Journal Résolution de l'année 2021 : changez votre mot de passe !

27
5
jan.
2021

Cher Nal,

Je faisais remarquer à une amie il y a peu que le mot de passe qu'elle utilisait était trop faible. Ce à quoi elle m'a répondu par un

Est-ce que tu peux proposer un système qui sera facile à
retenir pour chacun ?

Ce à quoi j'ai répondu qu'il n'y a pas de solution « facile à retenir pour chacun ».

Toutefois, les solutions les plus solides reposent heureusement sur assez peu de mémoire. Donc, en cette période de résolution, voici mes recommandations pour les utilisateur⋅ice⋅s auprès desquels je n'oserais pas mettre un pass ou un keepass, voire pire (X509…), de peur de trop les décontenancer :

  • Un mot de passe différent partout. Car au final tu ne sais jamais à qui tu le donne ni où il va finir. Il ne faut pas que tu donnes à boulebill.com l'accès à ton compte email ou ton compte en banque, surtout que boulebill va révéler dans 3 mois que toutes ses données ont été dérobées.

  • Un mot de passe compliqué partout. Généré automatiquement. Firefox propose désormais la génération des mots de passe, il faut utiliser ça.

  • Des mots de passes sauvegardés. Comme ça on n'a plus à s'en souvenir. Pour les sécuriser, il faut un « mot de passe maître ». Celui là on le choisi fort et mémorisable et c'est le seul qu'on retient. Par exemple le mot de passe « turlututu: ChapeauPointu ! » est plus fort et plus mémorisable que le mot de passe « 53CR3T », et beaucoup plus fort que « maga2020 ».

  • Il faut mettre un mot de passe maître à Firefox (c'est non négociable), et à Thunderbird.

  • Tenir un cahier papier avec des mots de passe n'est pas une si mauvaise pratique : il faut mieux faire ça que mettre un mot de passe simple partout.

  • Tenir un fichier avec des mots de passes dedans est une très mauvaise pratique. À Éviter à tout prix. (Sauf si c'est un logiciel recommandé par quelqu'un de recommandable.)

  • Dans ton nouveau Nextcloud tu peux avoir aussi un gestionnaire de mots de passe.

Alors voilà, je partage avec toi mes maigres conclusions en espérant que ça peut aider d'autres à améliorer leur politique de mots de passe.

PS: la discussion initiale pour sur le mail avec thunderpoulet ; je n'ai pas mentionné de 2FA dans ce contexte.

  • # Une de plus pour la route

    Posté par  . Évalué à 10.

    Bien d'accord avec ces recommandations, et j'ajouterais :

    • Le mot de passe de sa messagerie (email) doit être strictement unique (mais vraiment, tel qu'il est écrit il ne doit sous aucun prétexte être utilisé ailleurs), et de qualité (notamment par sa longueur)

    En effet, son email c'est la vie, et c'est souvent le moyen de récupérer l'ensemble des autres mot de passe, donc il a presque un rôle de "master password". Si un site à la con qui ne chiffre pas ses mots de passe se fait sérieusement attaquer, les attaquants retrouveront une liste de couples email/mot-de-passe et la première chose qu'ils vont tenter, c'est de se connecter à l'email avec ce mot de passe.

    Une remarque également : je n'hésite pas non plus à noter certains mots de passe par écrit (ceux que je n'ai pas décidé, comme au boulot par exemple), mais d'une part j'évite de les écrire littéralement (c'est plutôt des indices forts) et surtout je ne mets pas quel site/utilisation ça concerne.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Une de plus pour la route

      Posté par  . Évalué à 4.

      Pour l'email, on peut activer du 2fa (l'application configurée avec un QRcode qui génère des code temporaire), c'est encore plus fort. C'est simple et plus sécurisé qu'un SMS. Et une application standard et open-source existe.

      Je dirais qu'il y a un mot de passe encore plus unique, mais qui a moins besoin d'être très fort : celui de ses machines locales.

      "La première sécurité est la liberté"

      • [^] # Re: Une de plus pour la route

        Posté par  . Évalué à 8.

        Il faut juste être vraiment sûr d'avoir un moyen de contourner le 2FA en cas de problème (par exemple, smartphone hs), avec, par exemple, une liste de code à usage unique valable indéfiniment.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # routine de mot de passe

    Posté par  . Évalué à 9. Dernière modification le 05/01/21 à 22:23.

    Ca fait quelques années maintenant que j'utilise une routine de mot de passe. J'ai deux mot de passe principaux de 9 à 11 caractères (selon les variations) que je couple à d'autres lettres tirées du service/site sur lequel il est utilisé, toujours selon la même routine.
    Je me rappelle en général lequel des 2 mot de passe principaux j'ai utilisé sur quel site/service, il n'y a que sur la variation que je me plante de temps en temps mais comme je n'ai que 3 variations, j'ai vite fait le tour.
    Et sur les sites où j'ai besoin de m'inscrire juste pour avoir une info (ce qui me gave au plus haut point) et non critique (pas d'achat, pas d'accès à des info perso, etc), je met un mot de passe bidon. Si jamais il se fait pirater, j'en ai rien à taper.
    Et dés que le site/service le propose, j'active la double authentification.

    • [^] # Re: routine de mot de passe

      Posté par  . Évalué à 4.

      Idem. J'utilise une formule pour construire mes mots de passe. J'ai un mot de passe racine et je le complète avec des formules liées au service/site.

      Exemples :
      - A = longueur du nom du service/site
      - B = ne garder que les consonnes/voyelles
      - C = nombre de consonnes / nombre de voyelles
      - D = 1ère en majuscule + 3eme en minuscule + 5eme en majuscule…
      - E = …

      Une formule complète peut être :

      AC#mot_de_passe_racine;D

      Pour LinuxFR, ça pourrait donner : 75#p4ssw@rD;LnX

      Voilà, il n'y a plus qu'à se souvenir du mot de passe racine et de la formule.

      A vous de proposer des formules :-)

      • [^] # Re: routine de mot de passe

        Posté par  (site Web personnel) . Évalué à 1.

        presque idem : j'utilise une première partie fixe, suivie d'un tiret, puis les 3 premières lettres du site visité.
        Exemple : partie fixe = L1nuxRocks!
        sur linuxfr.org ça donnera = L1nuxRocks!-lin
        sur orange.fr = L1nuxRocks!-ora
        sur les sites microsoft = L1nuxRocks!-mic

        la présence d'un caractère spécial (! dans l'exemple) permet de passer la plupart des contrôles "au moins 8 caractères, maj/min mélangées, avec 1 caractère spécial et 1 chiffre"

        • [^] # Re: routine de mot de passe

          Posté par  (site Web personnel) . Évalué à 10.

