Peut-on vraiment faire confiance aux gestionnaires de mots de passe ?

[brebis]

Aujourd'hui, il existe de nombreux gestionnaires de mots de passe (des "coffres-forts") qui permettent de ne plus devoir retenir tous ses mots de passe (bien souvent de piètre qualité en terme de sécurité), il suffit d'en retenir un seul.

Mais comment choisir un gestionnaire de mots de passe parmi les principaux proposés (keepass, 1password, lastpass, etc...) ? Et vaut-il mieux prendre la version payante plutôt que la version gratuite ? Et quid si le mot de passe "maître" (= servant à ouvrir le "coffre-fort") est lui-même piraté ?

Et la première question, primordiale : peut-on vraiment faire confiance à ces gestionnaires de mots de passe ?

viewtopic.php?p=68211#p68211
nam1962, dans cet autre topic, préférait masterpassword.app (qui n'est pas un gestionnaire de mot de passe, mais qui - je crois - "calcule" des mots de passe).

J'avais commencé, pour certains sites, à me créer un mot de passe dont le début était toujours le même, la suite du mot de passe changeant selon que c'est pour accéder à tel site ou tel autre site. Mais j'ai déjà rencontré un problème parce que pour un site, le caractère spécial "@" - le "at", "arobase" - ne pouvait pas être utilisé pour me créer le mot de passe, qui était dès lors refusé.

[Unix-Linux]

Brebis : le meilleur gestionnaire de mot de passe, c'est ton cerveau.

[cezame]

C'est comme un coffre-fort, ils peuvent être forcés.

C. S.

[Gilbert]

Je me méfierais des gratuits et surtout du modèle économique derrière ... surtout quand on sait que rien n'est gratuit

[solar10]

Va donc voir sur F-Droid. C'est gratuit OK mais c'est du OpenSource.

[bugs24]

C'est comme un coffre-fort, ils peuvent être forcés.

C. S.

Certes mais un voleur ira au plus simple ... de plus avec les authentifications à deux facteurs, ils ne peuvent pas aller bien loin ...

[Miyamushi]

Bien sûr qu'on peut leur faire confiance, enfin à certains. Seul moyen de se faire avoir c'est si quelqu'un connait ton mot de passe maître : keylogger, mot de passe faible, etc. Personnellement mont mot de passe maître est une phrase assez précise d'un bouquin que j'adore.


Personnellement j'utilise maintenant Bitwarden, c'est open-source, a fait l'objet d'audits, et possibilité de d'héberger la partie serveur soi-même.
https://bitwarden.com/products/

[Cris]

Concernant les mots de passe, le système mis en place sur les produits Apple sont super bien foutu et c'est gratuit (enfin compris dans le prix de ton appareil) tout comme les mises à jour

[sohka]

Je suis également utilisateur de Bitwarden comme gestionnaire de mot de passe.

La question n'est pas vraiment si on peut faire confiance aux gestionnaires de mot de passe, car si le fournisseur de service a correctement fait son job (c'est à dire si il a mis en place un chiffrement end-to-end entre les machines clientes), tes mots de passe stockés ne sont lisible que si on connait la passphrase maitre (et si possible, le 2FA ou facteur de double authentification). Même si le fournisseur s'est fait volé toutes ses données (donc les tiennes), l'attaquant ne devrait pas réussir à accéder aux données (sous condition que ta passphrase soit assez forte).

Après, bien sûr, il y a toujours moyen d'intercepter la passphrase (si le portail web du gestionnaire a été modifié par un attaquant par exemple). Donc il faut un minimum de confiance. Et d'où l'intérêt de configurer un 2FA.

Je trouve cet article assez efficace. Et pour ceux qui aiment les podcats, en voilà un qui fait l'état de l'art des mots de passe en informatique et qui explique comment ça se passe du point de vue d'un attaquant.

Edit : je partais du principe, à tort, qu'on parlait de gestionnaire en ligne. Sinon, en offline, la grosse référence est Keepass (mais j'ai une préférence pour KeePassXC).

[andenne21]

J'utilise DASHLANE, et il est payant. j'en suis super content...

[bugs24]

J'utilise DASHLANE, et il est payant. j'en suis super content...

pareil ici, ça me permet d'avoir 165 password uniques :informatique:

[nam1962]

(...)

viewtopic.php?p=68211#p68211
nam1962, dans cet autre topic, préférait masterpassword.app (qui n'est pas un gestionnaire de mot de passe, mais qui - je crois - "calcule" des mots de passe).

(...)

