Bonjour Nal,
Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas trop quoi faire.
Des couples login/pass, j'en ai des stocks entiers. Et ça va depuis le site linuxfr (vous connaissez? c'est un très bon site) en passant par des forums techniques, le site EdF pour payer mes factures, mon prestataire de santé, des webmails, boobpedia, etc etc.. Comme je suis un utilisateur concerné par la sécurité de mes données, je n'utilise pas le même couple login/pass sur tous les sites (mettre une petite auréole au dessus de ma tête et un petit coq qui fait cocorico derrière moi dans le soleil levant).
J'ai trouvé 247 méthodes pour stocker les mots de passe. Généralement on conseille:
- tout stocker dans le navigateur. Pour cela, il faut utiliser le même navigateur tout le temps. J'ai un ordi au boulot, un chez moi + un portable + un smartphone, avec opera, Firefox et Chrome. C'est pas jouable
- utiliser un logiciel de stockage de mot de passe comme keeppass etc.. Je trouve ça pénible, et le côté multisystème n'arrange rien
- avoir une bonne mémoire. C'est dommage, mais quand j'étais petit, on m'avait donné le choix entre un gros sexe et une bonne mémoire et je ne me souviens plus de ce que j'ai choisi.
- Noter tout ça sur un papier avec un crayon (ça se trouve encore dans certaines boutiques d'antiquité. Ca ne consomme pas de piles, ça se backupe facilement et ça ne fait jamais de kernel panic)
Bref. Je n'ai rien trouvé de vraiment pratique, alors je vous soumet ma solution.
J'ai trié les sites webs selon leur importance:
- vital (linuxfr, webmail)
- important (autres sites)
- tout venant (forum à inscription obligatoire, etc..)
Les sites vitaux, je connais le mot de passe.
Les sites importants ont tous un système de récupération de mot de passe oublié. Lorsque ma mémoire fait défaut, je coche l'option et zou, direction webmail et login sur le site visé.
Les autres, j'utilise des one time password avec des @mail jetables comme il en existe tant.
c'est finalement la solution la plus rapide et la plus pratique, qui marche partout, et qui ne me laisse pas locké dehors.
J'ai l'impression d'avoir complètement détourné la sécurité des sites webs: leur mot de passe est inutile, et je détourne la fonction de récupération de pass en login. La sécurité repose donc uniquement sur mon webmail.
Et vous, comment faites vous?
# pareil ou presque
Posté par Nicolas Boulay (site web personnel) . Évalué à 5.
Sur les site, dont je me fous, je mets le même mots de passe. Les trucs important que l'on utilise pas souvent, j'utilise un papier (genre le compte admin pour un gestionnaire de domaine).
"La première sécurité est la liberté"
[^] # Re: pareil ou presque
Posté par arnaudus . Évalué à 10.
Perso, j'ai une méthode foireuse : je fais tourner les mots de passe. Pour les trucs importants (les mails du boulot, etc), je change le mot de passe de temps en temps. Du coup, le nouveau devient "méga-secret", et je recycle les anciens pour les trucs un peu moins importants, etc.
Le problème, c'est quand quand j'essaye de me logguer à un site web, du coup, je fais défiler la série de mots de passe tant que ça marche pas. J'ai toujours prévu de devenir méchant un jour, et de créer un site bidon qui ne fait que demander des couples login/password sans jamais te laisser rentrer.
[^] # Re: pareil ou presque
Posté par KiKouN . Évalué à 2.
Il y a bien déjà des sites de phishing qui stocke les mots de passe en plus de ne pas de laisser entrer.
[^] # Re: pareil ou presque
Posté par arnaudus . Évalué à 3.
J'avoue que je ne sais pas comment fonctionnent les sites de phishing, j'imaginais qu'ils te laissaient entrer avec n'importe quel couple login/passwd.
# Variante
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
J'utilise une variante avec un mail "jetable persistant" quand c'est possible (yopmail.com). Comme ça, je peux aussi utiliser la méthode du "j'ai oublié un mot de passe" aussi pour ceux là.
# le site EdF
Posté par Arthur Geek (site web personnel) . Évalué à 8.
Hors-Sujet, mais tout le monde a-t-il autant de problèmes que moi avec le site EDF? Dès que j'ai quelque chose à y faire (modifier une coordonnées, saisir un relevé, récupérer une info…), je dois batailler un moment avant qu'il ne tombe en marche. C'est presque systématique.
Prochainement, je vous proposerai peut-être un commentaire constructif.
[^] # Re: le site EdF
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
J'ai la même expérience utilisateur que toi! J'espère que les centrales sont mieux gérées…
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: le site EdF
Posté par nonas . Évalué à 2.
En ce moment j’aime beaucoup le « nous vous confirmons votre paiement de montant_de_la_facture_précédente € », euh ? ah non, c’est bon, c’est le montant de la facture actuelle qui a été prélevé…
[^] # Re: le site EdF
Posté par cfx . Évalué à 2.
Si mes souvenirs sont bons, le comble c'est que le site d'EDF n’accepte pas les @ dans les mots de passe.
[^] # Re: le site EdF
Posté par cram51 . Évalué à 9.
J'ai eu une conseillère un jour au téléphone et je lui ai fait remarquer que leur site web était en platre. Elle m'a répondu : "Je comprends pas tout semble fonctionner normalement".
J'en ai donc déduit que le non fonctionnement du site web était la norme.
[^] # Re: le site EdF
Posté par Arthur Geek (site web personnel) . Évalué à 4.
Bon, vous me rassurez, je commençais à penser que j'étais visé personnellement.
Prochainement, je vous proposerai peut-être un commentaire constructif.
# Algo
Posté par wilk . Évalué à 6.
J'ai un algo en tête pour générer/retrouver un mot de passe en fonction du nom du site. Ainsi tous les mots de passes sont différents mais je les retrouve automatiquement. En local j'ai un petit script pour les calculer à ma place, en dehors je fait mon petit calcul dans la tête.