          Merci à vous deux. Ça va me faciliter grandement le crackage de vos mots de passe, maintenant que j'ai des contraintes pour réduire l'espace à parcourir.

          • [^] # Re: routine de mot de passe

            Posté par  . Évalué à 1.

            Tu vas devoir commencer par trouver la racine du mot de passe pour ensuite t'attaquer aux extensions ajoutées.

            Tu seras aidé si tu crackes un de mes mots de passe.

            Mais c'est du boulot supplémentaire pour toi. Si le jeu en vaut la chandelle, et que je suis ta cible, pourquoi pas. Mais si tu testes 500k mot de passe volés sur un site sur d'autres sites, le contexte n'est plus le même.

  • # résolution

    Posté par  . Évalué à 5. Dernière modification le 06/01/21 à 00:16.

    ma résolution pour 2020 ça a été de généraliser l'utiliser de Keepass pour mon propre usage.

    Franchement, c'est un logiciel simple à utiliser (sauf son intégration avec le navigateur, je n'ai pas réussi à le faire fonctionner systématiquement), et je le préconise même pour les débutants :

    Les sauvegardes avec mot de passe maître dans le navigateur c'est bien, mais quid si le profil utilisateur disparaît ? Il faudra réinitialiser (lorsque c'est possible), le mot de passe, ce n'est pas très pratique. Et les sauvegardes en tant que service (firefox ou chrome), je n'ai pas hyper confiance non plus.

    Aussi je conseille de créer initialement une entrée dans keepass + d'utiliser un mot de passe maître dans firefox (je n'ai pas vu l'équivalent chez chrome, apparement c'est sauvegarde dans le profil google ou rien), pour éviter de copier / coller depuis keepass.

    Et évidemment de faire des sauvegardes régulières de la base keepass…

    • [^] # Profil utilisateur qui disparaît.

      Posté par  . Évalué à 7.

      Les sauvegardes avec mot de passe maître dans le navigateur c'est bien, mais quid si le profil utilisateur disparaît ?

      J'ai eu le cas…D'un coup, sans rien faire de particulier…Mon profil Firefox avait oublié tous mes mots de passe (en revanche, mon historique était clean).
      Je n'ai jamais trop fouillé parce que j'avais une sauvegarde du profil de moins d'une semaine, mais quand même, je me suis senti un peu con…

    • [^] # Re: résolution

      Posté par  (site Web personnel) . Évalué à 2.

      Les sauvegardes avec mot de passe maître dans le navigateur c'est bien, mais quid si le profil utilisateur disparaît ?

      La même chose que si ton fichier keepass disparaît. Donc :

      évidemment faire des sauvegardes régulières

      Adhérer à l'April, ça vous tente ?

      • [^] # Re: résolution

        Posté par  . Évalué à 3.

        avec la différence qu'il est bien plus simple de sauvegarder un fichier keepass qu'un profil firefox (contenant tout un tas de choses superfétatoires vis à vis de notre besoin de garder des mots de passe)

    • [^] # Re: résolution

      Posté par  . Évalué à 0. Dernière modification le 06/01/21 à 10:32.

      (sauf son intégration avec le navigateur)

      C'est un vrai problème, qui rebutent direct les neuneux utilisat[euric]{3}e*s*

  • # Il y a un XKCD pour ça

    Posté par  . Évalué à 4.

    Ce à quoi j'ai répondu qu'il n'y a pas de solution « facile à retenir pour chacun ».

    Pour une fois, je suis surpris que XKCD n'ait pas immédiatement refait surface.

    Password Strength

    Comme indiqué au pied de l'image : « En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe qui sont difficiles à retenir pour les humains mais faciles à devenir par les ordinateurs ». La généralisation des passphrases serait peut-être le premier conseil à donner avant d'essayer de trouver des solutions plus techniques.

    Tenir un cahier papier avec des mots de passe n'est pas une si mauvaise pratique : il faut mieux faire ça que mettre un mot de passe simple partout.
    Tenir un fichier avec des mots de passes dedans est une très mauvaise pratique. À Éviter à tout prix. (Sauf si c'est un logiciel recommandé par quelqu'un de recommandable.)

    Un carnet de mot de passe papier « moins mauvaise » pratique qu'un fichier ? La seule raison que je peux trouver à cela est une intrusion à distance dans la machine concernée, sinon c'est idiot : c'est généralement là qu'on va y mettre le mot de passe qui permet justement d'ouvrir une session sur son poste. En plus, ça peut se faire « emprunter » ou perdre par accident, même si l'ordinateur est éteint.

    Des mots de passes sauvegardés. Comme ça on n'a plus à s'en souvenir. Pour les sécuriser, il faut un « mot de passe maître ». Celui là on le choisi fort et mémorisable et c'est le seul qu'on retient. Par exemple le mot de passe « turlututu: ChapeauPointu ! » est plus fort et plus mémorisable que le mot de passe « 53CR3T », et beaucoup plus fort que « maga2020 ».

    Voilà, c'est en substance ce qui est décrit au dessus et il n'y a pas de raison d'utiliser d'autres formats… sauf si on nous les impose !

    Un mot de passe compliqué partout. Généré automatiquement. Firefox propose désormais la génération des mots de passe, il faut utiliser ça.

    Ça par contre, selon moi, c'est vraiment la « fausse bonne idée » par excellence. Quand on a un gestionnaire de mot de passe, c'est bien mais ça nous oblige à le trimballer et/ou le synchroniser partout et se souvenir où il y en a des copies. Sinon, on ne peut plus se loguer ailleurs que depuis le poste concerné et à ce compte-là, autant utiliser des certificats SSL (si c'est possible). Par contre, des mots de passe « trop » compliqués partout, c'est des coups à les oublier et à se les faire renvoyer par mail, ce qui pour le coup fait vraiment chuter la sécurité à un niveau très faible (même si c'est un simple lien de réinitialisation).

    Ensuite, trop de sécurité tue la sécurité : faire changer son mot de passe à une personne tous les mois, par exemple, c'est prendre le risque qu'elle utilise « toto1, toto2, toto3, toto4… » en incrémentant chaque mois. Et en dehors de ça, la sécurité a un coût. Il vaut mieux avoir des choses officiellement publiques quand elles peuvent l'être et ne garder un œil que sur ce qui est réellement important plutôt qu'essayer de tout fortifier, au risque de ne plus rien avoir de fiable.

    Personnellement, je me suis construit une petite image disque à coup de dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement avec cryptsetup (LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.

    Un truc qui serait sympa (si ça n'existe pas déjà) serait de publier une RFC qui définisse une norme réseau qui indique une manière simple de générer un hash d'une chaîne à partir du contenu d'un champ et du nom de domaine du serveur ou du site auquel on est connecté, ainsi qu'un attribut à rajouter à la balise HTML du champ pour indiquer que l'on souhaite prendre en charge ce format (qui pourrait même être automatiquement activé pour les champs de type="password"). Comme ça, le hash serait forcément différent d'un site à l'autre.

