Cher Nal,
Je faisais remarquer à une amie il y a peu que le mot de passe qu'elle utilisait était trop faible. Ce à quoi elle m'a répondu par un
Est-ce que tu peux proposer un système qui sera facile à
retenir pour chacun ?
Ce à quoi j'ai répondu qu'il n'y a pas de solution « facile à retenir pour chacun ».
Toutefois, les solutions les plus solides reposent heureusement sur assez peu de mémoire. Donc, en cette période de résolution, voici mes recommandations pour les utilisateur⋅ice⋅s auprès desquels je n'oserais pas mettre un pass ou un keepass, voire pire (X509…), de peur de trop les décontenancer :
Un mot de passe différent partout. Car au final tu ne sais jamais à qui tu le donne ni où il va finir. Il ne faut pas que tu donnes à boulebill.com l'accès à ton compte email ou ton compte en banque, surtout que boulebill va révéler dans 3 mois que toutes ses données ont été dérobées.
Un mot de passe compliqué partout. Généré automatiquement. Firefox propose désormais la génération des mots de passe, il faut utiliser ça.
Des mots de passes sauvegardés. Comme ça on n'a plus à s'en souvenir. Pour les sécuriser, il faut un « mot de passe maître ». Celui là on le choisi fort et mémorisable et c'est le seul qu'on retient. Par exemple le mot de passe «
turlututu: ChapeauPointu !» est plus fort et plus mémorisable que le mot de passe «53CR3T», et beaucoup plus fort que «maga2020».Il faut mettre un mot de passe maître à Firefox (c'est non négociable), et à Thunderbird.
Tenir un cahier papier avec des mots de passe n'est pas une si mauvaise pratique : il faut mieux faire ça que mettre un mot de passe simple partout.
Tenir un fichier avec des mots de passes dedans est une très mauvaise pratique. À Éviter à tout prix. (Sauf si c'est un logiciel recommandé par quelqu'un de recommandable.)
Dans ton nouveau Nextcloud tu peux avoir aussi un gestionnaire de mots de passe.
Alors voilà, je partage avec toi mes maigres conclusions en espérant que ça peut aider d'autres à améliorer leur politique de mots de passe.
PS: la discussion initiale pour sur le mail avec thunderpoulet ; je n'ai pas mentionné de 2FA dans ce contexte.
# Une de plus pour la route
Posté par gUI (Mastodon) . Évalué à 10.
Bien d'accord avec ces recommandations, et j'ajouterais :
En effet, son email c'est la vie, et c'est souvent le moyen de récupérer l'ensemble des autres mot de passe, donc il a presque un rôle de "master password". Si un site à la con qui ne chiffre pas ses mots de passe se fait sérieusement attaquer, les attaquants retrouveront une liste de couples email/mot-de-passe et la première chose qu'ils vont tenter, c'est de se connecter à l'email avec ce mot de passe.
Une remarque également : je n'hésite pas non plus à noter certains mots de passe par écrit (ceux que je n'ai pas décidé, comme au boulot par exemple), mais d'une part j'évite de les écrire littéralement (c'est plutôt des indices forts) et surtout je ne mets pas quel site/utilisation ça concerne.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Une de plus pour la route
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Pour l'email, on peut activer du 2fa (l'application configurée avec un QRcode qui génère des code temporaire), c'est encore plus fort. C'est simple et plus sécurisé qu'un SMS. Et une application standard et open-source existe.
Je dirais qu'il y a un mot de passe encore plus unique, mais qui a moins besoin d'être très fort : celui de ses machines locales.
"La première sécurité est la liberté"
[^] # Re: Une de plus pour la route
Posté par claudex . Évalué à 8.
Il faut juste être vraiment sûr d'avoir un moyen de contourner le 2FA en cas de problème (par exemple, smartphone hs), avec, par exemple, une liste de code à usage unique valable indéfiniment.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
# routine de mot de passe
Posté par fate . Évalué à 9. Dernière modification le 05 janvier 2021 à 22:23.
Ca fait quelques années maintenant que j'utilise une routine de mot de passe. J'ai deux mot de passe principaux de 9 à 11 caractères (selon les variations) que je couple à d'autres lettres tirées du service/site sur lequel il est utilisé, toujours selon la même routine.
Je me rappelle en général lequel des 2 mot de passe principaux j'ai utilisé sur quel site/service, il n'y a que sur la variation que je me plante de temps en temps mais comme je n'ai que 3 variations, j'ai vite fait le tour.
Et sur les sites où j'ai besoin de m'inscrire juste pour avoir une info (ce qui me gave au plus haut point) et non critique (pas d'achat, pas d'accès à des info perso, etc), je met un mot de passe bidon. Si jamais il se fait pirater, j'en ai rien à taper.
Et dés que le site/service le propose, j'active la double authentification.
[^] # Re: routine de mot de passe
Posté par Matthieu . Évalué à 4.
Idem. J'utilise une formule pour construire mes mots de passe. J'ai un mot de passe racine et je le complète avec des formules liées au service/site.
Exemples :
- A = longueur du nom du service/site
- B = ne garder que les consonnes/voyelles
- C = nombre de consonnes / nombre de voyelles
- D = 1ère en majuscule + 3eme en minuscule + 5eme en majuscule…
- E = …
Une formule complète peut être :
AC#mot_de_passe_racine;D
Pour LinuxFR, ça pourrait donner : 75#p4ssw@rD;LnX
Voilà, il n'y a plus qu'à se souvenir du mot de passe racine et de la formule.
A vous de proposer des formules :-)
[^] # Re: routine de mot de passe
Posté par Paul POULAIN (site web personnel) . Évalué à 1.
presque idem : j'utilise une première partie fixe, suivie d'un tiret, puis les 3 premières lettres du site visité.
Exemple : partie fixe = L1nuxRocks!
sur linuxfr.org ça donnera = L1nuxRocks!-lin
sur orange.fr = L1nuxRocks!-ora
sur les sites microsoft = L1nuxRocks!-mic
la présence d'un caractère spécial (! dans l'exemple) permet de passer la plupart des contrôles "au moins 8 caractères, maj/min mélangées, avec 1 caractère spécial et 1 chiffre"
[^] # Re: routine de mot de passe
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 10.