Comme genre d'algo ça peut être je prend le nombre de lettre du nom du site, je le multiplie par 42, je prend les lettres de chaque chiffres puis le nombre de voyelles etc… Il faut prendre le temps de concocter un petit algo qui ne soit pas trop simple mais pas trop compliqué non plus.
Le plus embêtant c'est les sites où on est restreint, par exemple on n'a pas toujours la possibilité d'utiliser les signes. Généralement majuscules/minuscules et chiffres c'est accepté partout et la combinaison des 3 me semble assez robuste. Pour les exceptions je les notes en clair, ça n'indique pas assez de renseignements pour le cacher, ex edf : pas de tirets.
[^] # Re: Algo
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 10.
Même chose ici, avec trois classes de mots de passe selon le sérieux du service qui me le demande : je commence par essayer avec un algo pour construire des mots de passe plutôt solides, puis si c'est refusé à cause de contraintes débiles je passe à une classe inférieure de mot de passe, et ainsi de suite.
Le cas où j'ai dû dégrader le plus mon mot de passe, c'est ma banque, qui demande que ce soit exclusivement des chiffres : le résultat est comme demandé un mot de passe de merde.
[^] # Re: Algo
Posté par Renault (site web personnel) . Évalué à 6.
Pour ma banque c'est pareil mais comme tu n'as le droit qu'à 3 essais pour un code à 6 chiffres, il est peu probable qu'ils tombent bons…
La limitation du nombre d'essais me semble plus pertinente que des mots de passes à rallonge que tout le monde oublie.
[^] # Re: Algo
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 19 juin 2014 à 14:47.
C'est pertinent, oui, tant que tu ne te fait pas pomper ta base de données (les "mechants" peuvent alors tester autant de fois qu'il veulent, et 6 chiffres, c'est très très rapide à faire).
A faire que si ta base est très très bien protégée (donc que tes admins font plus de choses que ceux de Twitter pour ne prendre qu'un exemple de "gros" non bancaire qui se loupe)
[^] # Re: Algo
Posté par steph1978 . Évalué à 1.
[^] # Re: Algo
Posté par jben . Évalué à 3.
Tu plaisantes j'espère ?
Je récupère le sel, qui est pas utilisateur en même temps que la base. Pour chaque utilisateur, je bruteforce connaissant le sel, chez moi, avec mon vieux processeur je fais 10⁵ hash/seconde, bref en espérance 5 secondes pour avoir le mot de passe d'un utilisateur.
Alors c'est vrai que qu'on ne peux pas travailler de manière globale, et qu'on doit travailler utilisateur par utilisateur, mais ça me parait un peu faiblard de baser la sécurité là dessus.
Ça me fait penser aux incompétents qui anonymisent une base de donnée de faisant un
hash(nom.prenom)en fournissant à coté la liste des(nom,prenom)s.[^] # Re: Algo
Posté par Dr BG (site web personnel) . Évalué à 4.
C'est bien si personne ne s'amuse à bloquer ton compte. Ça peut vite arriver si une personne fait une erreur dans son numéro de compte et que ça tombe par malchance sur le tien.
Il y a quelques années, mon accès était régulièrement bloqué, il fallait que je passe à l'agence pour le réactiver.
[^] # Re: Algo
Posté par claudex . Évalué à 4.
Soit tu fais une limite globale, et dès que quelqu'un connaît ton user, il peut s'amuser à bloquer ton login. Soit tu fais un limite par IP mais n'importe qui avec un botnet peut contourner ça et dès qu'un collègue se plante dans l'entreprise, tout le monde derrière le NAT est impacté. Ce qui se fait, c'est un captcha au bout de 3 essais foireux, c'est loin d'être parfait pour lutter contre le bruteforce mais ça doit être le seul qui n'impacte pas trop les utilisateurs.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Algo
Posté par steph1978 . Évalué à 2.
avec un compteur "ip+user", tu n'impacte pas les users derrière un NAT.
et tu peux avoir un compteur pour juste "user" très haut, genre 100, pour préserver du botnet.
captcha c'est un plus mais peu résistent à un réseau criminel : entre les algos qui en cassent la majeur partie et les humains qui font ça pour une poignée de cents, ça casse vite.
[^] # Re: Algo
Posté par SamG . Évalué à 3.
Pourquoi ne pas utiliser cette solution qui est assez portable : http://www.passwordmaker.org
# Mémoire
Posté par Spack . Évalué à 10.
Ben si tu as choisi d'avoir une bonne mémoire, je pense que tu t'es fais arnaquer…
[^] # Re: Mémoire
Posté par freem . Évalué à 3.
Ben non, il se rappelle qu'on le lui a demandé, donc il a dû choisir ça.
[^] # Re: Mémoire
Posté par kursus_hc . Évalué à 5.
Je pense que c'est précisément ça qui est drôle.
# Même tronc commun mais variantes
Posté par Crash . Évalué à 4.
J'ai résolu ce problème en utilisant un même tronc commun que j'ai appris par cœur et en rajoutant quelques lettres / chiffres en fonction du nom du site sur lequel je me trouve.
Imaginons que mon tronc commun soit azert•¿∫ÎË et que je suis sur Linuxfr, mon mot de passe pourrait ressembler au suivant : azertL•¿∫ÎFRË.
Cependant, il m'arrive d'avoir au final des mots de passes similaires entre certains sites mais c'est assez rare. Au final, il suffit d'augmenter le nombre de caractères à prendre dans le nom de domaine pour réduire au maximum les doublons. À noter aussi qu'au début j'avais du mal à bien gérer les sous-domaines, j'étais incapable de me rappeler si je prenais ou non en compte cela pour mes passwords .
[^] # Re: Même tronc commun mais variantes
Posté par alendroi . Évalué à 3.