    Du coup, c'est le navigateur client qui prendrait cette tâche à sa charge, et plus le bon vouloir du site distant : le navigateur afficherait une icône discrète à côté du champ pour indiquer que la fonctionnalité est active, et enverrait directement le hash calculé plutôt que le mot de passe en clair.

    Ce ne serait toujours pas une raison pour utiliser un même mot de passe partout car si quelqu'un le devine, la fonctionnalité ci-dessus deviendrait inutile, mais ça limiterait déjà beaucoup ce type d'attaque sans que l'utilisateur ait à faire le moindre effort.

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  . Évalué à 5.

      Pour une fois, je suis surpris que XKCD n'ait pas immédiatement refait surface.

      Merci d'avoir corrigé ça immédiatement :)

      Sinon je suis tombé récemment sur ce sketch (in English, mais avec les sous-titres ça aide) : https://www.youtube.com/watch?v=aHaBH4LqGsI qui est devenu une autre de mes références sur le sujet.

      Un carnet de mot de passe papier « moins mauvaise » pratique qu'un fichier ?

      Je suis de cet avis. Par exemple, admettons que tu viennes chez moi (déjà c'est quand même peu probable), tu vas voir à côté de mon ordi un post-it avec écrit dessus "hMEpdyEA". Tu en fais quoi ?

      Comme j'ai dit dans un commentaire précédent, ce n'est pas littéralement un mot de passe utilisable tel quel (et la modification est vraiment mineure), et je n'ai pas écris juste à côté de quel mot de passe il s'agit. Bref, l'écrire n'est pas non plus une connerie sans nom, à condition d'avoir un minimum de précautions.

      Et le post-it a en effet cet avantage sur le fichier de demander une présence physique pour y accéder (un petit côté 2FA : something you know -les modifications et l'utilisation- et somewhere you are -chez moi-).

      Ensuite, trop de sécurité tue la sécurité : faire changer son mot de passe à une personne tous les mois, par exemple, c'est prendre le risque qu'elle utilise « toto1, toto2, toto3, toto4… »

      Oh oui ! Exemple vrai : j'ai bossé chez Renault, le mot de passe de session est sur 8 caractères (obligé, pas 7, pas 9). Et il change tous les 3 mois. J'ai fait un sondage autour de moi, tout le monde utilise 6 caractères plus un incrément sur 2 caractères. Le secret est donc de 6 caractères seulement. À pleurer.

      J'ai vu passer un article sur Internet évoquant une nouvelle politique de quelques IT apparemment un poil plus malins que les autres : demander à créer un seul mot de passe, gros, avec quelques contraintes (apparemment il faut compter 15mn avant d'arriver à en générer un qui satisfasse les contraintes) et ensuite promis juré on te demandera plus d'en changer. Faudrait que je le retrouve (il a peut-être été cité ici, si qqu'un voit de quoi je parle…)

      Un truc qui serait sympa (si ça n'existe pas déjà) serait de publier une RFC

      Ouais dans l'idée il y a des trucs cool à faire. Par exemple Firefox qui génère des mots de passe (je l'utilise pour des sites anodins) devrait avoir un moyen de récupérer les contraintes du site pour générer un mot de passe qui soit accepté.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

      • [^] # Re: Il y a un XKCD pour ça

        Posté par  . Évalué à 3.

        politique de quelques IT apparemment un poil plus malins que les autres : demander à créer un seul mot de passe, gros, avec quelques contraintes

        J'ai vu ça une fois : il demandait un mot de passe de 18 caractères. C'est moins évident que cela ne parait.

        "La première sécurité est la liberté"

        • [^] # Re: Il y a un XKCD pour ça

          Posté par  . Évalué à 5.

          J'ai un truc dans le genre au boulot, avec changement tous les 3 mois. Ben quand c'est trop contraignant, ça se termine avec un post-it collé à l'écran + un fichier excel pour trouver les mots de passe (c'est chiant à compter les caractères) et gérer la rotation.

          • [^] # Re: Il y a un XKCD pour ça

            Posté par  . Évalué à 6.

            J'ai la même chose au boulot, je dois changer de mot de passe tous les 3 mois également mais j'ai trouvé la parade. Il ne garde l'historique que des 4 derniers mot de passe, que l'on ne peut réutiliser en tant que nouveau mot de passe. Tous les 3 mois, je change donc 4 fois de mot de passe (en mettant des mots de passes à la con) puis je remet le mot de passe d'origine, qui est assez robuste.
            C'est un peu chiant mais moins que de devoir trouver un mot de passe robuste tous les 3 mois et, surtout, m'en rappeler.

      • [^] # Re: Il y a un XKCD pour ça

        Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 06/01/21 à 10:10.

        demander à créer un seul mot de passe, gros, avec quelques contraintes (apparemment il faut compter 15mn avant d'arriver à en générer un qui satisfasse les contraintes) et ensuite promis juré on te demandera plus d'en changer

        Ça fonctionne au sein d'une organisation, mais tu ne peux pas donner ce mot de passe à boulebill.com, et il faut être conscient de pourquoi tu ne peux pas. Et donc ça ne se généralise pas.

        Adhérer à l'April, ça vous tente ?

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  (site Web personnel) . Évalué à 3.

      En plus, ça peut se faire « emprunter » ou perdre par accident, même si l'ordinateur est éteint.

      Parce qu'un fichier sur un OS vérolé ça ne peut pas se perdre ou se faire emprunter ?

      Sinon, on ne peut plus se loguer ailleurs que depuis le poste concerné et à ce compte-là, autant utiliser des certificats SSL (si c'est possible).

      lol.

      faire changer son mot de passe à une personne tous les mois

      Ça c'est une vrai mauvaise idée par excellence. On est d'accord.

      Adhérer à l'April, ça vous tente ?

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  (site Web personnel) . Évalué à 2.

      Personnellement, je me suis construit une petite image disque à coup de dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement avec cryptsetup (LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.

      Ce que tu décris, ce n'est que réinventer ce que propose KeePassXC, mais en moins portable. Tu ne pourras pas monter ton image disque sous Windows, ou alors il faudra installer dd et cryptsetup, c'est-à-dire probablement installer toute une distribution Linux avec WSL, en supposant que tu sois sur un Windows qui soit à la fois assez récent pour ça et avec un compte d'utilisateur qui a les permissions suffisantes pour. Pas sûr non plus que ça fonctionne sur macOS sans rien installer (on peut monter une image disque ça c'est sûr, mais je ne sais pas si on peut déchiffrer des volumes LUKS). Donc si la portabilité est importante, c'est pas gagné.

