Bon, j'ai que 35 ans mais on ne sait pas de quoi l'avenir est fait. J'avoue me demander parfois comment on devrait gérer ma disparation pour mes proches. J'ai plusieurs serveurs, un nom de domaine et un site web à moi. Mais surtout il y a les abonnements (netflix, soundcloud et des patreons à quelques entités). Peu de personnes de mon entourage ou de ma famille connait ses existences mais aucun ne connait ni OpenBSD ni les services qui tournent sur mes serveurs. Que faudrait-il faire si je disparaissais du jour au lendemain et que tout devenait impayé et pas mis à jour ?
git is great because linus did it, mercurial is better because he didn't
Ce n'est pas que pour les proches, c'est aussi vrai pour chaque acteur d'un collectif : responsable d'association, d'organisation sur une forge logicielle, d'un compte chez un hébergeur d'infrastructure, bref pour chaque ressource collective gérée : qui co-gère, qui prendra le relai, toutes les infos sont-elles disponibles, notre bus factor est-il supérieur à un, etc.
C'est aussi vrai dans l'autre sens : quand c'est toi qui doit gérer les décès, être préparé (enfin autant que possible), gérer les fermetures de comptes sur les différents services, contacter les personnes qui étaient en contact avec la personne, etc.
Que faudrait-il faire si je disparaissais du jour au lendemain et que tout devenait impayé et pas mis à jour ?
(avertissement : pas libre)
Perso je ne suis pas fan des mots de passe dans un écrit, car un écrit se vole (et coûte si mis chez un notaire… qui peut en plus lire votre mot de passe), et j'avais opté pour Last Pass Emergency Access, qui permettait de filer une autorisation à une personne tierce de confiance X jours après la demande d'accès de cette dernière (donc on a le temps de réagir "ben euh non je suis toujours vivant").
Aucune idée de comment c'était géré en terme de sécurité, mais ça me semblait bien pratique.
Au passé ils ont passé la possibilité en payant et je ne paye pas.
Si quelqu'un a un truc du genre ailleurs, gratuit ou du moins pas hors de prix… En libre serait encore mieux, mais là on peut rêver…
Pareil que Lastpass, pas dispo en accès gratuit avec le serveur officiel, mais reste intéressant… Ce qui me bloquait avec Bitwarden était une non intégration dans le navigateur (pas de remplissage auto) ce qui le rendait assez peu utile (car chiant à utiliser) mais de ce que je comprend en lecture rapide d'avis c'est qu'il y a maintenant une option pour le remplissage auto, je vais aller tester de ce pas…
C'est implémenté dans Vaultwarden.
Si ça reste $10/an, si le produit fait le taf je crois que je vais éviter de m'emmerder et payer ça :-p.
L'idée est intéressante et l'objectif important mais quid du changement du mot de passe ? Il est recommandé de périodiquement changer ses mots de passe donc comment maintenir son testament à jour ? On pourrait imaginer un fichier keypass synchronisé avec l'utilisateur mais dans ce cas, on obtient un fichier ultra sensible puisque obtenir l'accès au fichier pourrait permettre d'accéder à l'ensemble des mots de passe de l'utilisateur. La grosse différence avec la personne qui sauvegarde un fichier keypass dans son coin, c'est que là, de nombreux fichiers seraient sauvegardés ensemble et cette centralisation rendrait le piratage bien plus intéressant/motivant.
Comme à peu près tous les accès peuvent être récupéré depuis un compte mail (c'est le SSO universel, même si les marchands de "confiance" essayent de l'abattre avec des identités numériques privatrices et fermées), le plus simple est de s'occuper en top priorité du transfert de la propriété de son compte principal.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Il est recommandé de périodiquement changer ses mots de passe
Non cela affaiblit ses mots de passes; il est recommandé d'en choisir de long mot de passe et de ne les changer que si on a une suspicion de compromission (où s'il a été compromis). D'où l’importance des acteurs d'annoncer les fuites lorsqu'ils se font pirater.