Merci à vous deux. Ça va me faciliter grandement le crackage de vos mots de passe, maintenant que j'ai des contraintes pour réduire l'espace à parcourir.
[^] # Re: routine de mot de passe
Posté par Matthieu . Évalué à 1.
Tu vas devoir commencer par trouver la racine du mot de passe pour ensuite t'attaquer aux extensions ajoutées.
Tu seras aidé si tu crackes un de mes mots de passe.
Mais c'est du boulot supplémentaire pour toi. Si le jeu en vaut la chandelle, et que je suis ta cible, pourquoi pas. Mais si tu testes 500k mot de passe volés sur un site sur d'autres sites, le contexte n'est plus le même.
# résolution
Posté par zurvan . Évalué à 5. Dernière modification le 06 janvier 2021 à 00:16.
ma résolution pour 2020 ça a été de généraliser l'utiliser de Keepass pour mon propre usage.
Franchement, c'est un logiciel simple à utiliser (sauf son intégration avec le navigateur, je n'ai pas réussi à le faire fonctionner systématiquement), et je le préconise même pour les débutants :
Les sauvegardes avec mot de passe maître dans le navigateur c'est bien, mais quid si le profil utilisateur disparaît ? Il faudra réinitialiser (lorsque c'est possible), le mot de passe, ce n'est pas très pratique. Et les sauvegardes en tant que service (firefox ou chrome), je n'ai pas hyper confiance non plus.
Aussi je conseille de créer initialement une entrée dans keepass + d'utiliser un mot de passe maître dans firefox (je n'ai pas vu l'équivalent chez chrome, apparement c'est sauvegarde dans le profil google ou rien), pour éviter de copier / coller depuis keepass.
Et évidemment de faire des sauvegardes régulières de la base keepass…
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Profil utilisateur qui disparaît.
Posté par Stinouff . Évalué à 7.
J'ai eu le cas…D'un coup, sans rien faire de particulier…Mon profil Firefox avait oublié tous mes mots de passe (en revanche, mon historique était clean).
Je n'ai jamais trop fouillé parce que j'avais une sauvegarde du profil de moins d'une semaine, mais quand même, je me suis senti un peu con…
[^] # Re: résolution
Posté par Pol' uX (site web personnel) . Évalué à 2.
La même chose que si ton fichier keepass disparaît. Donc :
Adhérer à l'April, ça vous tente ?
[^] # Re: résolution
Posté par zurvan . Évalué à 3.
avec la différence qu'il est bien plus simple de sauvegarder un fichier keepass qu'un profil firefox (contenant tout un tas de choses superfétatoires vis à vis de notre besoin de garder des mots de passe)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: résolution
Posté par ckiller . Évalué à 0. Dernière modification le 06 janvier 2021 à 10:32.
C'est un vrai problème, qui rebutent direct les
neuneuxutilisat[euric]{3}e*s*# Il y a un XKCD pour ça
Posté par Obsidian . Évalué à 4.
Pour une fois, je suis surpris que XKCD n'ait pas immédiatement refait surface.
Comme indiqué au pied de l'image : « En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains mais faciles à devenir par les ordinateurs ». La généralisation des passphrases serait peut-être le premier conseil à donner avant d'essayer de trouver des solutions plus techniques.
Un carnet de mot de passe papier « moins mauvaise » pratique qu'un fichier ? La seule raison que je peux trouver à cela est une intrusion à distance dans la machine concernée, sinon c'est idiot : c'est généralement là qu'on va y mettre le mot de passe qui permet justement d'ouvrir une session sur son poste. En plus, ça peut se faire « emprunter » ou perdre par accident, même si l'ordinateur est éteint.
Voilà, c'est en substance ce qui est décrit au dessus et il n'y a pas de raison d'utiliser d'autres formats… sauf si on nous les impose !
Ça par contre, selon moi, c'est vraiment la « fausse bonne idée » par excellence. Quand on a un gestionnaire de mot de passe, c'est bien mais ça nous oblige à le trimballer et/ou le synchroniser partout et se souvenir où il y en a des copies. Sinon, on ne peut plus se loguer ailleurs que depuis le poste concerné et à ce compte-là, autant utiliser des certificats SSL (si c'est possible). Par contre, des mots de passe « trop » compliqués partout, c'est des coups à les oublier et à se les faire renvoyer par mail, ce qui pour le coup fait vraiment chuter la sécurité à un niveau très faible (même si c'est un simple lien de réinitialisation).
Ensuite, trop de sécurité tue la sécurité : faire changer son mot de passe à une personne tous les mois, par exemple, c'est prendre le risque qu'elle utilise « toto1, toto2, toto3, toto4… » en incrémentant chaque mois. Et en dehors de ça, la sécurité a un coût. Il vaut mieux avoir des choses officiellement publiques quand elles peuvent l'être et ne garder un œil que sur ce qui est réellement important plutôt qu'essayer de tout fortifier, au risque de ne plus rien avoir de fiable.
Personnellement, je me suis construit une petite image disque à coup de
dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement aveccryptsetup(LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.Un truc qui serait sympa (si ça n'existe pas déjà) serait de publier une RFC qui définisse une norme réseau qui indique une manière simple de générer un hash d'une chaîne à partir du contenu d'un champ et du nom de domaine du serveur ou du site auquel on est connecté, ainsi qu'un attribut à rajouter à la balise HTML du champ pour indiquer que l'on souhaite prendre en charge ce format (qui pourrait même être automatiquement activé pour les champs de type="password"). Comme ça, le hash serait forcément différent d'un site à l'autre.
Du coup, c'est le navigateur client qui prendrait cette tâche à sa charge, et plus le bon vouloir du site distant : le navigateur afficherait une icône discrète à côté du champ pour indiquer que la fonctionnalité est active, et enverrait directement le hash calculé plutôt que le mot de passe en clair.
Ce ne serait toujours pas une raison pour utiliser un même mot de passe partout car si quelqu'un le devine, la fonctionnalité ci-dessus deviendrait inutile, mais ça limiterait déjà beaucoup ce type d'attaque sans que l'utilisateur ait à faire le moindre effort.
[^] # Re: Il y a un XKCD pour ça
Posté par gUI (Mastodon) . Évalué à 5.