      Un avantage de l'image disque chiffrée, c'est que tu peux stocker n'importe quel fichier (donc aussi des données non structurées) dedans, mais c'est bien le seul avantage. On peut aussi stocker des fichiers arbitraires dans une base KeePass, c'est juste un peu pénible car la seule façon de le faire c'est d'attacher les fichiers comme pièces jointes d'une entrée de la base de données (donc plus compliqué que juste copier un fichier dans une image disque montée).

      J'utilise un fichier KeePass, et pour les rares fois où j'ai besoin des infos qui sont dedans alors que je n'ai pas mon ordinateur personnel avec moi, j'ai le fichier et les versions portables de l'application KeePassXC sur une clé USB attachée à mon porte-clé (donc je l'ai toujours quand je pars de chez moi). La version Windows portable fonctionne sur n'importe quelle version depuis au moins Windows 7 (je ne serais pas étonné qu'elle fonctionne même sur des versions plus anciennes). Si je voulais en plus de ça du stockage de fichiers facile et chiffré, il me reste assez de place sur la clé pour stocker dessus une image disque chiffrée à côté, car le fichier KeePass et les applis portables KeePassXC ne pèsent quasiment rien.

      • [^] # Re: Il y a un XKCD pour ça

        Posté par  . Évalué à 2.

        on peut également ouvrir un fichier keepass depuis un compte nextcloud (via un module keeweb), c'est très pratique, on peut également modifier la base par synchro webdav (fonctionne depuis n'importe quel navigateur, y compris mobile)

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  . Évalué à 1.

      Quand on a un gestionnaire de mot de passe, c'est bien mais ça nous oblige à le trimballer et/ou le synchroniser partout et se souvenir où il y en a des copies.
      […]
      je me suis construit une petite image disque à coup de dd, je l'ai montée et je l'ai formatée comme partition chiffrée avec une grosse passphrase. Et depuis, j'utilise un petit script pour la monter automatiquement avec cryptsetup (LUKS). Je mets ce qui est confidentiel dedans sans être dépendant d'un logiciel particulier.

      <EDIT: *grilled*>

      Pas sûr d'avoir compris la plus-value du conteneur chiffré, par rapport à un gestionnaire de mots de passe: ça ne change pas le besoin de synchroniser des copies, et c'est encore plus solidement ancré à la machine, qui doit être sous *nix, et dont il faut en plus être administrateur (cryptsetup), et pour citer le journal, « les utilisateur·ice·s auprès desquels [on n'oserait] pas mettre un pass ou un keepass » ont bien peu de chances de se laisser convaincre.

      </EDIT: *grilled*>

      Le truc qui va bien pour moi (mais qui ne saurait convaincre que celles et ceux qui n'ont pas besoin de conseils): pass, synchronisé (git) sur plusieurs machines et supports chiffrés et, en cas de besoin, aussi sur un système live pour démarrer sur une machine exotique.

      • [^] # Re: Il y a un XKCD pour ça

        Posté par  (site Web personnel) . Évalué à 3.

        c'est encore plus solidement ancré à la machine, qui doit être sous *nix, et dont il faut en plus être administrateur (cryptsetup)

        On peut faire quelque chose de similaire sans utiliser cryptsetup et sans avoir besoin des droits administrateurs.

        Perso j’utilise une image disque

        • formattée en FAT32,
        • chiffrée au format OpenPGP ;
        • montée sous GNU/Linux avec udisksctl.

        C’est portable (FAT32 est universellement supporté, des implémentations d’OpenPGP sont disponibles sur toutes les plate-formes courantes et même des moins courantes) et sous GNU/Linux monter un volume avec udisksctl ne nécessite pas de droits administrateurs. Après j’avoue que je ne sais pas comment on fait pour « monter » une image disque sous Windows ou Mac OS X, je n’ai jamais eu besoin d’essayer.

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  . Évalué à 3.

      Et comme un XKCD sans la source ni le « title text » c’est pas vraiment un XKCD, il s’agit du XKCD 936

    • [^] # Re: Il y a un XKCD pour ça

      Posté par  . Évalué à 2.

      Bof, quand on utilises un password manager ce qui compte c'est le nombre de caractères, pas le fait que ce soit une passphrase ou un truc inintelligible. Des passphrases, si tu en as une pour chaque site/app, tu ne vas de toute façon pas t'en rappeler.

      Alors moi j'utilise une passphrase justement pour débloquer mon password manager, tout le reste c'est du random avec beaucoup de caractères, plus de 20 quand c'est supporté par les sites/applis en question.

      • [^] # Re: Il y a un XKCD pour ça

        Posté par  . Évalué à 1.

        Bof, quand on utilises un password manager ce qui compte c'est le nombre de caractères, pas le fait que ce soit une passphrase ou un truc inintelligible. Des passphrases, si tu en as une pour chaque site/app, tu ne vas de toute façon pas t'en rappeler.

        Ben là, en l'occurrence, c'est la philosophie inverse : dans l'exemple d'XKCD, en quatre mots courants, tu atteins 26 caractères. C'est nettement moins difficile qu'un mot de passe à 10 caractères arbitraires.

        C'est le principe de la passphrase : ça doit avant tout être une phrase. Dans le sens où il vaut mieux un phrase qu'un mot, certes, mais également dans le fait qu'elle est censée être construite. Pas simplement une trame inhabituellement longue.

        • [^] # Re: Il y a un XKCD pour ça

          Posté par  . Évalué à 3.

          oui mais ce que je te dis c'est que tu ne vas de toute façon pas te rappeler 50 ou 100 phrases et les associer à chaque compte, à moins d'avoir une structure de phrase et/ou une origine devinable (comme un bouquin), mais dans ce cas-là il suffit que quelqu'un obtienne 2-3 passphrases pour possiblement comprendre le schéma logique.

          Le fait qu'elle soit construite et que ce soit une phrase ne la rend pas plus sûre. XKCD montre juste que c'est plus facile de se rappeler 5 mots que 25 caractères au hasard, pas que le secret est plus sûr à nombre de caractères égal.

          Mais cette facilité de s'en rappeler devient caduque dès lors que tu utilises un password manager, raison pour laquelle je n'en utilise une que pour les 3 uniques secrets dont je dois me rappeler: le master de mon password manager, mon email principal, mon compte AD dans ma boite.

          • [^] # Re: Il y a un XKCD pour ça

            Posté par  . Évalué à 4. Dernière modification le 14/01/21 à 18:34.

            te rappeler 50 ou 100 phrases

            Tu peux te rappeler de titres de romans en sachant que ta passphrase c’est la n-ième phrase du x-ième chapitre. Avec la ponctuation tant qu’à faire.