Posté par nico4nicolas .
Évalué à 4 (+2/-0).
Dernière modification le 25 novembre 2024 à 15:17.
Oui et non, c'est vrai que ce n'est pas si simple. Le guide l'ANSSI explique cela au §4.4. Extraits choisis :
Fixer un délai d’expiration sur des moyens d’authentification est une bonne mesure en général mais s’avère souvent contre-productif dans le cas des mots de passe.
Ce choix va aussi dépendre de la sensibilité du compte concerné. Une distinction peut être faite entre les comptes dits à privilèges qui sont très sensibles (c’est-à-dire les comptes disposant de droits élevés sur le système d’information comme un compte administrateur) et les comptes sans privilège particulier qui sont peu sensibles (comme les comptes utilisateur).
De nombreux moyens permettent de s’assurer que les utilisateurs choisissent des mots de passe robustes (contrôle de leur robustesse à la création, utilisation de coffre-fort de mots de passe, etc.) qui, lorsqu’ils sont mis en œuvre, ne justifient plus le besoin d’imposer un délai d’expiration.
Lorsque l’authentification choisie pour les comptes à privilèges est une authentification simple par mot de passe, imposer un délai d’expiration sur les mots de passe de ces comptes à privilèges est une bonne mesure.
En fait, ce n'est pas le bon paragraphe, il faut regarder le §4.8 :
Le moyen d’authentification permettant de déverrouiller l’accès aux mots de passe contenus dans le coffre-fort a évidemment une importance majeure. Il prend souvent la forme d’un mot de passe, dit mot de passe « maître », qui doit être robuste et mémorisé par un humain. Ce mot de passe est très critique et sa compromission entraînerait la compromission de tous les mots de passe contenus dans le coffre-fort. De nombreuses solutions de coffres-forts de mots de passe proposent également l’ajout d’un second facteur d’authentification afin de mieux protéger l’accès au coffre-fort de mots de passe.
Donc oui, il semblerait que changer le mot de passe d'un coffre-fort de mots de passe ne soit pas la meilleure solution mais qu'une authentification à double facteur soit à privilégier.
Merci l'ANSSI pour ce guide et merci fearan pour la correction !
Je me suis toujours gardé dans un coin de ma tête la méthode de Shamir pour partager un secret.
Il y a aussi le programme SSSS qui le met en oeuvre.
L'idée est de partagé un secret en plusieurs morceaux chiffrés sans que tous les morceaux soient nécessaires pour retrouver le secret.
Par exemple, tu fais un fichier contenant tous tes mots de passes. Tu le passes dans SSSS en disant que tu veux 5 morceaux et que 3 morceaux sont suffisant pour reconstituer le ficher original. Ensuite tu distribues à 5 personnes un morceau (qui est inutilisable et illisible tout seul). Il faut ensuite qu'au minimum 3 personnes s'associent pour reconstituer le fichier original (en repassant dans SSSS).
De mon coté, une dizaine de personnes ont compris la chose.
C'est comme sans téléphone : il faut an-ti-ci-per.
Il n'y a pas de méthode magique, ni de remède miracle : l'organisation est la clé.
C'est valable pour le décès, mais pas que :
-les longues maladies (plusieurs mois en hosto)
-la perte de mémoire, l'alzheimer
-la mise sous tutelle, etc
La solution est simple : transmettre à un tiers de confiance (conjoint, époux, famille), son code PIN de portable, d'ordinateur, et l'accès à ses emails.
Pourquoi?
Parce que pour l'avoir vu de très près plusieurs fois notamment en crise covid : une personne qui n'a rien préparé et disparait "du jour au lendemain" en surprenant l'entourage, et c'est un merdier monstre à gérer : tous les comptes en lignes doivent être réinitialisés par le service client au téléphone.