Merci d'avoir corrigé ça immédiatement :)
Sinon je suis tombé récemment sur ce sketch (in English, mais avec les sous-titres ça aide) : https://www.youtube.com/watch?v=aHaBH4LqGsI qui est devenu une autre de mes références sur le sujet.
Je suis de cet avis. Par exemple, admettons que tu viennes chez moi (déjà c'est quand même peu probable), tu vas voir à côté de mon ordi un post-it avec écrit dessus "hMEpdyEA". Tu en fais quoi ?
Comme j'ai dit dans un commentaire précédent, ce n'est pas littéralement un mot de passe utilisable tel quel (et la modification est vraiment mineure), et je n'ai pas écris juste à côté de quel mot de passe il s'agit. Bref, l'écrire n'est pas non plus une connerie sans nom, à condition d'avoir un minimum de précautions.
Et le post-it a en effet cet avantage sur le fichier de demander une présence physique pour y accéder (un petit côté 2FA : something you know -les modifications et l'utilisation- et somewhere you are -chez moi-).
Oh oui ! Exemple vrai : j'ai bossé chez Renault, le mot de passe de session est sur 8 caractères (obligé, pas 7, pas 9). Et il change tous les 3 mois. J'ai fait un sondage autour de moi, tout le monde utilise 6 caractères plus un incrément sur 2 caractères. Le secret est donc de 6 caractères seulement. À pleurer.
J'ai vu passer un article sur Internet évoquant une nouvelle politique de quelques IT apparemment un poil plus malins que les autres : demander à créer un seul mot de passe, gros, avec quelques contraintes (apparemment il faut compter 15mn avant d'arriver à en générer un qui satisfasse les contraintes) et ensuite promis juré on te demandera plus d'en changer. Faudrait que je le retrouve (il a peut-être été cité ici, si qqu'un voit de quoi je parle…)
Ouais dans l'idée il y a des trucs cool à faire. Par exemple Firefox qui génère des mots de passe (je l'utilise pour des sites anodins) devrait avoir un moyen de récupérer les contraintes du site pour générer un mot de passe qui soit accepté.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Il y a un XKCD pour ça
Posté par Nicolas Boulay (site web personnel) . Évalué à 3.
J'ai vu ça une fois : il demandait un mot de passe de 18 caractères. C'est moins évident que cela ne parait.
"La première sécurité est la liberté"
[^] # Re: Il y a un XKCD pour ça
Posté par Mikis . Évalué à 5.
J'ai un truc dans le genre au boulot, avec changement tous les 3 mois. Ben quand c'est trop contraignant, ça se termine avec un post-it collé à l'écran + un fichier excel pour trouver les mots de passe (c'est chiant à compter les caractères) et gérer la rotation.
[^] # Re: Il y a un XKCD pour ça
Posté par fate . Évalué à 6.
J'ai la même chose au boulot, je dois changer de mot de passe tous les 3 mois également mais j'ai trouvé la parade. Il ne garde l'historique que des 4 derniers mot de passe, que l'on ne peut réutiliser en tant que nouveau mot de passe. Tous les 3 mois, je change donc 4 fois de mot de passe (en mettant des mots de passes à la con) puis je remet le mot de passe d'origine, qui est assez robuste.
C'est un peu chiant mais moins que de devoir trouver un mot de passe robuste tous les 3 mois et, surtout, m'en rappeler.
[^] # Re: Il y a un XKCD pour ça
Posté par Pol' uX (site web personnel) . Évalué à 2. Dernière modification le 06 janvier 2021 à 10:10.
Ça fonctionne au sein d'une organisation, mais tu ne peux pas donner ce mot de passe à boulebill.com, et il faut être conscient de pourquoi tu ne peux pas. Et donc ça ne se généralise pas.
Adhérer à l'April, ça vous tente ?
[^] # Re: Il y a un XKCD pour ça
Posté par Pol' uX (site web personnel) . Évalué à 3.
Parce qu'un fichier sur un OS vérolé ça ne peut pas se perdre ou se faire emprunter ?
lol.
Ça c'est une vrai mauvaise idée par excellence. On est d'accord.
Adhérer à l'April, ça vous tente ?
[^] # Re: Il y a un XKCD pour ça
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 2.
Ce que tu décris, ce n'est que réinventer ce que propose KeePassXC, mais en moins portable. Tu ne pourras pas monter ton image disque sous Windows, ou alors il faudra installer
ddetcryptsetup, c'est-à-dire probablement installer toute une distribution Linux avec WSL, en supposant que tu sois sur un Windows qui soit à la fois assez récent pour ça et avec un compte d'utilisateur qui a les permissions suffisantes pour. Pas sûr non plus que ça fonctionne sur macOS sans rien installer (on peut monter une image disque ça c'est sûr, mais je ne sais pas si on peut déchiffrer des volumes LUKS). Donc si la portabilité est importante, c'est pas gagné.Un avantage de l'image disque chiffrée, c'est que tu peux stocker n'importe quel fichier (donc aussi des données non structurées) dedans, mais c'est bien le seul avantage. On peut aussi stocker des fichiers arbitraires dans une base KeePass, c'est juste un peu pénible car la seule façon de le faire c'est d'attacher les fichiers comme pièces jointes d'une entrée de la base de données (donc plus compliqué que juste copier un fichier dans une image disque montée).
J'utilise un fichier KeePass, et pour les rares fois où j'ai besoin des infos qui sont dedans alors que je n'ai pas mon ordinateur personnel avec moi, j'ai le fichier et les versions portables de l'application KeePassXC sur une clé USB attachée à mon porte-clé (donc je l'ai toujours quand je pars de chez moi). La version Windows portable fonctionne sur n'importe quelle version depuis au moins Windows 7 (je ne serais pas étonné qu'elle fonctionne même sur des versions plus anciennes). Si je voulais en plus de ça du stockage de fichiers facile et chiffré, il me reste assez de place sur la clé pour stocker dessus une image disque chiffrée à côté, car le fichier KeePass et les applis portables KeePassXC ne pèsent quasiment rien.