            Bon, ceci dit ça veut dire qu’on pourrait bruteforcer en testant toutes les phrases des milles bouquins les plus connus, je me rends pas compte du nombre de possibilité que ça fait. Ceci implique quand même d’être informé de l’utilisation de la méthode.

            • [^] # Re: Il y a un XKCD pour ça

              Posté par  (site Web personnel) . Évalué à 3.

              Tu peux te rappeler de titres de romans en sachant que ta passphrase c’est la n-ième phrase du x-ième chapitre. Avec la ponctuation tant qu’à faire.

              Traduit chez Gallimard ou chez Laffont ?

              Adhérer à l'April, ça vous tente ?

              • [^] # Re: Il y a un XKCD pour ça

                Posté par  . Évalué à 3.

                Oui il faut faire attention à l’édition, pas prendre un truc exotique. Et on peut prendre des romans français.

  • # !

    Posté par  (site Web personnel) . Évalué à 10. Dernière modification le 06/01/21 à 06:26.

    Un mot de passe différent partout. Car au final tu ne sais jamais à qui tu le donne ni où il va finir. […]

    Des mots de passes sauvegardés. Comme ça on n'a plus à s'en souvenir. Pour les sécuriser, il faut un « mot de passe maître ». Celui là on le choisi fort et mémorisable et c'est le seul qu'on retient. Par exemple le mot de passe « turlututu: ChapeauPointu ! » est plus fort et plus mémorisable que le mot de passe « 53CR3T », et beaucoup plus fort que « maga2020 ».

    Ah bah voilà ! Mon mot de passe maître est révélé sur le grand net alors que je ne l'ai jamais donné à personne !

    colère >:<

    • [^] # Re: !

      Posté par  . Évalué à 3.

      il te reste plus qu'à le changer (pssst, un petit conseil entre nous, remplace le par tarlatata: ChapeauPointa !, et le tour est joué… dis-moi quand c'est fait)

      • [^] # Re: !

        Posté par  (site Web personnel) . Évalué à 3.

        bah enter password si tu parles anglais, tu entres password ça paraît normal /o\

        • [^] # Re: !

          Posté par  (site Web personnel) . Évalué à 2.

          ou passw0rd!
          bordel j'ai eu en réponse qu'il manque un caractère spécial
          oui, je suis un hackerz :-)

  • # Mot de passe "super"-maître ?

    Posté par  . Évalué à 2.

    Salut,

    Parfois, j'aimerais bien verrouiller ma session de Firefox complètement sans pour autant verrouiller le reste du PC.
    Est-ce qu'il existe une solution pour ça ? Merci !

  • # Je dirai même plus : changez votre courriel !

    Posté par  (site Web personnel) . Évalué à 5.

    Je ne parle pas de votre courriel utilisé pour échanger avec vos proches, mais du courriel que l'on renseigne lors de nos achats en ligne : pourquoi faudrait-il donner son adresse personnelle ? (En règle général) on n'utilise jamais cette adresse pour écrire, juste pour s'assurer que notre commande est bien arrivée, alors autant prendre une adresse qui nous servira un temps et que l'on finira par jeter une fois que sa date de péremption sera passée.

    Je ne parle pas d'utiliser un séparateur magique de type '+' dans l'adresse, mais bien de se créer un alias, de type 2021${CARACTÈRES ALÉATOIRES}@hebergeur et de l'utiliser dans l'année. Si vous aimez les vieilleries, vous pourrez continuer de l'utiliser en 2022 et 2023 (après ça ne sert plus à rien, votre carte bleu aurait été renouvelée, autant effacer l'alias et se recréer un compte tout neuf).

    Si l'on commence à se retrouver avec du spam, il suffit de supprimer l'adresse concernée et s'en recrée une nouvelle, et cela permet surtout de jeter à la poubelle son historique (plutôt que d'aller se désinscrire des vieux services que l'on utilise plus, on supprime l'adresse et c'est fini).

    En cadeau, voilà un peu de bash :

    echo "2021$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 8 | head -n 1)@domain.tld"
    • [^] # Re: Je dirai même plus : changez votre courriel !

      Posté par  . Évalué à 0.

      Ben on utilise plus le mail pour des échanges personnels en 2021, mis à part à la marge. C'est uniquement pour les échanges pro, liés à des achats ou à l'administration. Seul l'alias serait utile en fait.

    • [^] # Re: Je dirai même plus : changez votre courriel !

      Posté par  (site Web personnel) . Évalué à 2.

      J'ai une approche similaire, avec un serveur mail à la maison basé sur postfix utilisant le . comme séparateur de sous-adresse (à cause de ces formulaires utilisant des regex moisies qui se vautrent sur le +).

      Mes adresses pour m'inscrire à des services sont du style accounts.${service}@{mon_domaine}, ce qui se lie ensuite très bien à l'utilisation de filtres sieve par exemple.

      Avant de savoir bidouiller avec des alias j'utilisais deux comptes e-mail dédiés : un pour causer avec les humains, l'autre pour les robots (inscriptions à des services, newsletters, etc.).

    • [^] # Re: Je dirai même plus : changez votre courriel !

      Posté par  . Évalué à 3.

      Et surtout, ne pas oublier de renouveler son domaine. C'est très important et les rappels des registrars peuvent être oubliés au milieu du spam.

  • # ça dépend

    Posté par  . Évalué à 5.

    Un mot de passe différent partout. Car au final tu ne sais jamais à qui tu le donne ni où il va finir. Il ne faut pas que tu donnes à boulebill.com l'accès à ton compte email ou ton compte en banque, surtout que boulebill va révéler dans 3 mois que toutes ses données ont été dérobées.

    Désolé, y a des sites sur lesquels j'ai créé un compte juste pour pouvoir accéder au forum, souvent associé à une adresse yopmail; j'y vais toujours avec le même compte (vais pas recréer un compte à chaque fois) quant aux données personnelles qu'ils pourraient y piquer, je doute que ça les satisfasse "née le 1er janvier 1901 dans l'ain…" je ne vois pas pourquoi j'irai y mettre un vrai mot de passe pour protéger des données erronées.

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: ça dépend

      Posté par  . Évalué à 2. Dernière modification le 06/01/21 à 14:58.

      Si c'est associé à une adresse jetable, c'est nickel, fais ce que tu veux, tout le monde est d'accord.

      Le risque sur ces petits sites anodins c'est de mettre sa vraie adresse email, ainsi que le même mot de passe. Là c'est très très très risqué. À ne faire sous aucun prétexte.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # Un fichier

    Posté par  (site Web personnel) . Évalué à 4.