Je confirme, MasterPassword ne stocke rien, il est comme une calculette, par défaut, les clefs sont le domaine du site, le login et... le mot de passe dans ta tête (il suffit donc de ne retenir qu'un mot de passe.)
Donc il est inattaquable et on peut s'en servir de partout, même d'une machine ou d'un téléphone qui n'est pas à soi.

Attention, le meilleur mot de passe du monde peut-être subtilisé... sur le site ou le serveur mail sur lequel il est utilisé (mais avec MasterPassword le dégat n'ira pas plus loin, puisque par définition, j'ai un mot de passe par site)

comme il arrive qu'on doive stocker secrètement quelques autres infos ou fichiers, j'utilise aussi le dossier chiffré (en EncFS avec Cryptkeeper ou ecryptfs avec Sirikali) Je testerai aussi, dès que j'ai le temps, l'astuce d'un de mes contacts qui chiffre son dossier à la volée avec 7zip.

[Entropy]

Dites, justement, j'avais vu une promo stacksocial sur sticky password.

Avez-vous un avis ?

https://stacksocial.com/sales/sticky-pa ... cription-4

Envoyé de mon M2007J3SG en utilisant Tapatalk

[Mujos]

Bonjour arl0ng et les autres...

J'ai personnellement STICK PASSWORD ( acheté ) et je n'ai aucun problème avec !

A mon avis, les payants sont quand-même plus sûrs que les gratuits, y a pas photo !

PS: la version que vous achetez est une version à vie comprenant régulièrement des mises à jour .

[Entropy]

Bonjour arl0ng et les autres...

J'ai personnellement STICK PASSWORD ( acheté ) et je n'ai aucun problème avec !

A mon avis, les payants sont quand-même plus sûrs que les gratuits, y a pas photo !

PS: la version que vous achetez est une version à vie comprenant régulièrement des mises à jour .

Voilà, j'ai franchi le pas, j'ai activé le 2FA dans sticky password (ainsi que dans firefox synch).
Ca m'a l'air pas mal :D
Je ne vais pas enregistrer tous les sites mais ceux dont j'oublie les passwords et qui sont pas sensibles si ca se fait hack, ça me va

[solar10]

Pas de chance pour les utilisateurs de LastPass.
https://www.ghacks.net/2022/12/23/lastp ... on-stolen/

[Chris]

Concernant les mots de passe, le système mis en place sur les produits Apple sont super bien foutu et c'est gratuit (enfin compris dans le prix de ton appareil) tout comme les mises à jour

Idem.

J’ai longtemps utilisé 1Password, que ça soit en gratuit et un peu en payant puis j’étais passé à Bitwarden mais l’interface archaïque et l’intégration n’étaient pas aussi bonnes donc retour à 1Password.

Ensuite, je suis passé du côté d’Apple qui a forcément la meilleure intégration avec les appareils de la marque mais aussi qui me permet d’encore me passer d’une application tierce (j’ai un truc avec le minimalisme et l’optimisation).

Alors oui, on va me dire que si un jour, je vais sur Android/Windows ou qu’Apple se plante, j’ai tout perdu. Sauf que j’ai un iPhone depuis le 3GS (avec quelques tests sur Android) et un Mac. En théorie, je ne suis pas près de changer et qu’au pire, je réinitialise le mot de passe et hop.

On pourrait dire que même si on ne peut pas le faire confiance à 100%, c’est toujours mieux que les mots de passes classiques sans la double authentification.

Et je rajouterai « la vigilance ».

[Fabrice]

mot de passe simple ,efficace faut pas de QI est 1234 par défaut

[Mackguil]

Étant donné les très nombreux de mot de passe différent employés sur chaque site, pas eu le choix que de les inscrire pour s'en souvenir, et vous ne devinerez jamais où ... le cloud, mais c'est crypté par le fournisseur, stocker dans un conteneur Veracrypt, en sus Cryptomator ( remplacent de boxcryptor depuis quelques jours) encrypte/décrypte à la volée, le nom du fichier étant "nokete" ne prête pas trop à la suspicion.


Faudrait être fort pour lire le contenu dudit fichier.

[Fabrice]

Étant donné les très nombreux de mot de passe différent employés sur chaque site, pas eu le choix que de les inscrire pour s'en souvenir, et vous ne devinerez jamais où ... le cloud, mais c'est crypté par le fournisseur, stocker dans un conteneur Veracrypt, en sus Cryptomator ( remplacent de boxcryptor depuis quelques jours) encrypte/décrypte à la volée, le nom du fichier étant "nokete" ne prête pas trop à la suspicion.


Faudrait être fort pour lire le contenu dudit fichier.

Voila je l'ai cracké