Je fais la même chose que toi pour la définition de mes mdp pour ma mémoire :
- même convention pour le choix d'un mdp
- tronc commun
- partie variable dépendant du service où je m'authentifie
J'utilise un stupide fichier texte pour stocker tout ça chiffré avec ccrypt que je peux dupliquer à l'infini : ça évite de sortir les usines à gaz en provenance du cloud.
En conclusion, efficace et pas cher, c'est le fichier texte que je préfère.
Dire que vous vous n'en avez rien à faire de la vie privée parce que vous n'avez rien à cacher, c'est comme dire que vous n'en avez rien à faire de la liberté d'expression parce que vous n'avez rien à dire. Edward Snowden
# Keepassx + SparkleShare
Posté par Jérôme Flesch (site web personnel) . Évalué à 6.
Des fois que ça en inspire d'autres, voici la solution pour laquelle j'ai opté:
De base, j'ai opté pour Keepassx. Pour ce qui est de travailler sur plusieurs postes, j'ai résolu le problème en utilisant SparkleShare. Il synchronise automatiquement ma base de mots de passe sur la plupart de mes postes. Vu que SparkleShare utilise Git comme backend, j'ai aussi pu me mettre une copie de ma base de mots de passe sur mon téléphone Android : Il y un client Git/Android appelé agit, et KeePassDroid pour lire et modifier la base de données de mot de passe. Le seul défaut est que je dois faire la synchro de la base sur mon téléphone à la main de temps en temps.
[^] # Re: Keepassx + SparkleShare
Posté par gallarus . Évalué à 1.
Je fais à peu près la même chose mais avec dropbox au lieu de sparkleshare. Je le faisais avec owncloud avant mais dropbox à l'avantage d'être interfacé avec keepass2android.
[^] # Re: Keepassx + SparkleShare
Posté par Atem18 (site web personnel) . Évalué à 1.
Pareil ici et ça marche plutôt bien. Bon par contre, il vaut mieux éviter de mettre un fichier monmotdepassedekeepassx.txt dans la dropbox.
[^] # Re: Keepassx + SparkleShare
Posté par dyno partouzeur du centre . Évalué à 0.
Pareil ici. La solution keepass+dropbox à l'avantage de marcher sous linux, windows, android et ios (et sans doute macosx maisje n'utilise pas).
[^] # Re: Keepassx + SparkleShare
Posté par LeMagicien Garcimore . Évalué à 1.
Keepass2android support webdav, tout comme Owncloud. J'utilisais ça avant de passer a Seafile et ça marchait parfaitement.
[^] # Re: Keepassx + SparkleShare
Posté par Serge Julien . Évalué à 2.
Pareil pour moi, mais avec SpiderOak à la place de SparkleShare. Il y a un client SpiderOak pour Android, et avec KeePassDroid ça roule.
# Firefox Sync + Keepassx
Posté par barmic . Évalué à 5.
Moi j'utilise firefox sync (avec des mots de passe chiffrés) et keepassx. J'utilise Firefox de partout.
Keepassx me sert pour générer mes mots de passe et pour pouvoir les voir de partout.
J'aimerais bien ajouter tout ce qu'il y a dans keepassx dans le gestionnaire de mot de passe de firefox (gestion du format kdb, organisation des mots de passe par groupe avec des méta données en plus (comme la date de validité), historique des mots de passe,…).
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Firefox Sync + Keepassx
Posté par paco81 . Évalué à 1. Dernière modification le 19 juin 2014 à 13:40.
Y a-t-il un intérêt à utiliser les deux?
Perso, j'utilise le raccouci global de keepass(x), qui la recherche du couple login/mot de passe correspondant à la fenêtre active, et fait la saisie tout seul. Et en bonus, ça marche dans un terminal \o/
Et au passage, je hais les sites qui nécessitent de s'authentifier par un clavier virtuel, parce que ça rend impossible la saisie automatique, et ça oblige à avoir un pauvre mot de passe du type "468935" plutôt que de "4ngWq/&?l+Y6NwWo".
[^] # Re: Firefox Sync + Keepassx
Posté par barmic . Évalué à 3.
Je ne connais pas la fonction dont tu parle. Qu'est ce que c'est/comment ça fonctionne ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: Firefox Sync + Keepassx
Posté par paco81 . Évalué à 2. Dernière modification le 19 juin 2014 à 15:31.
Dans keepassx l'option est dans les préférences>avancé, "raccourci global de saisie automatique".
Tu places le curseur dans le champ login, tu actives le raccourci global, keepass détecte le couple login/mdp en fonction du titre de la page courante de ton navigateur (ou de ton terminal, ou toute autre application - j'ai activé l'option "utiliser le titre de l'entrée…" dans les préférences ; par exemple il va sélectionner l'entrée linuxfr si le titre de la page courante contient "linuxfr"), puis va saisir (login)(tab)(mdp)(enter)
[^] # Re: Firefox Sync + Keepassx
Posté par paco81 . Évalué à 0.
Plus d'infos ici pour keepass (la fonctionnalité est quasiment identique sous keepass et keepassx)
http://keepass.info/help/base/autotype.html
[^] # Re: Firefox Sync + Keepassx
Posté par Xavier . Évalué à 1.
Hello,
moi c'est plutot Master Password + firefox sync + apg
# authentification par certificat
Posté par Adrien . Évalué à 4.
À ce propos, il me semble qu'une solution assez simple existe pourtant : l'authentification par certificat.
Il me semble que c'est nettement mieux sécurisé, pas forcément moins simple (finit la multitude de mots de passe à stocker/retenir), mais extrêmenent peu implémenté. Le seul exemple que je connaisse est le CNRS.
Sauriez-vous pourquoi ?
[^] # Re: authentification par certificat
Posté par Anonyme . Évalué à 4.
