Salut,
Nous sommes confrontés à un problème bien connu mais qui reste confidentiel (c'est le cas de le dire) : comment faire, lorsque l'on a besoin du mot de passe d'un utilisateur pour que celui-ci nous le transmette de façon sécurisée ?
Les méthodes par email ou SMS sont bien sûr interdites.
Il y a la méthode directe, en face à face, bien sûr, mais quand cette personne se trouve ailleurs c'est plus difficile.
Connaissez-vous un soft qui ferait le boulot ? Une appli Web ?
Bref si vous avez une soluce à proposer…
A +
# Mauvaise solution
Posté par ptit_poulet . Évalué à 3.
Un mot de passe est personnel donc ce n'est pas la bonne idée.
Il faut réfléchir à autre chose pour ne pas avoir besoin de faire ce genre de chose.
Si ce sont des documents, il est préférable de réfléchir à un partage ou autre par exemple. Mais surtout pas le partage d'un mot de passe.
A quoi veux-tu accéder ?
[^] # Re: Mauvaise solution
Posté par tontonrico . Évalué à 1.
Il n'y a pas d'autre moyen (hormis de changer son mot de passe) que d'avoir le MdP du user pour certaines tâches…
Le but est de pouvoir échanger ce mot de passe de façon "sécurisée"
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 0.
Mais de quelles tâches s'agit-il ? Peut-être n'as-tu pas pensé à toutes les solutions possibles.
[^] # Re: Mauvaise solution
Posté par Kerro . Évalué à 2.
C'est pénible de voir à chaque fois des gens qui disent « non tu n'as pas besoin de faire ça. Mais en fait je ne connais pas la situation dans laquelle tu te trouves, je donne juste mon avis dogmatique ».
Lourdingue, franchement.
Exemple : transmettre un identifiant à un utilisateur ou un prestataire. Si tu n'es pas à côté de lui, tu fais comment ?
Exemple : pour configurer la session d'un utilisateur Windows. On se connecte à sa place et on configure les navigateurs web, on agence le bureau correctement, on configure les logiciels métiers, on transfère les données depuis l'ancien poste, et on s'assure que tout soit nickel.
Exemple : pour configurer un logiciel en ligne sur lequel on n'a pas la main (SalesForce par exemple) afin que l'utilisateur puisse l'utiliser directement.
Exemple : configurer une boîte email sur un autre poste dans une autre ville afin que plusieurs personnes puissent recevoir les emails. Manipulation faite en tant que prestataire, donc il faut bien que l'admin te transmette le mot de passe.
Etc etc.
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 0.
C'est toi qui est lourd dingue…
Justement je demande les situations afin de voir avec lui ce qu'il est possible de faire sans devoir partager un mot de passe si cela est faisable, car comme je l'ai dit il n'a peut-être pas pensé à tout.
[^] # Re: Mauvaise solution
Posté par CanardDoublePhase . Évalué à 2.
Partager un mot de passe est TOUJOURS la mauvaise solution. Un mot de passe doit rester personnel ou il ne protège plus rien.
Si l'utilisateur crée un compte, tu le laisses choisir son mot de passe sur une page HTTPS.
Si la tâche est à faire sur ton serveur, tu contrôles ce serveur et tu peux donc faire ce que tu veux sans le mot de passe de l'utilisateur.
Si la tâche est à faire sur son ordinateur, tu utilises une solution qui ne demande pas son mot de passe, comme TeamViewer ou une clé temporaire.
Partager un mot de passe ne peux PAS être sécurisé et est TOUJOURS évitable. Si tu en as besoin, ton système est mal conçu.
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 1.
Enfin quelqu'un de sensé. Merci ;)
[^] # Re: Mauvaise solution
Posté par Kerro . Évalué à 0.
Ben vas-y, réponds aux exemples HYPER COURANTS que j'ai donné, sans partager de mot de passe.
Si tu y arrives, tu es millionnaire sous 2 ans je pense.
Ta réponse est typiquement dogmatique : on ne doit pas faire ci ni faire ça, même lorsqu'il n'y a aucune autre solution viable.