    A propos du bon vieux fichier crado, je me suis toujours demandé si ce gros warning est autant justifié. J'imagine les intrusions concernant les particuliers comme un peu naïves : gros phishing grillé d'un côté, virus de l'autre - mais est-ce que vraiment des gens vont trouver un fichier planqué sur votre ordi? peut être des vieux scripts pourris pour scanner un password.txt à la rigueur. Appelez votre fichier "list des pornos" et qui ira le trouver?

    PS - Recommander le papier, ce n'est pas vraiment pragmatique…

    • [^] # Re: Un fichier

      Posté par  . Évalué à 4.

      c'était recommandé par un spécialiste de la sécurité en partant du principe que les gens sécurisent très bien leur porte feuille. Donc, l'idée, c'est plus un mini carnet dans un porte feuille.

      "La première sécurité est la liberté"

      • [^] # Re: Un fichier

        Posté par  (site Web personnel) . Évalué à 5.

        un mini carnet dans un porte feuille

        Ça ne me paraît pas déconnant, si c'est rangé à côté de la carte bancaire par exemple il y a de bonnes chances que ce soit rarement laissé sans surveillance. Et en cas de vol, il y a des chances que ladite carte bancaire fasse suffisamment diversion pour que le carnet ne soit pas remarqué à côté ;P

    • [^] # Re: Un fichier

      Posté par  (site Web personnel) . Évalué à 4.

      J'imagine les intrusions concernant les particuliers comme un peu naïves

      Possible. Mais a plupart des personnes que je conseille travaille dans des organisations qui sont/seront potentiellement cibles d'attaques non naïves.

      Recommander le papier, ce n'est pas vraiment pragmatique…

      La plupart des personnes que je conseille préfèrent un carnet papier plutôt qu'envisager l'idée d'apprendre keepass.

      Adhérer à l'April, ça vous tente ?

      • [^] # Re: Un fichier

        Posté par  (site Web personnel) . Évalué à 2.

        keepass - bien que géniallissime - doit maintenant être considéré comme trop difficile et pas pratique ; les trucs en ligne avec extension navigateur pour faire clic-clic ont considérablement simplifié et accéléré la saisie des identifiants

    • [^] # Re: Un fichier

      Posté par  . Évalué à 5.

      tu ne sais jamais d'où vient l'intrusion. Ton cousin "bienveillant" qui utilise ton ordi. Ton ex-épouse, ton admin système qui fait une opération de maintenance. Une indexation malheureuse. Le fichier "password.txt" est à bannir.
      Le document papier dans le portefeuille (ou dans un tiroir à la maison) ça me parait beaucoup plus safe, plus simple à utiliser et plus viable à long terme. Dans 3 ans, tu te souviendras que le mot de passe du site d'aquaponey qui te bombarde de spam était sur ton ancien ordi dans un fichier liste_des_prons.txt sur une partition que tu as effacé, ou bien tu ressors le petit carnet à spirale, tu te logge sur aquaponey.com et tu te désabonnes!

      • [^] # Re: Un fichier

        Posté par  (site Web personnel) . Évalué à 3.

        Le problème du papier c'est qu'il faut l'avoir constamment sur soi, le planquer, ne pas le perdre. Sa maintenance relèvera du cauchemar, et même l'usage! Imaginez un peu parcourir la feuille pour retrouver son compte leroy merlin d'il y a deux ans, et ensuite recopier a la mano #q209fqdmlqfgm!!//fmqg . Ou alors les gens mettrons systématiquement "toto" pour que ce soit simple à recopie -> donc contre productif.

    • [^] # Re: Un fichier

      Posté par  (site Web personnel) . Évalué à 3.

      mais est-ce que vraiment des gens vont trouver un fichier planqué sur votre ordi?

      Ça dépend si on parle d’une attaque « aveugle », qui cherche juste à toucher le plus de monde possible, ou d’une attaque ciblée qui te vise toi en particulier.

      Par exemple, on peut imaginer une attaque aveugle qui exploiterait une faille quelconque pour exfiltrer automatiquement (sans intervention manuelle de l’attaquant, le but est de faire ça sur des milliers voire des millions de machines) un petit nombre de fichiers bien précis à des emplacements connus d’avance (par exemple l’emplacement par défaut des fichiers de données des gestionnaires de mots de passe les plus connus). Face à une telle attaque, le simple fait de stocker ses mots de passe dans un endroit « non-standard » (même si c’est bien en vue à la racine du dossier personnel) sera suffisant.

      Par contre, si quelqu’un veut s’en prendre à toi et pour ce faire réussit d’une manière ou d’une autre à pénétrer dans ta machine, tu peux bien planquer ton fichier de mots de passe au fin fond de ton disque dur, un attaquant motivé le trouvera.

      C’est un peu comme changer le port par défaut d’un serveur SSH : ça suffit amplement à déjouer tous les scans naïfs qui sont juste à la recherche de machines vulnérables quelles qu’elles soient, mais ça n’arrêtera absolument pas un attaquant décidé à s’en prendre à ce serveur.

      • [^] # Re: Un fichier

        Posté par  . Évalué à 2.

        Par contre, si quelqu’un veut s’en prendre à toi et pour ce faire réussit d’une manière ou d’une autre à pénétrer dans ta machine, tu peux bien planquer ton fichier de mots de passe au fin fond de ton disque dur, un attaquant motivé le trouvera.

        Le trouver oui, le reconnaître pas forcément, si tu as un recueil de poèmes perso ou un brouillon de mauvaise littérature qui traîne sur ton bureau il va pas forcément identifier que la dernier mot de la première ligne, le 2ème de la 2ème ligne le 3ème de la 3eme strophe… le tout écrit en l33t speak vont former ta passe phrase.

        Il aura plus vite fait d'installer un keylogger dans tes drivers usb :P

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: Un fichier

        Posté par  (site Web personnel) . Évalué à 2.

        Par contre, si quelqu’un veut s’en prendre à toi

        Question sérieuse, combien sont concernés par cela? J'imagine mal qu'il y a ait la main d'oeuvre pour vouloir s'en prendre à beaucoup d'entre nous d'une manière ciblée. Hormis avoir une fonction particulière dans son boulot ou un cas très particulier dans sa vie privée, je pense qu'on se doit de se défendre contre les attaques ciblant les masses : ne pas utiliser "toto" comme mot de passe, pas le même mot de passe partout, ce genre de choses. Je vais honnête j'utilise un gestionnaire de mot de passe par commodité plus qu'autre chose.

        • [^] # Re: Un fichier

          Posté par  . Évalué à 6.

          Le problème, c’est que c’est difficile de savoir si ça ne va pas t’arriver demain. Je ne pense pas que beaucoup de monde ait ce genre de problème à vie. Par contre, je pense que ça peut arriver à plus de monde de manière temporaire suite à des problèmes de couple, de famille, de boulot.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Un fichier

          Posté par  (site Web personnel) . Évalué à 7.

