caractères ? 3 comptes, 3 mots de passe ? O_O Impossible !
Vous avez raison, et il existe un outil très pratique pour gérer ça à votre place : Keepass !

Keepass
Keepass est une application open source disponible pour Windows (dispo sur d'autres plateforme comme Linux, Android, etc) qui permet de stocker des mots de passe localement.
Concrètement, c'est un fichier chiffré (extension .kdbx) qui est rien d'autre qu'une base de donnée qui contient des credentials (couple login / password), on peut aussi y stocker des documents confidentiels tels que des clés PGP, des certificats, etc.
Le principe est de mémoriser un mot de passe très robuste qui déverrouille la DB et vous permet d'accéder à tous vos comptes. Dans le monde de la sécu, c'est LA référence de stockage de mots de passe.

Je vous conseil sincèrement de faire le pas. Créer des mots de passe unique et complexes pour tout vos comptes, sans devoir les retenir, c'est vraiment top !

Par contre, oubliez pas une chose : si vous perdez votre fichier, vous perdez vos mots de passe. Je vous conseil donc de faire des backups régulièrement.

Les multi facteurs d'authentification
Je finirai sur cette petite partie, qui, à elle seule pourrait faire l'objet d'un article complet, les MFA (multi factors of authentication).
Un facteur d'authentification est quelque chose qui peut être :
- Quelque chose que je suis (something I am) : mon empreinte digitale, mon iris, ma voix, mon visage, etc
- Quelque chose que j'ai (something I have) : un token, une smartcard, une clé privée type PGP, l'app authenticator de Steam, etc
- Quelque chose que je connais (something I know) : souvent un PIN ou un mot de passe

Le mot de passe rentre dans la case : something I know. Mais comme on en a parlé précédemment, parfois il n'est pas possible de gérer des mots de passe super complexe. Du coup, on "coupe" la complexité en plusieurs étapes : coupler plusieurs facteurs d'authentification pour diminuer (voir anéantir) les probabilités d'entrer dans le compte d'une personne.

Exemple concret qui devrait vous parler :
- Carte de banque + PIN : Something I have + something I know
- Mot de passe + authenticator de Steam : Something I know + something I have
- Empreinte digitale pour unlock un smartphone : Something I am
- Mot de passe Windows + reconnaissance faciale : Something I know + something I am

Vous avez compris le principe, activer un second facteur d'authentification est quelque chose qui rend votre compte / device super robuste à différents type d'attaques. Quand un site vous propose donc d'activer le second facteur d'authentification, faites-le !

Conclusion
Nous arrivons à la fin de cet article qui, je l'espère, vous aura été très instructif. Comme vous pouvez le constater, la théorie des mots de passe est quelque chose de très vaste. Malgré tout cela, nous n'avons fait qu'effleurer la surface. J'aurais bien voulu vous parler des hash (c'est quoi, comment les gérer, comment les casser, les colisions, le salting), des règles adaptatives de complexité, et plein d'autres choses, mais je pense qu'on a déjà fait un beau tour aujourd'hui.

Si vous êtes intéressés par le sujet et que vous souhaitez aller plus en profondeur, dites-le moi et je réfléchirai à une seconde partie :)

Merci de m'avoir lu et comme d'hab, je suis ouvert à toutes vos questions et remarques constructives !

A+
Dysnome


Dernière édition par Dysnome le Dimanche 15 Nov 2020 à 14:00:29; édité 1 fois
Voir le profil de l'utilisateur Envoyer un message privé
FouloudGlioziol @
Céréalier
Céréalier

9526pts

Inscrit le: 19 mai 2017
Messages: 5437
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.

En ligne
Message Posté le: Dimanche 15 Nov 2020 à 13:37:50  Lien permanent
Répondre en citant
Donc si je choisis
LapuréedebrocolisdeDunkerqueestunehérésieculinaire je suis bien ? M. Green

Ou bien rajouter une ou deux fautes d'orthographe permet encore de limiter les risques d'attaque au dictionnaire ?

Encore merci pour toutes ces précisions 10/10


le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur » Album Photos
BlancheNeige @
Agriculteur
Agriculteur

1846pts

Inscrit le: 17 avril 2017
Messages: 417

Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 13:41:32  Lien permanent
Répondre en citant
Oui c est facile , j utilise des phrases

Les mot de passe de mon routeur :
CiaoPetasse2018
HelloConnard2019
SalutTrouducul2020

Ya des majuscules et des chiffres
et c est facile a retenir Cool
Voir le profil de l'utilisateur Envoyer un message privé » Album Photos
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 13:57:33  Lien permanent
Répondre en citant
/facepalm Mort de rire
Voir le profil de l'utilisateur Envoyer un message privé
jode @
Métayer
Métayer

4777pts

Inscrit le: 11 décembre 2009
Age: 25
Messages: 2894
Localisation: Belgique, Charleroi
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 14:12:42  Lien permanent
Répondre en citant
Je rajouterai qu'il existe egalement des choses comme Pleasant Keepass Server (community et payant) Pour self-Hosted vos DB keepass chez vous et d'y accéder directement de partout, soit via le client keepas modifié de Pleasant sur gsm et ordinateur, soit via la web Interface.