J'ai bien précisé « viable », pas la peine de sortir des solutions qui coûtent un ingénieur système pour une entreprise de 10 personnes, ni l'utilisation de procédures complexes au quotidien.
Un truc que je fais souvent est d'indiquer aux clients de changer leur mot de passe avant notre intervention.
Même les mecs qui nous demandent d'intervenir sur leurs serveurs dédiés genre chez OVH ne le font pas tellement ils s'en foutent de la sécurité. Alors ton petit dogme, il n'est valable que pour un chouillème des gens. Et ce chouillème sait très bien se débrouiller pour ne pas divulguer ses mots de passe.
[^] # Re: Mauvaise solution
Posté par CanardDoublePhase . Évalué à 3.
Voici :
Dans un système à la sécurité bien pensée, tu n'as jamais à transmettre le mot de passe à l'utilisateur, tu lui fais choisir lui-même par un moyen sécurisé (la page HTTPS étant la plus courante).
Comme je l'ai dit, tu utilises un logiciel de contrôle à distance qui fonctionne par approbation de l'utilisateur, avec un code temporaire qui vous permet de vous authentifier mutuellement.
Pas compris l'exemple. Qu'est-ce que tu appelles configurer ? Si le système demande de donner à une personne le mot de passe en clair pour le transmettre au vrai utilisateur, il est mal fait, tout simplement.
Une adresse mail, c'est personnel. La solution est de transmettre les emails à toutes les adresses concernées. Si vraiment plusieurs personnes doivent accéder à la même, tu leur attribues des mots de passe différents.
Non, c'est seulement une condition nécessaire (mais pas suffisante) pour pouvoir être raisonnablement qualifié de "compétent" quand on gère un système où la sécurité compte. C'est pas parce que tu n'as pas su les trouver et on ne te les a jamais apprises qu'elles n'existent pas.
Elle a l'air dogmatique parce que c'est la manière correcte de gérer des mots de passe, et comme je viens de l'expliquer, il y a toujours un moyen de l'appliquer. Un mot de passe reste SECRET, quoi qu'il arrive. On limite son exposition au minimum, qui est souvent limité aux 20 millisecondes qu'il met pour voyager de l'ordinateur de l'utilisateur au serveur et être hashé et ajouté/comparé à une base de données.
Tu es peut-être obligé de le faire parce que le système est fait comme ça, mais c'est une mauvaise pratique, ça n'est pas sécurisé et toutes les réponses à ta question qui tentent de faire marcher ta méthode seront imparfaites, par design.
Tu t'es répondu toi-même : ils s'en foutent, de la sécurité. Quand on m'a parlé de mots de passe, je me suis naïvement placé dans le cas où on s'en fout pas, de la sécurité.
Attaque personnelle, réduction des idées de l'autre côté à un "dogme" ou une "croyance", pour tenter de les décrédibiliser pour se détourner du fond. On utilise ça quand on sait qu'on a tord ou qu'on ne comprend rien au sujet. Garde tes attaques pour toi, merci.
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 2.
J'adore ta réponse :D Tout est dit.
Dommage je ne peux pas cliquer plusieurs fois sur pertinent…
[^] # Re: Mauvaise solution
Posté par Kerro . Évalué à -1.
C'est bien ce que je dis : tu es hyper dogmatique.
90% des systèmes ne permettent pas ce que tu prétends. Windows en premier lieu.
Donc ta réponse ne couvre que 10% des cas DANS LA VRAIE VIE.
Ta réponse ne permet RIEN dans la liste que j'ai donné. Cette liste correspond à de vrais besoin courants.
[^] # Re: Mauvaise solution
Posté par CanardDoublePhase . Évalué à 2. Dernière modification le 10 février 2017 à 20:26.
Je ne fais pas que prétendre, c'est la seule manière pro et sécurisée de faire. Si ton système ne le permet pas, t'aurais jamais dû l'utiliser au départ. Et les systèmes sérieux permettent tous de faire ça correctement.