[^] # Re: Il y a un XKCD pour ça
Posté par zurvan . Évalué à 2.
on peut également ouvrir un fichier keepass depuis un compte nextcloud (via un module keeweb), c'est très pratique, on peut également modifier la base par synchro webdav (fonctionne depuis n'importe quel navigateur, y compris mobile)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Il y a un XKCD pour ça
Posté par symp . Évalué à 1.
<EDIT: *grilled*>Pas sûr d'avoir compris la plus-value du conteneur chiffré, par rapport à un gestionnaire de mots de passe: ça ne change pas le besoin de synchroniser des copies, et c'est encore plus solidement ancré à la machine, qui doit être sous *nix, et dont il faut en plus être administrateur (
cryptsetup), et pour citer le journal, « les utilisateur·ice·s auprès desquels [on n'oserait] pas mettre unpassou unkeepass» ont bien peu de chances de se laisser convaincre.</EDIT: *grilled*>Le truc qui va bien pour moi (mais qui ne saurait convaincre que celles et ceux qui n'ont pas besoin de conseils):
pass, synchronisé (git) sur plusieurs machines et supports chiffrés et, en cas de besoin, aussi sur un système live pour démarrer sur une machine exotique.[^] # Re: Il y a un XKCD pour ça
Posté par gouttegd (site web personnel) . Évalué à 3.
On peut faire quelque chose de similaire sans utiliser cryptsetup et sans avoir besoin des droits administrateurs.
Perso j’utilise une image disque
C’est portable (FAT32 est universellement supporté, des implémentations d’OpenPGP sont disponibles sur toutes les plate-formes courantes et même des moins courantes) et sous GNU/Linux monter un volume avec udisksctl ne nécessite pas de droits administrateurs. Après j’avoue que je ne sais pas comment on fait pour « monter » une image disque sous Windows ou Mac OS X, je n’ai jamais eu besoin d’essayer.
[^] # Re: Il y a un XKCD pour ça
Posté par Anonyme . Évalué à 3.
Et comme un XKCD sans la source ni le « title text » c’est pas vraiment un XKCD, il s’agit du XKCD 936
[^] # Re: Il y a un XKCD pour ça
Posté par Psychofox (Mastodon) . Évalué à 2.
Bof, quand on utilises un password manager ce qui compte c'est le nombre de caractères, pas le fait que ce soit une passphrase ou un truc inintelligible. Des passphrases, si tu en as une pour chaque site/app, tu ne vas de toute façon pas t'en rappeler.
Alors moi j'utilise une passphrase justement pour débloquer mon password manager, tout le reste c'est du random avec beaucoup de caractères, plus de 20 quand c'est supporté par les sites/applis en question.
[^] # Re: Il y a un XKCD pour ça
Posté par Obsidian . Évalué à 1.
Ben là, en l'occurrence, c'est la philosophie inverse : dans l'exemple d'XKCD, en quatre mots courants, tu atteins 26 caractères. C'est nettement moins difficile qu'un mot de passe à 10 caractères arbitraires.
C'est le principe de la passphrase : ça doit avant tout être une phrase. Dans le sens où il vaut mieux un phrase qu'un mot, certes, mais également dans le fait qu'elle est censée être construite. Pas simplement une trame inhabituellement longue.
[^] # Re: Il y a un XKCD pour ça
Posté par Psychofox (Mastodon) . Évalué à 3.
oui mais ce que je te dis c'est que tu ne vas de toute façon pas te rappeler 50 ou 100 phrases et les associer à chaque compte, à moins d'avoir une structure de phrase et/ou une origine devinable (comme un bouquin), mais dans ce cas-là il suffit que quelqu'un obtienne 2-3 passphrases pour possiblement comprendre le schéma logique.
Le fait qu'elle soit construite et que ce soit une phrase ne la rend pas plus sûre. XKCD montre juste que c'est plus facile de se rappeler 5 mots que 25 caractères au hasard, pas que le secret est plus sûr à nombre de caractères égal.
Mais cette facilité de s'en rappeler devient caduque dès lors que tu utilises un password manager, raison pour laquelle je n'en utilise une que pour les 3 uniques secrets dont je dois me rappeler: le master de mon password manager, mon email principal, mon compte AD dans ma boite.
[^] # Re: Il y a un XKCD pour ça
Posté par Marotte ⛧ . Évalué à 4. Dernière modification le 14 janvier 2021 à 18:34.
Tu peux te rappeler de titres de romans en sachant que ta passphrase c’est la n-ième phrase du x-ième chapitre. Avec la ponctuation tant qu’à faire.
Bon, ceci dit ça veut dire qu’on pourrait bruteforcer en testant toutes les phrases des milles bouquins les plus connus, je me rends pas compte du nombre de possibilité que ça fait. Ceci implique quand même d’être informé de l’utilisation de la méthode.
[^] # Re: Il y a un XKCD pour ça
Posté par Pol' uX (site web personnel) . Évalué à 3.
Traduit chez Gallimard ou chez Laffont ?
Adhérer à l'April, ça vous tente ?
[^] # Re: Il y a un XKCD pour ça
Posté par Marotte ⛧ . Évalué à 3.
Oui il faut faire attention à l’édition, pas prendre un truc exotique. Et on peut prendre des romans français.
# !
Posté par Meku (site web personnel) . Évalué à 10. Dernière modification le 06 janvier 2021 à 06:26.
Ah bah voilà ! Mon mot de passe maître est révélé sur le grand net alors que je ne l'ai jamais donné à personne !
colère >:<
[^] # Re: !
Posté par Tit . Évalué à 3.
il te reste plus qu'à le changer (pssst, un petit conseil entre nous, remplace le par tarlatata: ChapeauPointa !, et le tour est joué… dis-moi quand c'est fait)
[^] # Re: !
Posté par BAud (site web personnel) . Évalué à 3.
bah
enter passwordsi tu parles anglais, tu entres password ça paraît normal /o\[^] # Re: !
Posté par BAud (site web personnel) . Évalué à 2.
ou passw0rd!
bordel j'ai eu en réponse qu'il manque un caractère spécial
oui, je suis un hackerz :-)
# Mot de passe "super"-maître ?
Posté par Stinouff . Évalué à 2.
Salut,
Parfois, j'aimerais bien verrouiller ma session de Firefox complètement sans pour autant verrouiller le reste du PC.
Est-ce qu'il existe une solution pour ça ? Merci !