C'est sans doute plus simple d'expliquer à des personnes qui n'ont pas idée de la "sécurité informatique" que mettre un mot de passe (qui du coup peut être simple et court : "bichon", par exemple) que de dire qu'il faudra se trimballer avec le certificat sur tous les postes pour pouvoir se connecter.
Mais si on était dans un autre monde et que les mots de passe n'avaient jamais existés, on aurait des technologies de synchronisation de certificats mieux foutues reposant sur un accès par mot de… hé merde.
Bon ben, reste plus que l'identification par la rétine.
[^] # Re: authentification par certificat
Posté par Adrien . Évalué à 3.
Typiquement je pense naïvement à un système similaire que certaines banques utilisent : elles fournissent une zapette qui donne un mot de passe pour accéder aux comptes.
On pourrait tout à fait imaginer un système de smartcard ou clé USB. Un organisme pourrait délivrer un certificat, et quand on veut l'utilise hop on branche le machin et voila. De l'extérieur, ça ne me semble pas vraiment compliqué à mettre en place dans une grosse organisation, et bien plus sécurisé. Typiquement pour des données importantes genre les impots, la caf, EDF, les banques, etc.
Le problème étant que c'est pas fait. Pourquoi ?? Juste parce que les DSI pensent qu'il n'y a que le système de mot de passe qui fonctionne avec les utilisateurs ? ou j'ai loupé un truc ?
[^] # Re: authentification par certificat
Posté par totof2000 . Évalué à 4.
… compatible uniquement Windows et MAC. Et avec un peu de bol, ce serait compatible Linux mais les utilisateurs de xBSD seraient lésés. Non, merci.
[^] # Re: authentification par certificat
Posté par dyno partouzeur du centre . Évalué à 2.
http://geekfault.org/2011/04/14/yubikey-la-petite-cle-qui-assure/ il me semble que ça utilise l'USB hid (la norme pour les claviers) donc c'est compatible avec quasiment tout. Le problème c'est que ça n'est utilisé par quasiment aucun site.
[^] # Re: authentification par certificat
Posté par steph1978 . Évalué à 1.
C'est surtout qu'il t'en faudrait une par site : ça va te faire un gros trousseau.
Remarque gros trousseau petite… mémoire.
[^] # Re: authentification par certificat
Posté par dyno partouzeur du centre . Évalué à 1.
Pourquoi une par site ? C'est une authentification décentralisée, un peu comme Facebook ou oauth.
[^] # Re: authentification par certificat
Posté par vv222 (site web personnel) . Évalué à 1.
Tu peux expliquer ce que tu appelles une authentification décentralisée ?
Les termes "décentralisé" et "Facebook" dans la même phrase m’ont provoqué un court-circuit neuronal, je suppose donc qu’il doit y avoir quelque chose que je n’ai pas compris.
[^] # Re: authentification par certificat
Posté par barmic . Évalué à 4.
/décentralisé/externalisé/
je présume
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: authentification par certificat
Posté par claudex . Évalué à 6.
En fonction des modèles ça peut coûter très cher (il me semble qu'il y a que la Yubikey qui est abordable). Et si tu te fait voler ton truc et qu'il n'est pas désactivé tout de suite, n'importe qui peut se logger (sauf à ajouter un mot de passe en plus (c'est d'ailleurs se fait ma banque: mot de passe + lecteur de carte + code pin de la carte pour avoir un nombre).
Sans compter les ennuis logistiques lors de la mise en place et l'utilisation (si quelqu'un a oublié son appareil, il ne peut plus bosser (souvent dans les boîtes, si tu n'as pas ton badge, tu peux quand même rentrer))
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: authentification par certificat
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Tu dois aussi pouvoir éditer une carte rempli de chiffre dans un tableau. Le site web demande ensuite des combinaison, genre 2 ou 3 adresses.
Mais le problème est le même : ne pas perdre ce papier.
Les impots et radiospares fonctionnent aussi avec un numéro uniquement marqué sur les envois papiers.
"La première sécurité est la liberté"
[^] # Re: authentification par certificat
Posté par Frédéric Massot (site web personnel) . Évalué à 1.
Il faudrait que tous les claviers et les tablettes soient vendus avec un lecteur de carte intégré.
[^] # Re: authentification par certificat
Posté par barmic . Évalué à 3.
L'un empêche pas l'autre. Tu peut chiffrer le certificat.
Si parce qu'il faut une très bonne rigueur pour gérer correctement les certificats ne pas les laisser traîner, avertir qu'un certificat est compromis, renouveler périodiquement les certificats, etc.
En vrai c'est utilisé dans des environnement assez cloisonnés avec des certificats stockés sur des smartcards.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: authentification par certificat
Posté par Adrien . Évalué à 4.
C'est pareil pour les mots de passe : ne pas les mettre n'importe où, renouveller périodiquement, mais aussi avoir un mot de passe sécurisé (donc difficilement mémorisable), avoir des mots de passe différents à chaque fois…
Si on fait n'importe quoi avec les mots de passe, on peut le faire avec des certificats. Mais au moins, ça corrige les problèmes de mots de passe triviaux et de multitude de mots de passe à retenir.
[^] # Re: authentification par certificat
Posté par totof2000 . Évalué à 4.
Ca doit être pour ça que les impots ont décidé de changer de méthode d'authentification ….
A une époque c'était plutôt stable, mais je me rappelle avoir du batailler pour m'authentifier : a une époque, chaque année, la méthode d'authentification changeait et il fallait se réauthentifier (avec son No de télédéclarant, et tout les choses qui sont sur papier, mais que je n'ai jamais à portée de main parce que justement j'ai choisi d'utiliser l'accès internet pour ne pas avoir à le retrouver).
[^] # Re: authentification par certificat
Posté par ®om (site web personnel) . Évalué à 2.
