ipv6 ready

Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

Discussions sur la sécurisation des protocoles, les authentifications, les CVE, les failles de sécu, le chiffrement,...
Répondre
Avatar du membre

Auteur du sujet
brebis
Légendaire ⭐⭐⭐⭐⭐
Légendaire ⭐⭐⭐⭐⭐
Messages : 1621
Enregistré le : 24 févr. 2018, 18:07
A remercié : 0
A été remercié : 17 fois
Statut : En ligne

Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#1

Message par brebis »

Aujourd'hui, il existe de nombreux gestionnaires de mots de passe (des "coffres-forts") qui permettent de ne plus devoir retenir tous ses mots de passe (bien souvent de piètre qualité en terme de sécurité), il suffit d'en retenir un seul.

Mais comment choisir un gestionnaire de mots de passe parmi les principaux proposés (keepass, 1password, lastpass, etc...) ? Et vaut-il mieux prendre la version payante plutôt que la version gratuite ? Et quid si le mot de passe "maître" (= servant à ouvrir le "coffre-fort") est lui-même piraté ?

Et la première question, primordiale : peut-on vraiment faire confiance à ces gestionnaires de mots de passe ?

viewtopic.php?p=68211#p68211
nam1962, dans cet autre topic, préférait masterpassword.app (qui n'est pas un gestionnaire de mot de passe, mais qui - je crois - "calcule" des mots de passe).

J'avais commencé, pour certains sites, à me créer un mot de passe dont le début était toujours le même, la suite du mot de passe changeant selon que c'est pour accéder à tel site ou tel autre site. Mais j'ai déjà rencontré un problème parce que pour un site, le caractère spécial "@" - le "at", "arobase" - ne pouvait pas être utilisé pour me créer le mot de passe, qui était dès lors refusé.
Abonné Proximus TV depuis décembre 2016 (via transformation ancien abo "téléphone fixe/internet maxi" en "Pack Familus") ; passé ensuite à un pack Flex

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

Unix-Linux
Légendaire ⭐⭐⭐⭐⭐
Légendaire ⭐⭐⭐⭐⭐
Messages : 2714
Enregistré le : 10 nov. 2017, 21:50
A remercié : 60 fois
A été remercié : 57 fois
Contact :
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#2

Message par Unix-Linux »

Brebis : le meilleur gestionnaire de mot de passe, c'est ton cerveau. :lol2:
"Why are there so many more horse's asses than there are horses?"
EDPnet VDSL XL + parabole Triax 4 LNB + Voo CI + OVH VoIP + DAB+ RTL2832U (PrimeOS, Memu, Linux, Unix).
Raspberry Pi 4 + Ubuntu server 20.04.1 + NAS
Anciennement RealRoot, Brutele (ip's fixes), Scarlet.
vî trigu : sacwè ki n' sieve pus.

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

cezame
Légendaire ⭐⭐⭐⭐⭐
Légendaire ⭐⭐⭐⭐⭐
Messages : 1502
Enregistré le : 09 avr. 2018, 12:29
A remercié : 8 fois
A été remercié : 33 fois
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#3

Message par cezame »

C'est comme un coffre-fort, ils peuvent être forcés.

C. S.

___
CS

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

Gilbert
Habitué ⭐⭐
Habitué ⭐⭐
Messages : 499
Enregistré le : 13 déc. 2017, 15:22
A remercié : 0
A été remercié : 16 fois
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#4

Message par Gilbert »

Je me méfierais des gratuits et surtout du modèle économique derrière ... surtout quand on sait que rien n'est gratuit

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

solar10Belgique
Bel-Com Team
Bel-Com Team
Messages : 6077
Enregistré le : 01 nov. 2017, 12:15
A remercié : 287 fois
A été remercié : 146 fois
Contact :
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#5

Message par solar10Belgique »

Va donc voir sur F-Droid. C'est gratuit OK mais c'est du OpenSource.
Internet: EDPNet VDSL XL [passé: Scarlet Loco - Scarlet ADSL - dxADSL - Scarlet One (NL) - Cybernet - Compuserve] + Fritz!Box 7490+4040 + rep.310
TV: LG 42LS575S-ZD + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel: VOIP OVH (abonnement découverte)
Mobile: abo Base15 - Xiaomi Mi4c (16GB) + /e/ OS 0.15
Raspberry Pi: 1B: [Coming Soon] - 3B: [Debian Buster/Sid] NAS 12TB OMV4

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

bugs24Belgique
Novice ⭐
Novice ⭐
Messages : 41
Enregistré le : 19 avr. 2021, 15:58
Âge : 48
A remercié : 2 fois
A été remercié : 4 fois
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#6

Message par bugs24Belgique »

cezame a écrit : 27 avr. 2021, 16:33 C'est comme un coffre-fort, ils peuvent être forcés.

C. S.
Certes mais un voleur ira au plus simple ... de plus avec les authentifications à deux facteurs, ils ne peuvent pas aller bien loin ...
Internet : Proximus flex ( avant : belgacom , multi BBS ( empire alpha, zeus, hermes, ... ) + fidonet ( et plein de trucs en "net" ), packet radio )
TV: Phillips Led de 10 ans ( du coup la 4K je m'en tape un peu, lol ) + Pickx + bouquet Multi FR + netflix + disney+
Tel: dans mon Flex + No limit fix to mobile ( j'ai même pas de tel dessus )
Mobile: Orange, plein de brols samsung
Tablettes : 4 Lenovo M10
Divers : chromecast, firestick tv lite
Disclaimer : handicap aux mains, je ratte parfois quelques lettres ...