          Question sérieuse, combien sont concernés par cela?

          Juste ce qui me passe par la tête :

          • Quiconque a des droits de commit sur le dépôt d’un logiciel libre. Bonus si le logiciel en question est une petite brique obscure à laquelle personne ne pense mais qui est utilisée partout.

          • Quiconque émet une opinion politique sur un sujet qui excite et, partant, se met à dos les excités du camp d’en face. Je rappelle qu’on vit dans un monde où énoncer un fait établi par la littérature scientifique (genre « l’hydroxychloroquine ne fonctionne pas contre le coronavirus ») est considéré par certains comme un acte politique et peut suffire à attirer des menaces de mort à ton encontre, alors ça ne me paraît pas déraisonnable d’imaginer que ça puisse aussi attirer des tentatives de piratage.

          • Quiconque à un handle Twitter jugé « intéressant ». Je n’ai plus de lien sous la main, mais je me souviens vaguement de l’histoire d’un journaliste américain dont l’ordinateur et les comptes mails avaient été piratés juste parce que le pirate voulait mettre la main sur son handle Twitter à trois caractères.

          • [^] # Re: Un fichier

            Posté par  . Évalué à 5.

            Quiconque a des droits de commit sur le dépôt d’un logiciel libre. Bonus si le logiciel en question est une petite brique obscure à laquelle personne ne pense mais qui est utilisée partout.

            Pas que le logiciel libre, voir logiciel tout court, un agent d'entretien peu ajouter un dongle usb ou remplacer clavier / souris dans les bureau open space; un presta qui débug un logiciel dans l'urgence peut se retrouver avec une base de donnée sensible complète sous la main, un autre réalisant un transfert d'une base de donnée vers une autre peut modifier/ajouter/supprimer des élément lors du changement de base,

            Dans certaines boites, il est même prévu qu'un des employés soit approché pour quelques malversations, et ont une mini formation sur comment réagir…

            Bref la cible n'est pas forcément soi, on est potentiellement juste un moyen.

            Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # bitwarden

    Posté par  . Évalué à 5.

    Pourquoi ne pas conseiller un gestionnaire de mots de passe dans le cloud, comme Bitwarden ?

    • [^] # Re: bitwarden

      Posté par  (site Web personnel) . Évalué à 5.

      Parce qu'il est dans le cloud, justement. Si encore on pouvait aussi l'utiliser uniquement avec un fichier de mots de passe local, ce serait certainement un des meilleurs gestionnaires de mots de passe. Mais comme ce n'est pas possible, je préfère personnellement utiliser KeePassXC (qui a la limitation contraire : il ne travaille qu'avec un fichier local, il faut se débrouiller si on veut synchroniser ce fichier entre plusieurs ordinateurs).

      • [^] # Re: bitwarden

        Posté par  . Évalué à 3.

        J'utilise aussi keepassxc, mais pour des utilisateurs non technophiles, bitwarden a l'avantage de gérer aussi la synchro.

        Du coup, si je dois conseiller quelqu'un, je lui demande s'il a un compte nextcloud (ou autre solution de synchronisation de fichiers). Si oui, keepassxc, sinon bitwarden.

    • [^] # Re: bitwarden

      Posté par  (site Web personnel) . Évalué à 3.

      Pourquoi ne pas conseiller un gestionnaire de mots de passe dans le cloud

      Pourquoi ne pas lire le texte ? :)

      Dans ton nouveau Nextcloud tu peux avoir aussi un gestionnaire de mots de passe.

      Adhérer à l'April, ça vous tente ?

  • # Choix du logiciel

    Posté par  . Évalué à 3.

    On en a déjà débattu ici, mais Keepass et ses variantes n'est pas forcément le plus pratique pour tous les utilisateurs, notamment par le besoin de mettre en place soi-même la synchro de la DB.

    De ce que j'en vois, une solution open source mieux acceptée des personnes moins technophiles est Bitwarden, qui propose en plus de leurs serveurs/clients open source, un service hébergé.

  • # Et aussi varier les adresses

    Posté par  (site Web personnel) . Évalué à 4.

    J'en ai une spéciale pour la banque et une que je réserve aux commandes. Ça permet de faire le tri facilement et d'éviter des tentatives de hameçonnage.

    Pour keepass, il n'est pas intégré à mon navigateur, mais, finalement, c'est pas si mal je trouve.

    Il reste, évidemment, le truc consistant à ne pas retenir le mot de passe et à la réinitialiser à chaque fois qui peut être très pratique.

    Après comme seule utilisatrice de l'ordinateur, je n'ai pas de mot de passe pour Firefox ni pour Thunderbird.

    « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Et aussi varier les adresses

      Posté par  . Évalué à 4.

      Il reste, évidemment, le truc consistant à ne pas retenir le mot de passe et à la réinitialiser à chaque fois qui peut être très pratique.

      j'avoue que je fais ça pour pas mal de sites. Je dois payer EDF? hop, mot de passe oublié, clic sur le lien dans le mail, je paye la facture, et basta.
      Ca serait limite un truc à imaginer. Tu vas sur ton site, tu met ton mail, et tu reçois dans les 2minutes un lien valide de connexion. Tu cliques sur "logout" quand tu as fini.

      • [^] # Re: Et aussi varier les adresses

        Posté par  (site Web personnel) . Évalué à 2. Dernière modification le 06/01/21 à 11:04.

        . Tu vas sur ton site, tu met ton mail, et tu reçois dans les 2minutes un lien valide de connexion.

        En fait c'est ce que fait EDF maintenant. C'est très pratique je trouve.

        Et pour ma banque, qui exige un mot de passe à base de nombres sur lesquels on clique dans un tableau, j'ai seulement indiqué un indice me permettant de me le remémorer.

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

      • [^] # Re: Et aussi varier les adresses

        Posté par  . Évalué à 1.

        Ça existe, c'est un OTP mail, marketté par Slack comme le "magic link", ça se popularise.

      • [^] # Re: Et aussi varier les adresses

        Posté par  (site Web personnel) . Évalué à 4.

        Ca serait limite un truc à imaginer. Tu vas sur ton site, tu met ton mail, et tu reçois dans les 2 minutes un lien valide de connexion. Tu cliques sur "logout" quand tu as fini.

        Le mail c'est pas ultra fiable à l'horizon de 2 minutes. En cas de congestion ou de greylist, ça va prendre du retard. En plus les antispams n'aiment souvent pas les messages de robots.

        Aussi le mail n'est pas encore universel : il y a quelques années j'ai fourni un gestionnaire d'adhésion pour une asso. Demander un email comme login était excluant. :) Demander un email unique également. Et oui, des familles composées de personnes différentes partagent parfois un email unique, et d'autre n'en ont juste pas.