Surtout, ne pas résilier les abonnements mobiles : ils sont malheureusement considérés aujourd'hui comme la certitude d'identité de la personne.
Or, si le numéro est perdu, énormément de services publics ou administratifs ne pourront plus être accessibles simplement.
Le plus simple :
tel portable (PIN + numéro)
ordi personnel (mot de passe + emails)
.. doivent faire l'objet d'une transmission à un tiers (ou plusieurs), par ex sur le modèle d'une personne qui possède l'identifiant, et une autre le mdp, et le titulaire, le compte, sur une feuille papier chacun. Ça peut être plusieurs personnes de la famille (cousin, tante..) qui ne savent pas qui a quoi. Et comme de toute façon le titulaire sait qui possède quoi, toute problématique est vite identifiée. Et en cas de confiance, cela sauve un temps fou d'avoir accès à tout en une seule journée, là où chaque année des particuliers y passent des semaines, voire des mois.
Les trois feuilles représentées forment un socle très solide de simplification pratique pour gérer la succession et les commodités pratiques en cas de décès.
Si ce n'est pas prévu, c'est des heures de perdues avec chaque service/institution pour leur expliquer, et pour l'avoir vu deux fois lors de la crise, c'est à s'arracher les cheveux : personne ne souhaite ça.
Le plus simple => s'organiser et prévoir .. je connais de plus en plus de personnes dans ma famille qui font ça, à raison, notamment depuis l'affaire vincent lambert.
# Parfois j'y pense
Posté par David Demelier (site web personnel) . Évalué à 6 (+4/-0).
Bon, j'ai que 35 ans mais on ne sait pas de quoi l'avenir est fait. J'avoue me demander parfois comment on devrait gérer ma disparation pour mes proches. J'ai plusieurs serveurs, un nom de domaine et un site web à moi. Mais surtout il y a les abonnements (netflix, soundcloud et des patreons à quelques entités). Peu de personnes de mon entourage ou de ma famille connait ses existences mais aucun ne connait ni OpenBSD ni les services qui tournent sur mes serveurs. Que faudrait-il faire si je disparaissais du jour au lendemain et que tout devenait impayé et pas mis à jour ?
git is great because linus did it, mercurial is better because he didn't
[^] # Re: Parfois j'y pense
Posté par Benoît Sibaud (site web personnel) . Évalué à 5 (+2/-0).
Ce n'est pas que pour les proches, c'est aussi vrai pour chaque acteur d'un collectif : responsable d'association, d'organisation sur une forge logicielle, d'un compte chez un hébergeur d'infrastructure, bref pour chaque ressource collective gérée : qui co-gère, qui prendra le relai, toutes les infos sont-elles disponibles, notre bus factor est-il supérieur à un, etc.
C'est aussi vrai dans l'autre sens : quand c'est toi qui doit gérer les décès, être préparé (enfin autant que possible), gérer les fermetures de comptes sur les différents services, contacter les personnes qui étaient en contact avec la personne, etc.
[^] # Re: Parfois j'y pense
Posté par Zenitram (site web personnel) . Évalué à 2 (+0/-0).
(avertissement : pas libre)
Perso je ne suis pas fan des mots de passe dans un écrit, car un écrit se vole (et coûte si mis chez un notaire… qui peut en plus lire votre mot de passe), et j'avais opté pour Last Pass Emergency Access, qui permettait de filer une autorisation à une personne tierce de confiance X jours après la demande d'accès de cette dernière (donc on a le temps de réagir "ben euh non je suis toujours vivant").
Aucune idée de comment c'était géré en terme de sécurité, mais ça me semblait bien pratique.
Au passé ils ont passé la possibilité en payant et je ne paye pas.
Si quelqu'un a un truc du genre ailleurs, gratuit ou du moins pas hors de prix… En libre serait encore mieux, mais là on peut rêver…
[^] # Re: Parfois j'y pense
Posté par devnewton 🍺 (site web personnel) . Évalué à 8 (+5/-0). Dernière modification le 25 novembre 2024 à 13:57.
