Journal [Navigateurs] Sécurité des gestionnaires de mots de passe

Posté par  .
15
16
déc.
2008
Ah les mots de passe… Déjà en 1977 le problème de la sécurité de ces derniers se posait :

« When MIT's Laboratory for Computer Science (LCS) installed a password control system in 1977, Stallman found a way to decrypt the passwords and sent users messages containing their decoded password, with a suggestion to change it to the empty string (that is, no password) instead, to re-enable anonymous access to the systems. » (ref. Richard_Stallman)

Aujourd'hui, la majorité des utilisateurs n'aime pas taper les mots de passe. Pour aider les internautes, les navigateurs internet ont apporté les gestionnaires de mots de passe!

J'aimerais vous faire part d'un article qui alerte sur la sécurité de ces gestionnaires.

Chapin Information Services a publié une news le 12 décembre contenant un joli comparatif des gestionnaires de mots de passe des navigateurs en vogue : http://www.info-svc.com/news/2008/12-12/

Le grand perdant du concours c'est Chrome de chez Google (ex aequo avec Safari pour MS Windows).

Opera 9.62 et Firefox 3.0.4 sont les mieux lotis avec 7 tests passés sur 21.

À titre indicatif j'ai essayé Opera 10.0 Alpha 1 et ce dernier donne un score de 9/21.

Vous pouvez tester votre gestionnaire de mots de passe là :
http://www.info-svc.com/news/2008/12-12/pm-evaluator/

La question que je me pose maintenant est : Faut-il privilégier la sécurité et ne pas utiliser de gestionnaire de mots de passe (pour le moment), ou bien se fier à eux et naviguer avec facilité?

Taper ses mots de passe à chaque fois ne nous protège pas de façon absolue non plus. Peut-être faut-il doser son utilisation du gestionnaire et ne pas enregistrer les mots de passe de tous les sites. En tout cas la prochaine étape pour moi va être de différencier mes mots de passe de navigation internet des autres mots de passe.
  • # le post it sous le clavier ...

    Posté par  (site web personnel) . Évalué à 8.

    une des meilleurs solutions que j'ai trouvé pour stocker efficacement et de manière sécurisée un mot de passe reste le post-it !

    outils :
    - un bloc de post-it
    - un exemplaire clé qui peut etre annuaire/bible/coran/veda/micelle/sidour/...
    - un générateur de nombres aléatoire ( en cas de besoin )
    - une bonne connaissance du Chiffre_de_Vigen%C3%A8re ( algorithme digne d'un enfant de CP ! )

    1. on génère une chaine aléatoire de X caractères X > 8
    2. on prend son passage préféré de l'exemplaire-clé
    3. on utilise la chaine aléatoire comme mot de passe
    4. on crypte avec un vigenere la chaine aléatoire avec son passage clé préféré
    5. on recopie la chaine crypté sur le post-it !

    Complexité pour madame Michu :
    - comprendre le Chiffre_de_Vigen%C3%A8re
    - mémoriser 1 seul très long passage de son exemplaire clé
    - avoir suffisament de post-it !

    avant de crier au n'importe quoi ... je précise que tout repose sur la robustesse du générateur de chaine aléatoire, plus il est performant, et plus la solution est robuste.

    Comme quoi ...
    • [^] # Re: le post it sous le clavier ...

      Posté par  (site web personnel) . Évalué à 4.

      à propos de la [[Cryptanalyse_du_chiffre_de_Vigenère]] , il est important de noter que WP dit :
      Considérons par exemple le mot-clé « ABCD » qui sert à chiffrer « MESSAGER TRES MESQUIN MESOPOTAMIEN ».

      là il s'git de coder du bruit "long" par un texte très long , la suite des mots de passe assurant une nouvelle clé dans ce texte tres long.