En plus, de mémoire, ça n'avait absolument aucun intérêt, il n'y avait aucune "authentification" (il suffisait de cliquer sur un bouton pour "créer ton certificat", de facto valide).
blog.rom1v.com
[^] # Re: authentification par certificat
Posté par totof2000 . Évalué à 2.
Je ne crois pas : je me rappelle que, lorsque tu devais générer ou regénérer un certificat, il te demandait certaines infos qui étaient soit sur la déclaration papier (plusieurs numéros) pour générer le certificat. Celà dit, il y a peut-être eu une époque telle que tu la décris, mais si c'est le cas je ne l'ai pas connue.
# Ma solution a moi
Posté par chimrod (site web personnel) . Évalué à 6.
Un fichier texte de type
Quand j'ai besoin d'un mot de passe, je fais un
grep siteX mon_fichier. En gros je n'ai aucune protection sur ce fichier.Par contre, ce fichier n'est disponible que sur mon serveur perso, via ssh (configuré uniquement par clef publique). En gros, c'est ma clef ssh qui me sert à débloquer l'accès au fichier et donc d'accéder aux mots de passe.
Je préfère me baser sur la sécurité de ssh plutôt que d'implémenter moi même une solution bancale, et ça me permet de récupérer mes mots de passe sur n'importe quel PC (il faut avoir une connexion internet, mais c'est le minimum si on souhaite un mot de passe pour un site donné…)
[^] # Re: Ma solution a moi
Posté par petit (site web personnel) . Évalué à 6.
Sinon dans Vi tu peux faire un « :X » pour avoir un fichier chiffré.
Par contre, je ne connais pas le chiffrement par défaut (mais manifestement il peut être changé).
Mes 0,1µ bitcoins
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Ma solution a moi
Posté par gouttegd (site web personnel) . Évalué à 2.
Par défaut c’est le même algorithme (peu sûr) que celui utilisé par PkZip. Il peut être changé pour Blowfish via l’option
cryptmethod.Pour Vim, le plugin gnupg.vim offre une fonctionnalité similaire.
# récupération du mot de passe
Posté par Psychofox (Mastodon) . Évalué à 6. Dernière modification le 19 juin 2014 à 13:59.
Moi ce qui m'emmerde, ce n'est pas d'avoir 250 couples login/passphrase. Je trouve que keepass fait ça très bien. Ma base "maître" reste sur mon smartphone et je la synchronise régulièrement sur le pc du boulot et de la maison. Je reste assez convaincu que si je perds mon smartphone il ne sera probablement par récupéré par quelqu'un capable d'avoir la patience et l'infra pour déchiffrer la base et je ne crois pas être une cible privilégiée par les services secrets. Le plus embêtant, c'est que pour avoir une sécurisation décente il faut activer le lockage de la base keepass dès que l'écran est locké.
Non ce qui me dérange, c'est la façon dont mes mots de passe pourraient être récupérés/modifiés. La très grande majorité des sites permettent de récupérer son mot de passe par email. J'ai certe plusieurs adresses email, mais je ne peux décemment pas créer une adresse par compte. Ce qui veut dire que si quelqu'un arrive à avoir accès à un de mes comptes email il pourra "me voler" par la même occasion un nombre important de comptes. Alors pour éviter ça j'essaye d'effacer systématiquement tout mail de confirmation, abonnements à des newsletters ou mail automatique créés par ces sites, ce qui permet d'éviter qu'un intrus puisse deviner quels comptes j'ai créé avec quelle adresse mais ça reste un beau bordel.
Les "security question", j'essaye d'éviter. Même en restant un poil discret sur sa vie privée ça ne me semble pas hyper sûr.
Et ça c'est sans compter sur ce qu'on peut faire avec quelques coups de fils et un peu de social engineering grâce à des procédures pas forcément très sûres.
Naoki Hiroshima - How I lost my $50'000 twitter username
[^] # Re: récupération du mot de passe
Posté par Psychofox (Mastodon) . Évalué à 3.
Une autre histoire qui montre le danger du "chainage des comptes":
http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/
[^] # Re: récupération du mot de passe
Posté par Moonz . Évalué à 4.
Tu peux le faire sans problème si tu gères toi-même ton serveur mail.
Et ça a l’énorme avantage de te dire qui a leaké (intentionnellement ou non) ton adresse mail :)
Perso je me suis même acheté deux noms de domaine, un en .name que je communique qu’à mes connaissances IRL, et un en .net pour lequel j’ai un username par site.
[^] # Re: récupération du mot de passe
Posté par Manozco . Évalué à 1.
J'ai voulu faire ça à une époque, mais ce que je voulais par dessus tout c'est avoir un système de création automatique d'adresses mail
Genre je rentre example@name.com sur un site (alors que cette adresse n'existe pas) et au premier mail reçu, elle est créée
Mais j'ai pas trouvé de système simple pour le faire
Est ce que tu as mis en place un système comme ça, ou est ce que créée tes adresses avant une inscription?
[^] # Re: récupération du mot de passe
Posté par Moonz . Évalué à 7.
Pour l’instant j’ai fait simple :
[^] # Re: récupération du mot de passe
Posté par ziliss . Évalué à 3.
Il y a le service SpamGourmet.com qui te permet justement d'utiliser des adresses qui n'existent pas encore, avec limite automatique d'email reçu par adresse.
Une description par SebSauvage: http://sebsauvage.net/rhaa/index.php?2008/09/10/08/29/31-choper-les-cafteurs
[^] # Re: récupération du mot de passe
Posté par Psychofox (Mastodon) . Évalué à 2.
J'ai un domaine à moi (enfin plusieurs mais passons) et je le fais déjà mais avec des alias plutôt que de vrais boites. Mais ça c'est parce que j'ai justement pas envie de gérer mon propre serveur de mail.
[^] # Re: récupération du mot de passe
Posté par Zenitram (site web personnel) . Évalué à 2.
Ou que tu as un hébergeur doué à la base.