Si tu es joueur, tu peux laisser des indices et énigmes chez toi et tes héritiers qui permettent de retrouver des éléments d'un secret réparti.
Une chasse au trésor, ça égaye un enterrement !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Parfois j'y pense
Posté par Glandos . Évalué à 4 (+2/-0).
Bitwarden fait ça avec les accès d'urgence : https://bitwarden.com/help/emergency-access/
C'est implémenté dans Vaultwarden.
[^] # Re: Parfois j'y pense
Posté par Zenitram (site web personnel) . Évalué à 1 (+0/-1).
Pareil que Lastpass, pas dispo en accès gratuit avec le serveur officiel, mais reste intéressant… Ce qui me bloquait avec Bitwarden était une non intégration dans le navigateur (pas de remplissage auto) ce qui le rendait assez peu utile (car chiant à utiliser) mais de ce que je comprend en lecture rapide d'avis c'est qu'il y a maintenant une option pour le remplissage auto, je vais aller tester de ce pas…
Si ça reste $10/an, si le produit fait le taf je crois que je vais éviter de m'emmerder et payer ça :-p.
[^] # Re: Parfois j'y pense
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 3 (+0/-0).
Il y a des réponses dans les commentaires de ce journal.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
# Bonne mauvaise idée ?
Posté par nico4nicolas . Évalué à 5 (+3/-0).
L'idée est intéressante et l'objectif important mais quid du changement du mot de passe ? Il est recommandé de périodiquement changer ses mots de passe donc comment maintenir son testament à jour ? On pourrait imaginer un fichier keypass synchronisé avec l'utilisateur mais dans ce cas, on obtient un fichier ultra sensible puisque obtenir l'accès au fichier pourrait permettre d'accéder à l'ensemble des mots de passe de l'utilisateur. La grosse différence avec la personne qui sauvegarde un fichier keypass dans son coin, c'est que là, de nombreux fichiers seraient sauvegardés ensemble et cette centralisation rendrait le piratage bien plus intéressant/motivant.
[^] # Re: Bonne mauvaise idée ?
Posté par devnewton 🍺 (site web personnel) . Évalué à 4 (+1/-0). Dernière modification le 25 novembre 2024 à 11:29.
Comme à peu près tous les accès peuvent être récupéré depuis un compte mail (c'est le SSO universel, même si les marchands de "confiance" essayent de l'abattre avec des identités numériques privatrices et fermées), le plus simple est de s'occuper en top priorité du transfert de la propriété de son compte principal.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Bonne mauvaise idée ?
Posté par fearan . Évalué à 8 (+5/-0).
Non cela affaiblit ses mots de passes; il est recommandé d'en choisir de long mot de passe et de ne les changer que si on a une suspicion de compromission (où s'il a été compromis). D'où l’importance des acteurs d'annoncer les fuites lorsqu'ils se font pirater.
https://www.extern-it.fr/anssi-nouvelles-recommandations-relatives-aux-mots-de-passes/
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Bonne mauvaise idée ?
Posté par nico4nicolas . Évalué à 4 (+2/-0). Dernière modification le 25 novembre 2024 à 15:17.
Oui et non, c'est vrai que ce n'est pas si simple. Le guide l'ANSSI explique cela au §4.4. Extraits choisis :
En fait, ce n'est pas le bon paragraphe, il faut regarder le §4.8 :
Donc oui, il semblerait que changer le mot de passe d'un coffre-fort de mots de passe ne soit pas la meilleure solution mais qu'une authentification à double facteur soit à privilégier.
Merci l'ANSSI pour ce guide et merci fearan pour la correction !
# Et via une clef matérielle ?
Posté par lejocelyn (site web personnel) . Évalué à 2 (+0/-0).