Mais pleasant doit etre installé sur Windows.
Il en existe d'autres OpenSource sur Linux donc aller vous renseignez :) (A titre dínfo, je suis parano au point de bloquer les connexions sortantes de mes serveurs de mot de passe sur le firewall) Rien ne sort.
Voir le profil de l'utilisateur Envoyer un message privé » Album Photos » Google Map
Knapneder @
Meuhdérateur
Meuhdérateur

4630pts

Inscrit le: 17 janvier 2019
Age: 29
Messages: 2835
Localisation: Bruxelles
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 15:08:50  Lien permanent
Répondre en citant
Petite question : j'ai fait un peu de sécu, exploit, pentest et tout durant mes années de lycée (qui m'ont valu un conseil de discipline d'ailleurs M. Green), et j'ai eu évidemment à travailler avec des dictionnaires et des tables rainbow. Du bruteforce aussi, j'ai le souvenir d'ailleurs que les hash md5 étaient particulièrement faciles à craquer, et les NTLM impossibles avec mon matos de l'époque.

Dans mon souvenir, les attaques par dictionnaire fonctionnaient bien, à partir du moment où la combinaison entière y figurait. Le système ne faisait pas de combinatoire des mots de la liste.
Exemple, il y a dans le dictionnaire les mots "I", "LOVE" et "YOU", mais s'il n'y avait pas "ILOVEYOU" il n'était pas possible de trouver le mot de passe "ILOVEYOU"...
J'imagine que ça a changé depuis le temps (c'était il y a 15 ans), c'est peut-être dépendant du programme qui utilise le dictionnaire et le mien ne le faisait pas ?


Voir le profil de l'utilisateur Envoyer un message privé
FouloudGlioziol @
Céréalier
Céréalier

9526pts

Inscrit le: 19 mai 2017
Messages: 5437
Localisation: En théorie, car tout s'y passe bien
Navigateur : n.c.

En ligne
Message Posté le: Dimanche 15 Nov 2020 à 15:14:52  Lien permanent
Répondre en citant
Tain tu étais un pirate belge en herbe !
Imbarbe noire une fois, voilà un bon mot de passe M. Green


le ridicule ne tue pas, ce qui ne te tue pas te rend plus fort, donc : le ridicule te rend plus fort
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web du posteur » Album Photos
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 15:52:09  Lien permanent
Répondre en citant
Knapneder a écrit:
Petite question : j'ai fait un peu de sécu, exploit, pentest et tout durant mes années de lycée (qui m'ont valu un conseil de discipline d'ailleurs M. Green), et j'ai eu évidemment à travailler avec des dictionnaires et des tables rainbow. Du bruteforce aussi, j'ai le souvenir d'ailleurs que les hash md5 étaient particulièrement faciles à craquer, et les NTLM impossibles avec mon matos de l'époque.

Dans mon souvenir, les attaques par dictionnaire fonctionnaient bien, à partir du moment où la combinaison entière y figurait. Le système ne faisait pas de combinatoire des mots de la liste.
Exemple, il y a dans le dictionnaire les mots "I", "LOVE" et "YOU", mais s'il n'y avait pas "ILOVEYOU" il n'était pas possible de trouver le mot de passe "ILOVEYOU"...
J'imagine que ça a changé depuis le temps (c'était il y a 15 ans), c'est peut-être dépendant du programme qui utilise le dictionnaire et le mien ne le faisait pas ?

Les rainbow table sont plus vraiment utilisées de nos jours. La recherche a avancée depuis et il existe des solution plus simple. On se focalise plus sur le hash NTLM (attaques type pass-the-hash). Dans un domaine Windows on se focalise sur le KRBTGT, un golden ticket qui permet de générer des tickets Kerberos valident et donc bypasser l'authentification.
Récemment il y a aussi eu la faille Zerologon qui permet dans la même idée de skipper l'authentification.