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

Miyamushi
Novice ⭐
Novice ⭐
Messages : 13
Enregistré le : 14 juin 2020, 16:27
A remercié : 0
A été remercié : 0
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#7

Message par Miyamushi »

Bien sûr qu'on peut leur faire confiance, enfin à certains. Seul moyen de se faire avoir c'est si quelqu'un connait ton mot de passe maître : keylogger, mot de passe faible, etc. Personnellement mont mot de passe maître est une phrase assez précise d'un bouquin que j'adore.


Personnellement j'utilise maintenant Bitwarden, c'est open-source, a fait l'objet d'audits, et possibilité de d'héberger la partie serveur soi-même.
https://bitwarden.com/products/

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

Criscoco
Admin
Admin
Messages : 5277
Enregistré le : 31 oct. 2017, 14:17
A remercié : 178 fois
A été remercié : 135 fois
Contact :
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#8

Message par Criscoco »

Concernant les mots de passe, le système mis en place sur les produits Apple sont super bien foutu et c'est gratuit (enfin compris dans le prix de ton appareil) tout comme les mises à jour :mrgreen:
iPhone 12 - Orange "Go Intense" - iPad Air 2 Cell
Edpnet VDSL XL 100/35 - Molotov TV Extended - Netflix - Prime Video
MacBook Air (2019) - MAC OS Big Sur

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

sohka
Novice ⭐
Novice ⭐
Messages : 5
Enregistré le : 18 nov. 2017, 11:32
A remercié : 0
A été remercié : 0
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#9

Message par sohka »

Je suis également utilisateur de Bitwarden comme gestionnaire de mot de passe.

La question n'est pas vraiment si on peut faire confiance aux gestionnaires de mot de passe, car si le fournisseur de service a correctement fait son job (c'est à dire si il a mis en place un chiffrement end-to-end entre les machines clientes), tes mots de passe stockés ne sont lisible que si on connait la passphrase maitre (et si possible, le 2FA ou facteur de double authentification). Même si le fournisseur s'est fait volé toutes ses données (donc les tiennes), l'attaquant ne devrait pas réussir à accéder aux données (sous condition que ta passphrase soit assez forte).

Après, bien sûr, il y a toujours moyen d'intercepter la passphrase (si le portail web du gestionnaire a été modifié par un attaquant par exemple). Donc il faut un minimum de confiance. Et d'où l'intérêt de configurer un 2FA.

Je trouve cet article assez efficace. Et pour ceux qui aiment les podcats, en voilà un qui fait l'état de l'art des mots de passe en informatique et qui explique comment ça se passe du point de vue d'un attaquant.

Edit : je partais du principe, à tort, qu'on parlait de gestionnaire en ligne. Sinon, en offline, la grosse référence est Keepass (mais j'ai une préférence pour KeePassXC).

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

andenne21Belgique
Habitué ⭐⭐
Habitué ⭐⭐
Messages : 117
Enregistré le : 27 janv. 2021, 11:37
Âge : 53
A remercié : 1 fois
A été remercié : 5 fois
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#10

Message par andenne21Belgique »

J'utilise DASHLANE, et il est payant. j'en suis super content...
Image

Proximus flex: Bbox V3+,1flex+ mobile, 1 flex, 3 flex full control , phone line, internet maxi, tv, et 2 wifi booster=> supprimé le 15/03
Voo Quatro Max (inclus 5 GSMS), commandé le 06/03/2021, et pack effectif depuis le 16/03
LG Oled 55CX depuis le 03/03/2021
Z8 Pro depuis le 25/01/2021
Huawei P20 Pro depuis 05/2018
Netgear Orbi routeur Wifi-mesh trio.

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Avatar du membre

bugs24Belgique
Novice ⭐
Novice ⭐
Messages : 41
Enregistré le : 19 avr. 2021, 15:58
Âge : 48
A remercié : 2 fois
A été remercié : 4 fois
Statut : Hors ligne

Re: Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

#11

Message par bugs24Belgique »

andenne21 a écrit : 27 avr. 2021, 19:28 J'utilise DASHLANE, et il est payant. j'en suis super content...
pareil ici, ça me permet d'avoir 165 password uniques :informatique:
Internet : Proximus flex ( avant : belgacom , multi BBS ( empire alpha, zeus, hermes, ... ) + fidonet ( et plein de trucs en "net" ), packet radio )
TV: Phillips Led de 10 ans ( du coup la 4K je m'en tape un peu, lol ) + Pickx + bouquet Multi FR + netflix + disney+
Tel: dans mon Flex + No limit fix to mobile ( j'ai même pas de tel dessus )
Mobile: Orange, plein de brols samsung
Tablettes : 4 Lenovo M10
Divers : chromecast, firestick tv lite
Disclaimer : handicap aux mains, je ratte parfois quelques lettres ...

Lien :
BBcode :
HTML :
Masquer les liens de partage du message
Afficher les liens de partage du message
Répondre