      Exemple pratique :

      premier mot de passe : Az123435#Rz
      second mot de passe : TfYi455#@

      donc la chaine à coder est : Az123435#Rz TfYi455#@
      la clé avec l'exemple de WP est : MESSAGERTRE SMESQUINM

      si vous arrivez à monter une attaque contre, n'hésitez pas à le dire ;)

      mais avec un exemple, ca me semble plus parlant :P
    • [^] # franchement plus simple

      Posté par  . Évalué à -1.

      quel prise de tête...
      je ne vois pas a quoi sert le post it dans ce cas.

      je propose une amélioration :
      2. on prend son passage préféré de l'exemplaire-clé
      on prends son passage préféré et on l'utilise comme mot de passe, et voilà ;)
      préféré = on ne risque pas de l'oublié.
      • [^] # Re: franchement plus simple

        Posté par  (site web personnel) . Évalué à 3.

        - le post it sert à ne pas oublier les mots de passe chiffrés.
        - le passage préféré sert de clé de chiffrement

        le propos du journal était de stocker efficacement ses mots de passe ... pas de les mémoriser.

        A coté de cela :
        - utiliser un extrait d'une fable de la fontaine comme mot de passe est un mot de passe faible
        - utiliser une longue fable de la fontaine comme clé dans un algorithme de vigenère pour chiffrer des chaines aléatoires servant de mots de passe, est de la cryptographie efficace.

        un simple xor peut faire l'affaire ... mais expliquer un xor à M. Duran pilier du bistro du coin, est plus complexe que d'expliquer le chiffre de vigenère.
        • [^] # Re: franchement plus simple

          Posté par  . Évalué à 1.

          ha ok, suis-je bête, en fait avec le post it, tu recalcule le mot de passe a chaques fois; avec :
          - la phrase secrete,
          - le pass chiffré du post it.

          alors, puisque que tu tu emets des conseils sur la faiblesse des methodes des autres, je me permet simplement de te conseiller d'effectuer le calcul de tête uniquement, hein...
          ben oui : imagine si tu le fait sur un brouillon, tu serai obligé de le broyer puis de bruler le tout desfois que ;)
  • # Pertinent mais....

    Posté par  . Évalué à 4.

    ...tout dépend des mots de passes que tu stock, personnellement, je me fiche qu'on pirate mon compte sur JOL ou sur linuxfr...après, si des personnes sont asse stupide pour stocker leur mot de passe d'accès au banques...

    Sinon, c'est un article très intéressant :)
  • # Konqueror

    Posté par  . Évalué à 6.

    À titre informatif, hier soir avec konqueror 4.1 j'ai obtenu un score de plus de 12 sur 21 (désolé je n'ai plus le score en tête)
    • [^] # Re: Konqueror

      Posté par  (site web personnel) . Évalué à 6.

      13 tests réussis sur 21, avec Konqueror 3.5.9.
      Sur aucune page, il ne m'a proposé le mot de passe, j'ai toujours dû le retaper à la main.
      En fait, si on va voir dans kwallet, il a enregistré les URL en incluant la partie située après le #, donc tous les #stepXY sont pour lui des emplacements différents.
      • [^] # Re: Konqueror

        Posté par  . Évalué à 4.

        C'est rigolo, moi j'ai eu 14 réussis sur 21. Debian Unstable du 16 Décembre 2008, donc Konqueror 3.5.9 qui utilise KDE 3.5.10 (et surtout KWalletmanager 1.1).

        En fait, les seuls problèmes trouvés est que Konqueror n'avertit pas si un formulaire sur le site toto.fr envoye la saisie sur exemple.com. Bref, si une attaque a réussi à modifier la serveur sur lequel on croit être...

        ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

        • [^] # Re: Konqueror

          Posté par  . Évalué à 1.

          j'ai obtenu un score de 8 sous firefox 3.0.4 ...
          j'ai passé le test User Required for Password Retrieval ( le mot de passe n'a jamais été remplit tout seul, à chaque étape j'ai du intervenir, et il n'a pas été affiché dans les étapes avec mail ( et le mail n'était pas envoyé ) )
  • # Bah simple

    Posté par  . Évalué à -2.

    Pour retenir un mot de passe:

    $ expr {année_de_naissance} + {salaire_mensuel} + {taille_de_mon_sexe}|md5sum


    Et voilà !! Mot de passe impossible à retrouver.
    • [^] # Re: Bah simple

      Posté par  . Évalué à 10.