Plus sign has a very useful usage in lots of mail providers.
[^] # Re: récupération du mot de passe
Posté par Moonz . Évalué à 3. Dernière modification le 20 juin 2014 à 09:02.
Il y a encore des spammeurs assez stupides pour ne pas avoir ajouté un
s/\+.+@/@/à l’envoi d’un mail ?[^] # Re: récupération du mot de passe
Posté par barmic . Évalué à 3.
Tu as des stratégies plus malines où tu ne considère pas le « . » comme significatif donc prenom.nom@host == prenomnom@host == p.renomnom@host, etc (oui c'est ce que j'ai gmail).
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: récupération du mot de passe
Posté par Moonz . Évalué à 2.
À moins de te retrouver avec des mails genre .f....o..o.......@gmail.com, tu risques d’avoir du mal à faire un mail par site juste en utilisant la non-significativité du "." :)
(et le problème reste le même, si une règle est connue, elle sera connue des spammeurs, tandis que pour qu’un spammeur apprenne que toto@example.name et tata@example.net arrivent dans la même boîte…)
[^] # Re: récupération du mot de passe
Posté par barmic . Évalué à 3.
Tu peu le combiner avec des alias et de ton coté les rendre significatifs (tu n'accpete que les mails sur m.i.chel.barret@host), mais on est d'accord c'est une solution du pauvre face à un catch-all.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: récupération du mot de passe
Posté par KiKouN . Évalué à 2.
Ha je comprends mieux les inscriptions en masse sur des forums avec des adresses en aue.rus.it.er.nsut@gmail.com a.uer.usit.ernsu.t@gmail.com au.erus.iter.n.sut@gmail.com au.e.r.usit.ernsu.t@gmail.com ou au.eru.s.i.t.ernsut@gmail.com
# mot de passe à la con
Posté par yohann (site web personnel) . Évalué à 5.
moi j'utilise le bout de js de alacon: http://motdepassealacon.com/, reposer chez moi : http://password.rebattu.fr avec ma propre seed, j'ai un peu galérer au début pour savoir ce que je prenais comme nom de site, et j’utilise maintenant uniquement le domaine principale sans tld, du coup j'ai le même mot de passe pour linuxfr.org et truc.linuxfr.de mais ça ne me pose pas de problèmes. ça me génère des mdp impossible à retenir, mais chez moi il sont enregistrés dans le navigateur et pas chez moi, je fais un tour sur mon site. la solution étant entièrement en js, ni ma passphrase ni mon mot de passe généré ne transite sur le réseau.
# Test de fiabilité
Posté par ®om (site web personnel) . Évalué à 6.
Une fois que vous avez choisi un mot de passe, n'oubliez pas de vérifier en ligne s'il est fiable :
http://www.inutile.ens.fr/estatis/password-security-checker/index.php
:-p
blog.rom1v.com
[^] # Re: Test de fiabilité
Posté par Zarmakuizz (site web personnel) . Évalué à 7.
Je suis tombé par le passé sur un site du genre qui créait une rainbow table avec ton mot de passe. La première fois que tu rentrais un mot de passe ou un hash d'un mot de passe qu'il ne connaît pas "c'est bon, il est cool", toutes les autres fois "ah non c'est pas sécurisé".
Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/
# gpg
Posté par Damien Thébault . Évalué à 4.
De mon côté j'utilise gpg: j'écris les informations (login, mdp, …) dans un fichier texte, je le chiffre avec gpg avec ma clé publique, je supprime le fichier texte et voilà.
C'est totalement portable, je peux me connecter en ssh de l'extérieur et récupérer n'importe quel mot de passe, etc.
Le backup des fichiers chiffrés est sans problème, seul le backup de la clé est un peu plus compliquée, mais c'est déjà fait pour l'email donc rien de plus à faire!
[^] # Re: gpg
Posté par Vroum . Évalué à 3.
Pour la simplicité en mode ligne de commande, il existe aussi pass:
http://www.passwordstore.org/
# lastpass
Posté par petux . Évalué à 1.
J'utilise lastpass.com (il y a un plugin pour chrome et firefox, et une appli android).
Le principe est que le seul mot de passe que l'on doit retenir est celui de lastpass.
Et ce mot de passe final, je l'ai généré à partir de ce site : http://www.passwordcard.org/fr
L'avantage : plus de mot de passe à retenir, lastpass remplit les champs tout seul !
L'inconvénient : Je ne connais plus aucun mot de passe :( si lastpass crash benh … j'irai me promener ;)
[^] # Re: lastpass
Posté par barmic . Évalué à 4.
Tu n'a pas moyen de faire un export régulier des tes mots de passe ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: lastpass
Posté par Zenitram (site web personnel) . Évalué à 2.
LastPass export
Lastpass offline access
De rien.
[^] # Re: lastpass
Posté par petux . Évalué à 0.
Évidemment j'exporte de temps en temps (en fait une fois)
Par contre je ne savais pas que les plugins fonctionnaient en offline, donc merci :)
[^] # Re: lastpass
Posté par barmic . Évalué à 2.
Tu sais moi j'ai une solution qui me convient c'est juste que je trouvais bizarre qu'il n'existait pas d'export possible.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: lastpass
Posté par Grégory Soutadé (site web personnel) . Évalué à 4.
Une alternative à lastpass, libre, auto hébergée et qui supporte de multiples clés maîtres (mais compatible Firefox uniquement) => gPass
# La lose
Posté par Sufflope (site web personnel) . Évalué à 10.
La vraie lose, c'est de croire que to lose s'écrit to loose.
[^] # Re: La lose
Posté par barmic . Évalué à 9.
Moi je l'écris Toulouse…
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: La lose
Posté par eingousef . Évalué à 10. Dernière modification le 19 juin 2014 à 16:48.
[ Le Saviez-Vous ? ] À Toulouse ils sont tellement défaitistes que le SSID de la borne wifi du THSF c'est "Borne Toulouse HackerSpace Factory" .