J'ai pas mentionné TeamViewer ? Ctrl-F teamv Ah ben si, j'ai mentionné TeamViewer. Mais même pas besoin de ça en fait, une simple recherche Google m'a confirmé que l'assistance à distance de Windows permet d'utiliser un mot de passe à usage unique, que tu peux donc transférer par n'importe quel moyen privé sans te casser la tête.
Encore une fois, c'est toi qui ne sais pas t'y prendre. Je t'ai donné la réponse correcte à ta question, je suis sûr que les autres réponses t'aideront beaucoup à utiliser les autres. Bonne chance.
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 0.
Pour Windows tu as Microsoft LAPS qui te permet de générer des mots de passe à usage unique pour la prise en main à distance entre autre…
Comme le dit très bien CanardDoublePhase c'est juste que tu n'as pas les compétences requises pour mettre en place une infrastructure sécurisée. Donc tu peux dire autant de fois que tu veux qu'on a tort mais jusqu'à preuve du contraire des solutions existes, on t'en a donné plusieurs, ensuite à toi de creuser et te former ;)
[^] # Re: Mauvaise solution
Posté par Kerro . Évalué à 0.
Mais oui je suis bête, cette merveilleuse solution était sous mes yeux… et qui ne répond PAS DU TOUT aux scénarios hyper courants que j'ai cité.
Microsoft LAPS nécessite Active Directory, et ne gère que les comptes d'administration. Donc c'est mort pour les particuliers, pour plein de petites entreprises qui n'ont que 3 postes.
Et surtout c'est mort pour n'importe quel client qui n'a aucune envie de payer l'installation de Microsoft LAPS (ben oui, je ne fais pas ça gratuitement) pour qu'on puisse ensuite le dépanner. Ce qu'il veut c'est être dépanné maintenant, pas dans 2 heures.
Il va juste percevoir ça comme une complexité supplémentaire, ce qui est totalement vrai.
Tu me dis toi-même : mettre en place une infrastructure sécurisée
Non mais franchement, dans combien de cas un client, un utilisateur, une personne en panne, etc, est prête à payer ça ?!
Tu es probablement hyper compétent (vu tes réponses, j'ai un doute), mais tu n'es jamais sortir de chez toi. Tu verras, à l'extérieur le monde est grand et plein de surprises. Et tu verras qu'en te croyant supérieur aux autres tu passeras pour ce que tu es.
[^] # Re: Mauvaise solution
Posté par ptit_poulet . Évalué à 0.
Effectivement toi tu n'as pas le choix que de sortir de chez toi pour amener le mot de passe écrit sur un bout de papier à ton client.
Le but de l'informatique c'est de se simplifier la vie.
Donc soit tu maîtrises ton boulot et dans ce cas tu gagnes de temps et ton client également.
Soit tu restes à l'ancienne et tu fais croire à ton client que c'est pour son bien… jusqu'au jour où…
Lui il pleure et toi tu cherches du boulot.
[^] # Re: Mauvaise solution
Posté par CanardDoublePhase . Évalué à 0.
C'est pas comme si j'avais posté un message juste au-dessus qui te donne des solutions adaptées à n'importe qui. Là, plus de doute, c'est de la mauvaise foi ; tu veux avoir raison, pas trouver une solution.
Couplée à tes insultes récurrentes et à ta condescendance alors que tu nous as montrés que tu n'y connaissais rien, ça fait beaucoup. Rage et mets tes clients/utilisateurs/données perso en danger autant que tu voudras, je ne lis plus.
# Les méthodes par email ou SMS sont bien sûr interdites.
Posté par j_m . Évalué à 2.
Que reproches-tu à la solution par email ou téléphone ? Tu as peur que quelqu'un de malveillant accède à l'historique ?
[^] # Re: Les méthodes par email ou SMS sont bien sûr interdites.
Posté par tontonrico . Évalué à 0.
Oui tout simplement. Le cloud, tout ça toussa…
[^] # Re: Les méthodes par email ou SMS sont bien sûr interdites.
Posté par j_m . Évalué à 5.
Tu as regardé chez framasoft ?