De mon côté, je pensais mettre en place une clef matérielle pour gérer l'accès à la résiliation de mes comptes et mes données de recherche.
Si vous avez des conseils, je suis preneur.
# Shamir
Posté par Axone . Évalué à 7 (+5/-0).
Je me suis toujours gardé dans un coin de ma tête la méthode de Shamir pour partager un secret.
Il y a aussi le programme SSSS qui le met en oeuvre.
L'idée est de partagé un secret en plusieurs morceaux chiffrés sans que tous les morceaux soient nécessaires pour retrouver le secret.
Par exemple, tu fais un fichier contenant tous tes mots de passes. Tu le passes dans SSSS en disant que tu veux 5 morceaux et que 3 morceaux sont suffisant pour reconstituer le ficher original. Ensuite tu distribues à 5 personnes un morceau (qui est inutilisable et illisible tout seul). Il faut ensuite qu'au minimum 3 personnes s'associent pour reconstituer le fichier original (en repassant dans SSSS).
# Facile
Posté par woffer 🐧 . Évalué à 4 (+4/-1).
Certains mettent leur date de naissance dans leur mot de passe. Moi, comme je suis plus malin, je mets ma date de décès !
[^] # Re: Facile
Posté par cg . Évalué à 2 (+1/-1).
Ben ouais mais si tu meurs avant ta mort, ben faut changer le mot de passe, et l'ANSSI dit que c'est tellement 1995 !
# Un mot d'ordre absolu : prévoir, anticiper.
Posté par tkr . Évalué à 3 (+2/-0).
De mon coté, une dizaine de personnes ont compris la chose.
C'est comme sans téléphone : il faut an-ti-ci-per.
Il n'y a pas de méthode magique, ni de remède miracle : l'organisation est la clé.
C'est valable pour le décès, mais pas que :
-les longues maladies (plusieurs mois en hosto)
-la perte de mémoire, l'alzheimer
-la mise sous tutelle, etc
La solution est simple : transmettre à un tiers de confiance (conjoint, époux, famille), son code PIN de portable, d'ordinateur, et l'accès à ses emails.
Pourquoi?
Parce que pour l'avoir vu de très près plusieurs fois notamment en crise covid : une personne qui n'a rien préparé et disparait "du jour au lendemain" en surprenant l'entourage, et c'est un merdier monstre à gérer : tous les comptes en lignes doivent être réinitialisés par le service client au téléphone.
Surtout, ne pas résilier les abonnements mobiles : ils sont malheureusement considérés aujourd'hui comme la certitude d'identité de la personne.
Or, si le numéro est perdu, énormément de services publics ou administratifs ne pourront plus être accessibles simplement.
Le plus simple :
tel portable (PIN + numéro)
ordi personnel (mot de passe + emails)
.. doivent faire l'objet d'une transmission à un tiers (ou plusieurs), par ex sur le modèle d'une personne qui possède l'identifiant, et une autre le mdp, et le titulaire, le compte, sur une feuille papier chacun. Ça peut être plusieurs personnes de la famille (cousin, tante..) qui ne savent pas qui a quoi. Et comme de toute façon le titulaire sait qui possède quoi, toute problématique est vite identifiée. Et en cas de confiance, cela sauve un temps fou d'avoir accès à tout en une seule journée, là où chaque année des particuliers y passent des semaines, voire des mois.
Les trois feuilles représentées forment un socle très solide de simplification pratique pour gérer la succession et les commodités pratiques en cas de décès.
Si ce n'est pas prévu, c'est des heures de perdues avec chaque service/institution pour leur expliquer, et pour l'avoir vu deux fois lors de la crise, c'est à s'arracher les cheveux : personne ne souhaite ça.
Le plus simple => s'organiser et prévoir .. je connais de plus en plus de personnes dans ma famille qui font ça, à raison, notamment depuis l'affaire vincent lambert.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.