[^] # Re: Mot de passe "super"-maître ?
Posté par Mikis . Évalué à 2.
Raccourcis : Alt + F4
Assez universel en plus.
[^] # Re: Mot de passe "super"-maître ?
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 1.
Ça n'empêche personne de rouvrir le navigateur et consulter tout l'historique, si le compte utilisateur sur l'ordinateur n'est pas verrouillé…
[^] # Re: Mot de passe "super"-maître ?
Posté par Mikis . Évalué à 2.
En mettant un mot de passe maitre en plus ?
[^] # Re: Mot de passe "super"-maître ?
Posté par Jérôme FIX (site web personnel) . Évalué à 1.
Oui un compte utilisateur pour toi, un pour chacun de tes proches et un pour les autres (guest)
[^] # Re: Mot de passe "super"-maître ?
Posté par Stinouff . Évalué à 1.
Ok ! Merci, je vais m'y pencher.
# Je dirai même plus : changez votre courriel !
Posté par chimrod (site web personnel) . Évalué à 5.
Je ne parle pas de votre courriel utilisé pour échanger avec vos proches, mais du courriel que l'on renseigne lors de nos achats en ligne : pourquoi faudrait-il donner son adresse personnelle ? (En règle général) on n'utilise jamais cette adresse pour écrire, juste pour s'assurer que notre commande est bien arrivée, alors autant prendre une adresse qui nous servira un temps et que l'on finira par jeter une fois que sa date de péremption sera passée.
Je ne parle pas d'utiliser un séparateur magique de type '+' dans l'adresse, mais bien de se créer un alias, de type
2021${CARACTÈRES ALÉATOIRES}@hebergeuret de l'utiliser dans l'année. Si vous aimez les vieilleries, vous pourrez continuer de l'utiliser en 2022 et 2023 (après ça ne sert plus à rien, votre carte bleu aurait été renouvelée, autant effacer l'alias et se recréer un compte tout neuf).Si l'on commence à se retrouver avec du spam, il suffit de supprimer l'adresse concernée et s'en recrée une nouvelle, et cela permet surtout de jeter à la poubelle son historique (plutôt que d'aller se désinscrire des vieux services que l'on utilise plus, on supprime l'adresse et c'est fini).
En cadeau, voilà un peu de bash :
[^] # Re: Je dirai même plus : changez votre courriel !
Posté par Vlobulle . Évalué à 0.
Ben on utilise plus le mail pour des échanges personnels en 2021, mis à part à la marge. C'est uniquement pour les échanges pro, liés à des achats ou à l'administration. Seul l'alias serait utile en fait.
[^] # Re: Je dirai même plus : changez votre courriel !
Posté par vv222 (site web personnel) . Évalué à 2.
J'ai une approche similaire, avec un serveur mail à la maison basé sur postfix utilisant le
.comme séparateur de sous-adresse (à cause de ces formulaires utilisant des regex moisies qui se vautrent sur le+).Mes adresses pour m'inscrire à des services sont du style
accounts.${service}@{mon_domaine}, ce qui se lie ensuite très bien à l'utilisation de filtres sieve par exemple.Avant de savoir bidouiller avec des alias j'utilisais deux comptes e-mail dédiés : un pour causer avec les humains, l'autre pour les robots (inscriptions à des services, newsletters, etc.).
[^] # Re: Je dirai même plus : changez votre courriel !
Posté par Psychofox (Mastodon) . Évalué à 3.
Et surtout, ne pas oublier de renouveler son domaine. C'est très important et les rappels des registrars peuvent être oubliés au milieu du spam.
# ça dépend
Posté par fearan . Évalué à 5.
Désolé, y a des sites sur lesquels j'ai créé un compte juste pour pouvoir accéder au forum, souvent associé à une adresse yopmail; j'y vais toujours avec le même compte (vais pas recréer un compte à chaque fois) quant aux données personnelles qu'ils pourraient y piquer, je doute que ça les satisfasse "née le 1er janvier 1901 dans l'ain…" je ne vois pas pourquoi j'irai y mettre un vrai mot de passe pour protéger des données erronées.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: ça dépend
Posté par gUI (Mastodon) . Évalué à 2. Dernière modification le 06 janvier 2021 à 14:58.
Si c'est associé à une adresse jetable, c'est nickel, fais ce que tu veux, tout le monde est d'accord.
Le risque sur ces petits sites anodins c'est de mettre sa vraie adresse email, ainsi que le même mot de passe. Là c'est très très très risqué. À ne faire sous aucun prétexte.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Un fichier
Posté par saltimbanque (site web personnel) . Évalué à 4.
A propos du bon vieux fichier crado, je me suis toujours demandé si ce gros warning est autant justifié. J'imagine les intrusions concernant les particuliers comme un peu naïves : gros phishing grillé d'un côté, virus de l'autre - mais est-ce que vraiment des gens vont trouver un fichier planqué sur votre ordi? peut être des vieux scripts pourris pour scanner un password.txt à la rigueur. Appelez votre fichier "list des pornos" et qui ira le trouver?
PS - Recommander le papier, ce n'est pas vraiment pragmatique…
[^] # Re: Un fichier
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
c'était recommandé par un spécialiste de la sécurité en partant du principe que les gens sécurisent très bien leur porte feuille. Donc, l'idée, c'est plus un mini carnet dans un porte feuille.
"La première sécurité est la liberté"
[^] # Re: Un fichier
Posté par vv222 (site web personnel) . Évalué à 5.
Ça ne me paraît pas déconnant, si c'est rangé à côté de la carte bancaire par exemple il y a de bonnes chances que ce soit rarement laissé sans surveillance. Et en cas de vol, il y a des chances que ladite carte bancaire fasse suffisamment diversion pour que le carnet ne soit pas remarqué à côté ;P
[^] # Re: Un fichier
Posté par Pol' uX (site web personnel) . Évalué à 4.
Possible. Mais a plupart des personnes que je conseille travaille dans des organisations qui sont/seront potentiellement cibles d'attaques non naïves.
La plupart des personnes que je conseille préfèrent un carnet papier plutôt qu'envisager l'idée d'apprendre keepass.
Adhérer à l'April, ça vous tente ?