        On pourrait penser que c'est un problème de vieux qui vont passer la main avec le temps, mais pas dit : de plus en plus de jeunes n'ont pas de compte email.

        (Je ne leur jette pas la pierre je n'ai ni tv ni téléphone.)

        Adhérer à l'April, ça vous tente ?

        • [^] # Re: Et aussi varier les adresses

          Posté par  . Évalué à 4.

          On pourrait penser que c'est un problème de vieux qui vont passer la main avec le temps, mais pas dit : de plus en plus de jeunes n'ont pas de compte email.

          oui, j'ai vu ça, et ça m'a surpris. Pour beaucoup de jeunes, le mail c'est attaché à la Fac/école, puis au travail. Un compte mail, c'est vaguement professionnel, un peu chiant, voire jetable. Ils communiquent via des plateformes tierces, aussi bien insta que twitter, pour l'aspect contact/rdv, plus "social" que "réseau" en fait. Du genre twitter: 2 tweet, 1RT, 5000 DMs :-) Et facebook semble en perte de vitesse, un peu comme le mail. Ils ont un facbeook, mais c'est pour la mamie du cantal, le prof qui envoyait ses corrections de devoirs dessus et pour la salle de concert (depuis le covid, ça a du changer :D )

          Le mail, ce truc de vieux.

        • [^] # Re: Et aussi varier les adresses

          Posté par  (site Web personnel) . Évalué à 2.

          (Je ne leur jette pas la pierre je n'ai ni tv ni téléphone.)

          Pas de tv, c'est facile, mais pas de téléphone, chapeau bas

          • [^] # Re: Et aussi varier les adresses

            Posté par  (site Web personnel) . Évalué à 3.

            De mon côté, comme Pol' uX je n'ai pas de téléphone portable, par contre j'ai gardé un téléphone fixe pour communiquer avec les moins geeks dans la famille. Pour le reste de mes contacts, c'est le mail et XMPP qui sont les canaux de prédilections (tous les deux via des services auto-hébergés).

            Ça commence à être un peu sportif pour certains services, en particulier la banque, mais pour l'instant c'est encore gérable.

        • [^] # Re: Et aussi varier les adresses

          Posté par  . Évalué à 1.

          C'est intéressant. On développe notre gestionnaire de bénévoles, et on a comme besoin d'utiliser le mail comme login. Parce qu'un identifiant, les gens le perdent, et passent leur temps à faire "récupérer l'identifiant par mail", ce qui au final, nous fait de la perte de bénévoles :'(

      • [^] # Re: Et aussi varier les adresses

        Posté par  . Évalué à 3.

        Ca serait limite un truc à imaginer. Tu vas sur ton site, tu met ton mail, et tu reçois dans les 2minutes un lien valide de connexion. Tu cliques sur "logout" quand tu as fini.

        Ça existe déjà. Quand tu te logges sur https://console.scaleway.com/ tu as l'option de login via un "magic link" envoyé par email.

    • [^] # Re: Et aussi varier les adresses

      Posté par  (site Web personnel) . Évalué à 3. Dernière modification le 06/01/21 à 13:34.

      Après comme seule utilisatrice de l'ordinateur, je n'ai pas de mot de passe pour Firefox ni pour Thunderbird.

      Le soucis de ça c'est qu'un ver ou un trojan peut donc facilement en copier le contenu : il est en accès libre dans ~/.mozilla/firefox/*/{key4.db,logins.json} (idem avec thunderpoulet et sous bricosoft, mutatis mutandis).

      Adhérer à l'April, ça vous tente ?

    • [^] # Re: Et aussi varier les adresses

      Posté par  (site Web personnel) . Évalué à 2.

      Il reste, évidemment, le truc consistant à ne pas retenir le mot de passe et à la réinitialiser à chaque fois qui peut être très pratique.

      Liberapay a eu la bonne idée de prévoir ça dès le début : on peut chez eux avoir un compte sans mot de passe, et qui permet de se connecter via un lien à usage unique envoyé par mail à la demande.

      Bien sûr ça demande d'avoir une boîte mail bien protégée, mais ça c'est essentiel dans tous les cas ;)

    • [^] # Re: Et aussi varier les adresses

      Posté par  (site Web personnel) . Évalué à 2.

      Après comme seule utilisatrice de l'ordinateur, je n'ai pas de mot de passe pour Firefox ni pour Thunderbird.

      Gaffe si tu utilises une version récente de Thunderbird avec une clé GPG, celle-ci sera déchiffrée automatiquement au lancement de Thunderbird sans aucune action supplémentaire de ta part. Pour ma part c'est ce qui m'a (enfin) fait mettre en place un mot de passe au lancement de Thunderbird, après avoir ragé face à mon écran une dizaine de minutes quand je me suis rendu compte de ce qui venait de se passer ;)

  • # intégration au navigateur

    Posté par  . Évalué à 2.

    J'ai lu dans plusieurs commentaires qu'un problème de Keepass serait l'absence d'intégration au navigateur, et que ce serait le frein à son adoption par la famille toutlemonde.
    Je ne connais pas Keepass mais j'utilise KeepassXC depuis au moins un an et l'intégration au navigateur via l'extension KeepassXC-Browser est tout à fait satisfaisante. Du moins je ne vois pas ce qu'on pourrait en attendre de plus.
    L'autre problème évoqué au sujet de Keepass est le fait de devoir gérer soi-même les copies de la base et leur synchronisation. La mienne est dans un dossier synchronisé automatiquement sur Nextcloud, ça marche aussi bien sur les 3 PC que j'utilise que sur mon smartphone.
    Du coup je ne comprend pas bien les limitations évoquées, Keepass est-il si différent de KeepassXC, y a-t'il des raisons que j'ignore de ne pas utiliser KeepassXC ou son extension pour navigateur ?

  • # Ce que je n'ai pas résolu...

    Posté par  . Évalué à 2.

    …c'est comme modifier tous mes mots de passes à un instant T.

    Le password manager et les mots de passes uniques et le plus long possibles partout, je maitrise c'est bon. Par contre j'aimerai pouvoir les changer sans avoir à me logger manuellement partout. Et ça pour l'instant c'est compliqué. Alors en attendant j'essaie au minimum de faire du nettoyage régulier. Genre de temps en temps je vais dans mon password manager et vais voir si j'ai des comptes que je n'utilises plus. Si par exemple c'est un shop en ligne et que mon dernier achat date de plus de 2 ans, je m'en fous je n'ai de toute façon plus de garantie pas besoin de garder mon historique des factures, autant supprimer ce compte "fantôme". Alors je passe par la procédure de suppression de compte. Mais bon c'est très rébarbatif et un peu chronophage.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.