Concernant les hash, MD5 est cassé et ne doit plus être utilisé pour hasher des mots de passe et SHA1 est considéré comme weak même s'il n'existe pas de ressources hardware apte à casser un hash SHA1 dans un délai raisonnable. Dans les deux cas il existe des colisions et c'est donc pour ça qu'il ne faut plus les utiliser. On essaie de pousser les gens de plus en plus vers SHA3.
Voir le profil de l'utilisateur Envoyer un message privé
jujunet @
Paysan
Paysan

733pts

Inscrit le: 20 juin 2019
Age: 39
Messages: 320

Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 16:04:05  Lien permanent
Répondre en citant
Article intéressant ! Très content

C'est vrai que c'est le bazar les mots de passes. Au début d'internet ça allait, mais maintenant...
J'ai installé il y a pas longtemps Bitwarden pour me mettre au gestionnaire mais, c'est un peu pénible de rentrer 15000 mdp là dedans.

Du coup je reste avec mon fichier excel protégé dans une archive rar avec un mot de passe à rallonge. Tu m'a fait marrer Blancheneige, j'ai justement exactement le même type de mot de passe pour cette archive. Un mot, une insulte, et un chiffre facile à retenir (ou à retrouver sur le net). Niveau bruteforce c'est pas mal et bibliothèque aussi. Mais avant ça faut arriver à hacker mon PC, trouver et piquer l'archive...

Je rêve d'une connection sécurisée entre les sites web et un lecteur d'empreintes...
Voir le profil de l'utilisateur Envoyer un message privé » Album Photos
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 16:10:33  Lien permanent
Répondre en citant
jujunet a écrit:
Article intéressant ! Très content

C'est vrai que c'est le bazar les mots de passes. Au début d'internet ça allait, mais maintenant...
J'ai installé il y a pas longtemps Bitwarden pour me mettre au gestionnaire mais, c'est un peu pénible de rentrer 15000 mdp là dedans.

Du coup je reste avec mon fichier excel protégé dans une archive rar avec un mot de passe à rallonge. Tu m'a fait marrer Blancheneige, j'ai justement exactement le même type de mot de passe pour cette archive. Un mot, une insulte, et un chiffre facile à retenir (ou à retrouver sur le net). Niveau bruteforce c'est pas mal et bibliothèque aussi. Mais avant ça faut arriver à hacker mon PC, trouver et piquer l'archive...

Je rêve d'une connection sécurisée entre les sites web et un lecteur d'empreintes...


La première fois c'est toujours chiant, mais ça permet aussi d'avoir une meilleure visibilité.

Le fichier Excel et rar c'est pas dingue. Pour accéder à ton fichier tu dois unrar le document, il se retrouvera donc en clair sur ton disque. Pour la partie protégée du fichier Excel, de mémoire il est possible de contourner cette protection, mais faudrait que je retrouve ça. Dans tout les cas c'est pas une bonne solution pour stocker des données aussi sensible.

Hacker ton PC, ce serait probablement via un phishing et un dropper que tu ouvrirais. Dans les faits, si tu es un particulier c'est peu probable que tu sois une cible intéressante.
Voir le profil de l'utilisateur Envoyer un message privé
jujunet @
Paysan
Paysan

733pts

Inscrit le: 20 juin 2019
Age: 39
Messages: 320

Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 16:19:49  Lien permanent
Répondre en citant
Ah oui exact, j'avais pas pensé à ça, il reste une trace dans le dossier temp.

Sinon je me suis mal exprimé, le fichier excel est pas protégé, c'est l'archive, il faut le mot de passe pour l'ouvrir.

Après comme tu dis faut en vouloir. Très content

Le coup des authentification par empreinte via le navigateur ça arrivera bien un jour ?
Voir le profil de l'utilisateur Envoyer un message privé » Album Photos
Amendil @
Saisonnier
Saisonnier

203pts

Inscrit le: 13 mai 2012
Messages: 18

Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 17:06:04  Lien permanent
Répondre en citant
J'ai toujours eu la flemme de passer par Keepass.
Je suis resté sur des mots de passes dont je peux me rappeler et des combinaisons linéaires pour avoir des choses à priori unique pour les différents endroits où j'ai besoin d'un mot de passe.

Si je devais changer, j'aurai tendance à utiliser Firefox lockwise. J'ai l'impression que c'est la même chose que Keepass, mais sans avoir besoin de télécharger un software à côté.
Pour les sites web, pas besoin de copier/coller le mot de passe depuis Keepass (c'est un peu mon côté parano, si je peux faire transiter un mot de passe par le moins d'endroit possible, je préfère).
Pour les applications en dehors du navigateur, en général il a fallu créer un compte depuis internet, et donc le mot de passe se trouve dans Firefox, donc possibilité d'aller le copier/coller.