[^] # Re: Un fichier
Posté par saltimbanque (site web personnel) . Évalué à 2.
keepass - bien que géniallissime - doit maintenant être considéré comme trop difficile et pas pratique ; les trucs en ligne avec extension navigateur pour faire clic-clic ont considérablement simplifié et accéléré la saisie des identifiants
[^] # Re: Un fichier
Posté par octane . Évalué à 5.
tu ne sais jamais d'où vient l'intrusion. Ton cousin "bienveillant" qui utilise ton ordi. Ton ex-épouse, ton admin système qui fait une opération de maintenance. Une indexation malheureuse. Le fichier "password.txt" est à bannir.
Le document papier dans le portefeuille (ou dans un tiroir à la maison) ça me parait beaucoup plus safe, plus simple à utiliser et plus viable à long terme. Dans 3 ans, tu te souviendras que le mot de passe du site d'aquaponey qui te bombarde de spam était sur ton ancien ordi dans un fichier liste_des_prons.txt sur une partition que tu as effacé, ou bien tu ressors le petit carnet à spirale, tu te logge sur aquaponey.com et tu te désabonnes!
[^] # Re: Un fichier
Posté par saltimbanque (site web personnel) . Évalué à 3.
Le problème du papier c'est qu'il faut l'avoir constamment sur soi, le planquer, ne pas le perdre. Sa maintenance relèvera du cauchemar, et même l'usage! Imaginez un peu parcourir la feuille pour retrouver son compte leroy merlin d'il y a deux ans, et ensuite recopier a la mano #q209fqdmlqfgm!!//fmqg . Ou alors les gens mettrons systématiquement "toto" pour que ce soit simple à recopie -> donc contre productif.
[^] # Re: Un fichier
Posté par gouttegd (site web personnel) . Évalué à 3.
Ça dépend si on parle d’une attaque « aveugle », qui cherche juste à toucher le plus de monde possible, ou d’une attaque ciblée qui te vise toi en particulier.
Par exemple, on peut imaginer une attaque aveugle qui exploiterait une faille quelconque pour exfiltrer automatiquement (sans intervention manuelle de l’attaquant, le but est de faire ça sur des milliers voire des millions de machines) un petit nombre de fichiers bien précis à des emplacements connus d’avance (par exemple l’emplacement par défaut des fichiers de données des gestionnaires de mots de passe les plus connus). Face à une telle attaque, le simple fait de stocker ses mots de passe dans un endroit « non-standard » (même si c’est bien en vue à la racine du dossier personnel) sera suffisant.
Par contre, si quelqu’un veut s’en prendre à toi et pour ce faire réussit d’une manière ou d’une autre à pénétrer dans ta machine, tu peux bien planquer ton fichier de mots de passe au fin fond de ton disque dur, un attaquant motivé le trouvera.
C’est un peu comme changer le port par défaut d’un serveur SSH : ça suffit amplement à déjouer tous les scans naïfs qui sont juste à la recherche de machines vulnérables quelles qu’elles soient, mais ça n’arrêtera absolument pas un attaquant décidé à s’en prendre à ce serveur.
[^] # Re: Un fichier
Posté par fearan . Évalué à 2.
Le trouver oui, le reconnaître pas forcément, si tu as un recueil de poèmes perso ou un brouillon de mauvaise littérature qui traîne sur ton bureau il va pas forcément identifier que la dernier mot de la première ligne, le 2ème de la 2ème ligne le 3ème de la 3eme strophe… le tout écrit en l33t speak vont former ta passe phrase.
Il aura plus vite fait d'installer un keylogger dans tes drivers usb :P
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: Un fichier
Posté par saltimbanque (site web personnel) . Évalué à 2.
Question sérieuse, combien sont concernés par cela? J'imagine mal qu'il y a ait la main d'oeuvre pour vouloir s'en prendre à beaucoup d'entre nous d'une manière ciblée. Hormis avoir une fonction particulière dans son boulot ou un cas très particulier dans sa vie privée, je pense qu'on se doit de se défendre contre les attaques ciblant les masses : ne pas utiliser "toto" comme mot de passe, pas le même mot de passe partout, ce genre de choses. Je vais honnête j'utilise un gestionnaire de mot de passe par commodité plus qu'autre chose.
[^] # Re: Un fichier
Posté par claudex . Évalué à 6.
Le problème, c’est que c’est difficile de savoir si ça ne va pas t’arriver demain. Je ne pense pas que beaucoup de monde ait ce genre de problème à vie. Par contre, je pense que ça peut arriver à plus de monde de manière temporaire suite à des problèmes de couple, de famille, de boulot.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Un fichier
Posté par gouttegd (site web personnel) . Évalué à 7.
Juste ce qui me passe par la tête :
Quiconque a des droits de commit sur le dépôt d’un logiciel libre. Bonus si le logiciel en question est une petite brique obscure à laquelle personne ne pense mais qui est utilisée partout.
Quiconque émet une opinion politique sur un sujet qui excite et, partant, se met à dos les excités du camp d’en face. Je rappelle qu’on vit dans un monde où énoncer un fait établi par la littérature scientifique (genre « l’hydroxychloroquine ne fonctionne pas contre le coronavirus ») est considéré par certains comme un acte politique et peut suffire à attirer des menaces de mort à ton encontre, alors ça ne me paraît pas déraisonnable d’imaginer que ça puisse aussi attirer des tentatives de piratage.
Quiconque à un handle Twitter jugé « intéressant ». Je n’ai plus de lien sous la main, mais je me souviens vaguement de l’histoire d’un journaliste américain dont l’ordinateur et les comptes mails avaient été piratés juste parce que le pirate voulait mettre la main sur son handle Twitter à trois caractères.
[^] # Re: Un fichier
Posté par fearan . Évalué à 5.
Pas que le logiciel libre, voir logiciel tout court, un agent d'entretien peu ajouter un dongle usb ou remplacer clavier / souris dans les bureau open space; un presta qui débug un logiciel dans l'urgence peut se retrouver avec une base de donnée sensible complète sous la main, un autre réalisant un transfert d'une base de donnée vers une autre peut modifier/ajouter/supprimer des élément lors du changement de base,
Dans certaines boites, il est même prévu qu'un des employés soit approché pour quelques malversations, et ont une mini formation sur comment réagir…
Bref la cible n'est pas forcément soi, on est potentiellement juste un moyen.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# bitwarden
Posté par kna . Évalué à 5.