*splash!*
[^] # Re: La lose
Posté par octane . Évalué à 1.
C'est vraiment la loose alors :-)
[^] # Re: La lose
Posté par BFG . Évalué à -1.
Voyez Wiktionary.
[^] # Re: La lose
Posté par Sufflope (site web personnel) . Évalué à 1.
Donc il suffit d'un clampin analphabète qui édite une page de wiki pour donner une parole d'évangile ?
Wi mé dabor g réson
La phrase ci-dessus est correcte par hypercorrection.
# La 4ème classe de sites
Posté par BeberKing (site web personnel) . Évalué à 2.
Le pire, ce sont les sites qui stockent les mots de passe en clair. Dans ce cas mon mot de passe est une insulte destinée à l'admin qui pourrait le lire.
[^] # Re: La 4ème classe de sites
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à 3.
Comment peux-tu savoir si ton mot de passe est stocké en clair ?
Bon, on peut toujours le savoir en demandant une récupération de mot de passe : s'ils renvoient le mot de passe pour rappel au lieu de proposer une procédure de définition d'un nouveau, c'est qu'ils le stockaient en clair, mais ça, ce n'est possible qu'après avoir choisi un mot de passe…
[^] # Re: La 4ème classe de sites
Posté par Dr BG (site web personnel) . Évalué à 4.
Disons que si le mot de passe est renvoyé, alors il est stocké en clair (ou presque). Dans le cas contraire, on n'en sait rien.
[^] # Re: La 4ème classe de sites
Posté par barmic . Évalué à 3.
Quand il demande un mot de passe significativement différent des 15 derniers ?
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
[^] # Re: La 4ème classe de sites
Posté par ckiller . Évalué à -3.
raté http://fr.wikipedia.org/wiki/Bijection_r%C3%A9ciproque
[^] # Re: La 4ème classe de sites
Posté par jben . Évalué à 2. Dernière modification le 20 juin 2014 à 02:43.
Si la bijection réciproque est facile à calculer (du genre ce n'est pas un chiffrement avec une clef non disponible), c'est strictement équivalement à un stockage en clair.
Différencier le stockage via une fonction bijective dont la réciproque est connu et le stockage en clair stricto sensu, c'est caractéristique soit d'une incompétence flagrante soit d'une volonté de nuire. Je te laisse choisir.
[^] # Re: La 4ème classe de sites
Posté par ckiller . Évalué à -3.
Faut oser quand même. Considérer que des mdp en clair dans une base ou dans un fichier, c'est strictement équivalemment à un stockage chiffré bijectif.
Les mecs qui stockent leur mdp sur des bases keepass doivent apprécier.
Et puis, il faut voir le nombre de mot de passe protégé par un hachage avec un simple md5, donc, théoriquement non bijectif, mais qui pour le coup équivaut à un stockage en clair.
Ridicule, j'espère que tu ne code que des applis en php.
[^] # Re: La 4ème classe de sites
Posté par jben . Évalué à 0.
Cher ami,
Tu as du lire la discussion en diagonale, je te pardonne. L'hypothèse de départ était quelque chose comme « si un site est capable de renvoyer son mot de passe à un utilisateur, alors il est stocké en clair ». Là tu distingues le stockage via une bijection dont la réciproque est aisément calculable et le stockage en claire.
Je confirme, distinguer ces deux formes de stockage, c'est de la nuisance au minimum. Les arguments que tu m'invoques, c'est-à-dire possibilité de calculer la réciproque en un temps raisonnable ne sont pas adéquats. Nous sommes dans l’hypothèse d'un site qui renvoie à l'utilisateur son mot de passe.
Crois-tu sérieusement qu'un site qui te renvoie ton mot de passe l'avait hashé et l'a brutforcé rien que pour le le renvoyer ? Moi je n'y crois pas une seconde.
Relis bien le thread auquel tu réponds, et tu comprendras que tu fais preuve de nuisance, à dessein ou non, ça je ne le sais.
Ce que je code est bien plus interessant que des applis.
[^] # Re: La 4ème classe de sites
Posté par ckiller . Évalué à -3.
Ca m'étonnerais
Cette hypothèse est juste fausse, pleine de préjugé et stupide.
Le chiffrement, ca existe.
Je répond sur le sujet en cours, pas la peine de jouer le pédant et de suffisance.
Sans rancune, je te laisse à ton thread d'expert de comptoir.
[^] # Re: La 4ème classe de sites
Posté par jben . Évalué à 2.
Moi aussi vois-tu. Mais il en est ainsi des formules de politesse. De même que quand tu clôtures lettre adressé au service des impôts par « je vous prie, Madame, Monsieur, bla bla bla les plus sincères », tu n'en pense pas un mot, mais tu l'écris. Tu préfereras donc cette version je pense :
Cher contradicteur,
Soit. C'est ton avis, qui ne semble pas partager par tous les intervenants de la discussion.
Oui. Mais pour que le mot de passe puisse t'être envoyé, il faut que la clef de déchiffrement soit accessible par le système automatisé. Nous nous plaçons, depuis le début, dans l'hypothèse d'une compromission du système de traitement automatisé, sinon le fait de discuter du mode de stockage n'aurait point d'intérêt. Dans ce cas, si la base est compromise, la clef de déchiffrement est également compromise, et donc au niveau sécurité, je le répète, c'est équivalent à un stockage en clair.
Peux-tu nous donner des références en matière de sécurité ? Que je sache à qui ne jamais faire confiance.
[^] # Re: La 4ème classe de sites
Posté par Zenitram (site web personnel) . Évalué à 3.
J'ose : si quelqu'un a réussi à choper ta base, c'est qu'il a cassé ta protection du stockage chiffré bijectif, il est passé par ailleurs, avec des droits (avec le mot de passe maitre) qui lui permettent de choper ta base.