      {taille_de_mon_sexe}

      C'est une variable, pas une constante.
      • [^] # Re: Bah simple

        Posté par  . Évalué à 1.

        {taille_de_mon_sexe}

        C'est une variable, pas une constante.


        ça, c'est pas un commentaire de gonzesse !!!
      • [^] # Re: Bah simple

        Posté par  . Évalué à 10.

        La variation est sans doute trop faible pour être mesurable chez monsieur ;-)
    • [^] # Re: Bah simple

      Posté par  . Évalué à 7.

      Dommage que Ton algo comprenne plein de faiblesses pour de larges pans de notre société !

      Une femme au chomdu aura un mdp pas si difficile à trouver.
    • [^] # Re: Bah simple

      Posté par  . Évalué à -2.

      bon, tu perds ton mdp, comment le récupérer ? Franchement, je sais pas calculer un md5 à la main moi
      • [^] # Re: Bah simple

        Posté par  . Évalué à 4.

        c'est pas ssii20111 ton password, des fois ?
  • # et les numeros de CB

    Posté par  (site web personnel) . Évalué à 3.

    Moi ce qui me gene le plus c'est le memorisation des champs de formulaires pour certaines données sensibles. Exemple typique: le numero de carte banquaire , bien souvent firefox l'a mémorisé lors d'un achat precedent et le propose à la completion.. Je sais c'est plus la faute des sites de vente en ligne merdiques (mais nombreux voire majoritaires) que du pauvre firefox mais ça reste ennuyeux.
    J'espère au moins que quand on met un "master password" sur les mots de passe de firefox, il s'en sert aussi pour chiffrer ces informations là ?
    • [^] # Re: et les numeros de CB

      Posté par  . Évalué à 1.

      Gnééé ? O_o
      Sur les sites où j'ai déjà eu à saisir mon numéro de CB, jamais ledit numéro n'est réapparu...
      Le fait que la page soit en https (le navigateur s'interdirait toute sauvegarde de données persos sur ces pages) y est-il pour quelque chose ? Ou alors le champ a un nom/id différent à chaque fois, pour contrer cette fonctionnalité des navigateurs ?
      • [^] # Re: et les numeros de CB

        Posté par  . Évalué à 2.

        De tête, il faut ajouter l'attribut autocomplete="0" dans ta balise input pour que le navigateur oublie de l'enregistrer.

        C'est ce qui est souvent rajouté sur les sites concernés (pas partout, d'ailleurs).
      • [^] # Re: et les numeros de CB

        Posté par  (site web personnel) . Évalué à 4.

        Tu as juste de la chance de tomber sur de bons sites.
        C'est le site qui décide de dire au navigateur si il peut sauvegarder.
    • [^] # Re: et les numeros de CB

      Posté par  . Évalué à 3.

      le champ doit avoir l'attribut autocomplete=off
      http://www.w3.org/Submission/web-forms2/#the-autocomplete

      Et non, les infos ne sont pas chiffrées. FF3 stocke ça dans une base sqlite (formhistory.sqlite)
  • # C'est pratique

    Posté par  . Évalué à 6.

    Combien de fois j'ai croisé de personnes m'expliquant qu'il fallait être fou pour confier ses mots de passe au gestionnaire de son navigateur, alors que leur navigateur à eux est authentifié h24 sur des dizaines de services dont leur compte e-mail principal.

    J'utilise le gestionnaire de mot de passe de firefox, avec master password et l'extension secure login ("secure" est un bien grand mot en l'occurrence, mais pas d'auto-fill du champ password, c'est toujours ça de gagné). J'y enregistre tout sauf une poignée de service important (e-mail principal, banque, FAI)

    Par contre, je me déconnecte des services et je vire (presque) tous les cookies au lancement de mon navigateur (extension CookieCuller).

    Et si vous devez vraiment rester connecté à des services importants, les protections anti xss/csrf/click-jacking de noscript ne sont pas juste un plus sécurité sympa, elles sont absolument indispensables.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.