Pourquoi ne pas conseiller un gestionnaire de mots de passe dans le cloud, comme Bitwarden ?
[^] # Re: bitwarden
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 5.
Parce qu'il est dans le cloud, justement. Si encore on pouvait aussi l'utiliser uniquement avec un fichier de mots de passe local, ce serait certainement un des meilleurs gestionnaires de mots de passe. Mais comme ce n'est pas possible, je préfère personnellement utiliser KeePassXC (qui a la limitation contraire : il ne travaille qu'avec un fichier local, il faut se débrouiller si on veut synchroniser ce fichier entre plusieurs ordinateurs).
[^] # Re: bitwarden
Posté par kna . Évalué à 3.
J'utilise aussi keepassxc, mais pour des utilisateurs non technophiles, bitwarden a l'avantage de gérer aussi la synchro.
Du coup, si je dois conseiller quelqu'un, je lui demande s'il a un compte nextcloud (ou autre solution de synchronisation de fichiers). Si oui, keepassxc, sinon bitwarden.
[^] # Re: bitwarden
Posté par Pol' uX (site web personnel) . Évalué à 3.
Pourquoi ne pas lire le texte ? :)
Adhérer à l'April, ça vous tente ?
[^] # Re: bitwarden
Posté par Grégory Paul (site web personnel) . Évalué à 2.
Après avoir développé un outil pour « hasher » un mot de passe depuis l’URL du site et un mot de passe maître (UniquePasswordBuilder), je suis passé à un bitwarden auto-hébergé via https://github.com/dani-garcia/bitwarden_rs pour éviter les limitations de mon outil (notamment le fait de ne pas pouvoir facilement changer un mot de passe « leaké »).
Je suis très content de cette solution et j’ai installé cela à ma famille pendant les vacances.
C’est user-friendly, open source et auto-hébergé. Que demander de plus ?
[^] # Re: bitwarden
Posté par Pol' uX (site web personnel) . Évalué à 4.
Et en fait Bitwarden est peut être sympa mais on n'arrive pas encore à l'héberger avec du logiciel libre : https://forum.chatons.org/t/bitwarden-le-serveur-depend-dun-logiciel-proprietaire/1531
Donc c'est juste non. :)
Adhérer à l'April, ça vous tente ?
[^] # Re: bitwarden
Posté par sifu . Évalué à 3.
https://github.com/dani-garcia/bitwarden_rs semble être populaire chez ceux qui s'auto-héberge.
Il s'agit d'une implémentation en Rust du protocole.
[^] # Re: bitwarden
Posté par Pol' uX (site web personnel) . Évalué à 4. Dernière modification le 07 janvier 2021 à 10:38.
Oui c'est probablement une très bonne initiative (je n'ai pas testé). Mais ce n'est pas le même logiciel. Il faut être conscient que en l'état, promouvoir Bitwarden c'est promouvoir un truc qu'on ne sait pas faire en logiciel libre.
Adhérer à l'April, ça vous tente ?
# Choix du logiciel
Posté par aiolos . Évalué à 3.
On en a déjà débattu ici, mais Keepass et ses variantes n'est pas forcément le plus pratique pour tous les utilisateurs, notamment par le besoin de mettre en place soi-même la synchro de la DB.
De ce que j'en vois, une solution open source mieux acceptée des personnes moins technophiles est Bitwarden, qui propose en plus de leurs serveurs/clients open source, un service hébergé.
# Et aussi varier les adresses
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
J'en ai une spéciale pour la banque et une que je réserve aux commandes. Ça permet de faire le tri facilement et d'éviter des tentatives de hameçonnage.
Pour keepass, il n'est pas intégré à mon navigateur, mais, finalement, c'est pas si mal je trouve.
Il reste, évidemment, le truc consistant à ne pas retenir le mot de passe et à la réinitialiser à chaque fois qui peut être très pratique.
Après comme seule utilisatrice de l'ordinateur, je n'ai pas de mot de passe pour Firefox ni pour Thunderbird.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Et aussi varier les adresses
Posté par octane . Évalué à 4.
j'avoue que je fais ça pour pas mal de sites. Je dois payer EDF? hop, mot de passe oublié, clic sur le lien dans le mail, je paye la facture, et basta.
Ca serait limite un truc à imaginer. Tu vas sur ton site, tu met ton mail, et tu reçois dans les 2minutes un lien valide de connexion. Tu cliques sur "logout" quand tu as fini.
[^] # Re: Et aussi varier les adresses
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 06 janvier 2021 à 11:04.
En fait c'est ce que fait EDF maintenant. C'est très pratique je trouve.
Et pour ma banque, qui exige un mot de passe à base de nombres sur lesquels on clique dans un tableau, j'ai seulement indiqué un indice me permettant de me le remémorer.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Et aussi varier les adresses
Posté par aiolos . Évalué à 1.
Ça existe, c'est un OTP mail, marketté par Slack comme le "magic link", ça se popularise.
[^] # Re: Et aussi varier les adresses
Posté par octane . Évalué à 2.
oh? je vais voir. Ca m'a l'air très bien comme idée.
[^] # Re: Et aussi varier les adresses
Posté par aiolos . Évalué à 2.
Si tu veux le mettre en place, à partir du moment où tu as du OpenID Connect/Oath, c'est assez simple : tu met le token dans une URL et tu l'envoie par mail.
Sur le sujet, tu as cette discussion sur HackerNews qui a été débutée hier : https://news.ycombinator.com/item?id=25628729
[^] # Re: Et aussi varier les adresses
Posté par Pol' uX (site web personnel) . Évalué à 4.
Le mail c'est pas ultra fiable à l'horizon de 2 minutes. En cas de congestion ou de greylist, ça va prendre du retard. En plus les antispams n'aiment souvent pas les messages de robots.
Aussi le mail n'est pas encore universel : il y a quelques années j'ai fourni un gestionnaire d'adhésion pour une asso. Demander un email comme login était excluant. :) Demander un email unique également. Et oui, des familles composées de personnes différentes partagent parfois un email unique, et d'autre n'en ont juste pas.