Et évidemment, la double authentification dès que possible. Là-dessus je suis juste dégouté de voir des gens avec Authenticator sur leur PC, juste à côté de leur password manager. J'ai l'impression que la double authentification perds de l'intérêt vu que tout est sur le même device.
Voir le profil de l'utilisateur Envoyer un message privé
Slash_Z @
Saisonnier
Saisonnier

43pts

Inscrit le: 06 novembre 2020
Messages: 7
Localisation: Loiret
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 17:17:34  Lien permanent
Répondre en citant
Haha j'apprend vraiment quelque chose.
Anciennement j'avais un mdp du style : motdepassepourmeconnecter Cool
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 17:45:58  Lien permanent
Répondre en citant
Amendil a écrit:
J'ai toujours eu la flemme de passer par Keepass.
Je suis resté sur des mots de passes dont je peux me rappeler et des combinaisons linéaires pour avoir des choses à priori unique pour les différents endroits où j'ai besoin d'un mot de passe.

Si je devais changer, j'aurai tendance à utiliser Firefox lockwise. J'ai l'impression que c'est la même chose que Keepass, mais sans avoir besoin de télécharger un software à côté.
Pour les sites web, pas besoin de copier/coller le mot de passe depuis Keepass (c'est un peu mon côté parano, si je peux faire transiter un mot de passe par le moins d'endroit possible, je préfère).
Pour les applications en dehors du navigateur, en général il a fallu créer un compte depuis internet, et donc le mot de passe se trouve dans Firefox, donc possibilité d'aller le copier/coller.

Et évidemment, la double authentification dès que possible. Là-dessus je suis juste dégouté de voir des gens avec Authenticator sur leur PC, juste à côté de leur password manager. J'ai l'impression que la double authentification perds de l'intérêt vu que tout est sur le même device.

Regarde la doc de Keepass. Quand tu copies un mot de passe, il reste dans le presse papier qu'un certain temps (15-20 secondes). Il est aussi possible de ne pas copier/coller le mot de passe mais d'utiliser ctrl+v, et keepass va écrire le login et le password dans le formulaire, comme si tu l'écrivais à la main. Firefox lockwise je connais pas, mais sauvegarder ses mots de passe dans un browser n'est pas une bonne idée (on peut très facilement les récupérer via un dump mémoire par exemple).
Voir le profil de l'utilisateur Envoyer un message privé
Dysnome @
Agriculteur
Agriculteur

2374pts

Inscrit le: 29 août 2014
Messages: 380
Localisation: Luxembourg
Navigateur : n.c.

Hors ligne
Message Posté le: Dimanche 15 Nov 2020 à 17:50:20  Lien permanent
Répondre en citant
jujunet a écrit:
Le coup des authentification par empreinte via le navigateur ça arrivera bien un jour ?

À mon humble avis on arrivera bientôt dans une ère où le mot de passe en soit sera désuet. Il existe actuellement des parades pour éviter de créer des comptes un peu partout, il s'agit des services de federation (un gestionnaire d'identité). Quand tu te log sur un site avec ton compte facebook, google ou autre, c'est ça.

Après, ce genre de techno pose des soucis de privacy, zero trust & co. Ça reste encore assez complexe à maîtriser parfaitement pour arriver à un niveau de service idéal.

En Belgique, on s'authentifie sur le site fédéral avec sa carte d'identité (ou alors une app mobile). Tu pourrais très bien le remplacer par une empreinte digitale, mais ça signifie que le gouvernement aurait tes empreintes, pas dingue en terme de privacy.
Dans mon cas je m'authentifie avec 3 facteurs:
- l'app qui connait mes infos
- mon fingerprint pour déverrouiller l'app
- un PIN pour valider la requête
Voir le profil de l'utilisateur Envoyer un message privé
Aller à la page : 123  
Sauter vers: 
Surveiller les réponses de ce sujet CowcotLand topic RSS feed  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum


Sujets similaires

Sujet Auteur Forum Réponses Posté le
Pas de nouveau message Choisir une télé 4K HDR Apoox Périphériques 26 Mardi 1 Déc 2020 à 16:12:22
Pas de nouveau message Lequel choisir..?? papy85 SSD 6 Lundi 30 Nov 2020 à 18:07:56
Pas de nouveau message Comment bien monter son WC_AIO (How to Kill Your CPU Cooler) Roro747 Watercooling 4 Jeudi 19 Nov 2020 à 10:22:57
Pas de nouveau message Besoin d aide pour choisir composants watercooling custom T54gffd Watercooling 7 Mardi 17 Nov 2020 à 16:04:44
Pas de nouveau message Cette config vous parait bien ? Mister_ Composants 18 Mardi 17 Nov 2020 à 15:26:20