Dans framabin il y a un bouton "détruire après lecture": https://framabin.org/
[^] # Re: Les méthodes par email ou SMS sont bien sûr interdites.
Posté par tontonrico . Évalué à 1.
Ah ! je vais regarder ça !
# one time password
Posté par NeoX . Évalué à 2.
tu crees un document dans un cloud,
tu poses le mot de passe officiel
tu partages ce document avec un autre mot de passe, temporaire, que tu peux donc envoyer par SMS
et quand la personne a recuperé le document,
tu efface le document du cloud
[^] # Re: one time password
Posté par tontonrico . Évalué à 1.
Ah bah non ! pas de MdP dans le cloud ! Ou alors faudrait le chiffrer.
[^] # Re: one time password
Posté par NeoX . Évalué à 3.
le cloud peut appartenir à ta société/association
donc l'utilisateur depose son mot de passe dans un emplacement connu et securisé
et te partage l'info.
mais si t'es parano à ce point :
- tu le met dans un fichier excel
- tu chiffres le fichier excel avec une clef de chiffrement
- tu met la version chiffrer dans un ZIP avec mot de passe temporaire1
- tu chiffres avec un autre algo le fichier zip
- tu met le fichier obtenu dans un rar avec mot de passe temporaire2
- tu deposes finalement le rar dans un depot cloud avec un mot de passe temporaire4 (celui que tu envoie à l'utilisateur)
n'oublie pas que chaque mot de passe doit etre fort sinon tu auras fait cela pour rien
# Et La Poste ?
Posté par deuzene (site web personnel) . Évalué à 2.
Ça reste encore le moyen le plus simple et le moins surveillé pour transmettre des infos confidentielles. Après, ben :
- tu manges le papier ;
- tu le brûle ;
- tu le dissous dans de l'acide …
« Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »
# Keepass ?
Posté par mahikeulbody . Évalué à 1.
Tu pourrais utiliser un fichier Keepass dédié à ce(s) password(s) et partager ce fichier via le cloud. La sécurité est celle (a priori excellente) offerte par Keepass, sous réserve bien sûr d'une clé maître suffisamment longue.
[^] # Re: Keepass ?
Posté par tontonrico . Évalué à 1.
En effet, j'y avais pensé, mais le coup du truc type Framabin est pas mal du tout aussi !
Merci en tout cas ;)
# ma solution
Posté par Anonyme . Évalué à 4.
j'ai un tableau de 15 colonne et 20 ligne contenant pour chaque case un mdp fort de 8 caractère généré avec le truc kivabien sous linux.
j'ai imprimé la feuille et donner le papier au site en main propre.
je chiffre mes documents avec un mdp choisi sur ma feuille et j'appel le fichier par sa position de mdp genre : k12b6.axx ou pour les truc plus secret a4f10d5.axx et les truc peut important b3.axx
# Commentaire supprimé
Posté par Anonyme . Évalué à 5.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Par courriel
Posté par gringonz . Évalué à 2.
J'allais proposer cette solution, mais il a été plus rapide que moi !
Pour compléter, dans thunderbird, il existe un greffon appelé enigmail, qui permet de chiffrer déchiffrer simplement des messages. Il suffit juste que les personne désirant communiquer de cette façon s'échangent leur clé publiques… et installent ce greffon.
[^] # Re: Par courriel
Posté par NeoX . Évalué à 2.
et justement cette clé publique, ils l'echangent comment ?
[^] # Re: Par courriel
Posté par gringonz . Évalué à 1.
J'allais proposer cette solution, mais il a été plus rapide que moi !
Pour compléter, dans thunderbird, il existe un greffon appelé enigmail, qui permet de chiffrer déchiffrer simplement des messages. Il suffit juste que les personne désirant communiquer de cette façon s'échangent leur clé publiques… et installent ce greffon.
# une autre solution logicielle
Posté par ComputingFroggy (site web personnel) . Évalué à 1.
Il y a aussi Universal Password Manager (aka UPM).
Tu peux stocker divers mot de passe et enregistrer ton fichier sur l'hébergement web de ton choix.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.