On pourrait penser que c'est un problème de vieux qui vont passer la main avec le temps, mais pas dit : de plus en plus de jeunes n'ont pas de compte email.
(Je ne leur jette pas la pierre je n'ai ni tv ni téléphone.)
Adhérer à l'April, ça vous tente ?
[^] # Re: Et aussi varier les adresses
Posté par octane . Évalué à 4.
oui, j'ai vu ça, et ça m'a surpris. Pour beaucoup de jeunes, le mail c'est attaché à la Fac/école, puis au travail. Un compte mail, c'est vaguement professionnel, un peu chiant, voire jetable. Ils communiquent via des plateformes tierces, aussi bien insta que twitter, pour l'aspect contact/rdv, plus "social" que "réseau" en fait. Du genre twitter: 2 tweet, 1RT, 5000 DMs :-) Et facebook semble en perte de vitesse, un peu comme le mail. Ils ont un facbeook, mais c'est pour la mamie du cantal, le prof qui envoyait ses corrections de devoirs dessus et pour la salle de concert (depuis le covid, ça a du changer :D )
Le mail, ce truc de vieux.
[^] # Re: Et aussi varier les adresses
Posté par Guillaume Denry (site web personnel) . Évalué à 2.
Pas de tv, c'est facile, mais pas de téléphone, chapeau bas
[^] # Re: Et aussi varier les adresses
Posté par vv222 (site web personnel) . Évalué à 3.
De mon côté, comme Pol' uX je n'ai pas de téléphone portable, par contre j'ai gardé un téléphone fixe pour communiquer avec les moins geeks dans la famille. Pour le reste de mes contacts, c'est le mail et XMPP qui sont les canaux de prédilections (tous les deux via des services auto-hébergés).
Ça commence à être un peu sportif pour certains services, en particulier la banque, mais pour l'instant c'est encore gérable.
[^] # Re: Et aussi varier les adresses
Posté par Vlobulle . Évalué à 1.
C'est intéressant. On développe notre gestionnaire de bénévoles, et on a comme besoin d'utiliser le mail comme login. Parce qu'un identifiant, les gens le perdent, et passent leur temps à faire "récupérer l'identifiant par mail", ce qui au final, nous fait de la perte de bénévoles :'(
[^] # Re: Et aussi varier les adresses
Posté par Psychofox (Mastodon) . Évalué à 3.
Ça existe déjà. Quand tu te logges sur https://console.scaleway.com/ tu as l'option de login via un "magic link" envoyé par email.
[^] # Re: Et aussi varier les adresses
Posté par Pol' uX (site web personnel) . Évalué à 3. Dernière modification le 06 janvier 2021 à 13:34.
Le soucis de ça c'est qu'un ver ou un trojan peut donc facilement en copier le contenu : il est en accès libre dans
~/.mozilla/firefox/*/{key4.db,logins.json}(idem avec thunderpoulet et sous bricosoft, mutatis mutandis).Adhérer à l'April, ça vous tente ?
[^] # Re: Et aussi varier les adresses
Posté par Faya . Évalué à 2.
Avec le mot de passe maître, le contenu du fichier est chiffré ? Ou les mots de passe sont déplacés ?
[^] # Re: Et aussi varier les adresses
Posté par Pol' uX (site web personnel) . Évalué à 2.
Que je sache, oui (je n'ai pas cherché à vérifier/reproduire).
Adhérer à l'April, ça vous tente ?
[^] # Re: Et aussi varier les adresses
Posté par vv222 (site web personnel) . Évalué à 2.
Liberapay a eu la bonne idée de prévoir ça dès le début : on peut chez eux avoir un compte sans mot de passe, et qui permet de se connecter via un lien à usage unique envoyé par mail à la demande.
Bien sûr ça demande d'avoir une boîte mail bien protégée, mais ça c'est essentiel dans tous les cas ;)
[^] # Re: Et aussi varier les adresses
Posté par vv222 (site web personnel) . Évalué à 2.
Gaffe si tu utilises une version récente de Thunderbird avec une clé GPG, celle-ci sera déchiffrée automatiquement au lancement de Thunderbird sans aucune action supplémentaire de ta part. Pour ma part c'est ce qui m'a (enfin) fait mettre en place un mot de passe au lancement de Thunderbird, après avoir ragé face à mon écran une dizaine de minutes quand je me suis rendu compte de ce qui venait de se passer ;)
# intégration au navigateur
Posté par averellb . Évalué à 2.
J'ai lu dans plusieurs commentaires qu'un problème de Keepass serait l'absence d'intégration au navigateur, et que ce serait le frein à son adoption par la famille toutlemonde.
Je ne connais pas Keepass mais j'utilise KeepassXC depuis au moins un an et l'intégration au navigateur via l'extension KeepassXC-Browser est tout à fait satisfaisante. Du moins je ne vois pas ce qu'on pourrait en attendre de plus.
L'autre problème évoqué au sujet de Keepass est le fait de devoir gérer soi-même les copies de la base et leur synchronisation. La mienne est dans un dossier synchronisé automatiquement sur Nextcloud, ça marche aussi bien sur les 3 PC que j'utilise que sur mon smartphone.
Du coup je ne comprend pas bien les limitations évoquées, Keepass est-il si différent de KeepassXC, y a-t'il des raisons que j'ignore de ne pas utiliser KeepassXC ou son extension pour navigateur ?
# Ce que je n'ai pas résolu...
Posté par Psychofox (Mastodon) . Évalué à 2.
…c'est comme modifier tous mes mots de passes à un instant T.
Le password manager et les mots de passes uniques et le plus long possibles partout, je maitrise c'est bon. Par contre j'aimerai pouvoir les changer sans avoir à me logger manuellement partout. Et ça pour l'instant c'est compliqué. Alors en attendant j'essaie au minimum de faire du nettoyage régulier. Genre de temps en temps je vais dans mon password manager et vais voir si j'ai des comptes que je n'utilises plus. Si par exemple c'est un shop en ligne et que mon dernier achat date de plus de 2 ans, je m'en fous je n'ai de toute façon plus de garantie pas besoin de garder mon historique des factures, autant supprimer ce compte "fantôme". Alors je passe par la procédure de suppression de compte. Mais bon c'est très rébarbatif et un peu chronophage.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.