Donc en pratique, dans ce cas, c'est strictement pareil : quand l'entreprise se fait trouer (et ça n'arrive pas qu'aux autres), tes pass sont en clair dans la nature.
[^] # Re: La 4ème classe de sites
Posté par ckiller . Évalué à -1.
Rien n'est plus faux.
Arriver à faire un select sur une table dans une table de user via une SQL injection ne signifie pas du tout que la fonction de chiffrement est cassée.
Et dans ce cas, une fonction non bijective n'apporte pas plus de sécurité.
Dans la pratique, beaucoup d'entreprise ignore qu'elle ont été attaquée, et c'est là le premier soucis.
[^] # Re: La 4ème classe de sites
Posté par KiKouN . Évalué à 2.
T'as beau les hasher, tu est admin tu connait les seeds.
Ce qui fait peur, c'est que ça prend 3 min ( 1 pour trouver le top 10000 , 1 pour le script et 1 pour le lancer ) pour trouver 10 à 20 % des mots de passe.
Donc réinitialisation des mots de passe un peu trop facile.
# Si vous n'arrivez pas à retenir vos mots de passe ...
Posté par totof2000 . Évalué à 7.
… envoyez-les moi, je les retiendrai pour vous. Envoyez-moi également (et surtout) vos Nos de carte bleue avec date de péremption, le No à 3 chiffres qui se trouve derrière, les codes PIN. Je les stockerai dans une méga-base hyper sécurisée, imperméable à la NSA et consorts :)
[^] # Re: Si vous n'arrivez pas à retenir vos mots de passe ...
Posté par octane . Évalué à 10.
Je t'ai aidé. Voici les codes PIN du monde entier. (Ph3ar!)
http://pastebin.com/2qbRKh3R
[^] # Re: Si vous n'arrivez pas à retenir vos mots de passe ...
Posté par palm123 (site web personnel) . Évalué à 2.
tu devrais le dire à Christian Estrosi
ウィズコロナ
# connecter vous avec facebook
Posté par modr123 . Évalué à -5. Dernière modification le 19 juin 2014 à 15:35.
comme ça un seul mot de passe a retenir, solution multplateforme meme linux
un autre compte facebook pas le vrai bien sur
[^] # Re: connecter vous avec facebook
Posté par octane . Évalué à 10.
facebook?
# Teampass, une bonne solution...
Posté par Gnublin . Évalué à 0. Dernière modification le 19 juin 2014 à 15:45.
Bonjour,
Perso, je suis en train de tester Teampass, qui à l'air très prometteur. La gestion des utilisateurs est par ailleurs très pratique si on veut déléguer des mots de passe en RO.
De plus, il y a un mode Offlinet et une API.
Gauth,
# Ce que j'aimerais
Posté par Maclag . Évalué à 3.
C'est un système à la keeppass, mais sur un serveur central. Ça serait un service sympa pour owncloud ou d'autres.
Je sais qu'on va me répondre que c'est sacrément dangereux, mais je ne suis pas sûr que correctement fait ça le soit plus qu'avoir 3 ou 4 appareils différents qui stockent tous localement l'intégralité de la base de mots de passe et qui vont sur la toile…
Après, pour reprendre d'autres proposition, on peut faire des catégories: sites critiques (1 mot de passe à rentrer à chaque demande d'accès), sites non critiques (1 mot de passe par session), et pourquoi pas sites dont on se fout: remplissage direct des champs sans poser la moindre question, l'unique intérêt étant de ne pas répliquer la base dans tous les navigateurs (mais bon, vu qu'ils peuvent accéder sans l'utilisateur pour cette dernière catégorie, on n'est pas mieux que ma situation présente).
[^] # Re: Ce que j'aimerais
Posté par Moonz . Évalué à 4.
Il y en a plein :
[^] # Re: Ce que j'aimerais
Posté par LeMagicien Garcimore . Évalué à 2.
Pourquoi pas KeePass + webdav ? Je préfère que le fichier se promène chiffré entre le serveur et le terminal, et que le déchiffrage se fasse localement. Ça évite les problèmes de clefs qui se promènent et de données non chiffrées en mémoire sur un serveur que je maîtrise pas forcement complètement, etc.
# Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . Évalué à 1.
Hello,
De mon côté, je me suis développé un petit JavaScript (que j’héberge chez moi via TLS) qui me permet de construire un mot de passe par site à partir d’un mot de passe maître.
La construction d’un mot de passe pour un site se fait via un sha1(mot de passe maître + protocole + domaine) et ce, répéter plusieurs dizaines de fois pour rendre cela un peu plus robuste en cas de brute force (c’est paramétrable).
Concrètement, je tape mon mot de passe maître sur le site, je clique sur un bookmarklet qui va charger ce script et m’ajoute un lien (generate password) à côté de chaque , je clique dessus et voilà, le mot de passe maître a été remplacé par un mot de passe unique pour ce site.
Le gros avantage de passer par un bookmarklet est que ça fonctionne sur toutes les plateformes (y compris mobile, enfin, pas encore sous Firefox OS car il me faut le copier/coller :-D ).
Enfin, le système ne stocke aucun mot de passe (ce qui lui permet d’être léger) mais il y a quelques limitations du coup :
1/ si le protocole ou le domaine change, le mot de passe généré change,
2/ le mot de passe généré dépend du mot de passe maître et du domaine. Du coup, ce n’est pas possible de changer un mot de passe juste pour un site (il faut changer de mot de passe maître et donc tous les changer),
3/ De la même façon les règles de générations (longueur du mot de passe, alphabet utilisé) est le même pour tous les sites, j’ai donc été obligé de le limiter afin de trouver un ensemble qui marche à peu près partout.
Il y a également un risque dans le cas où un keylogger sur un site renvoie tous les caractères tapées… Il sera alors possible de connaître mon mot de passe maître ce qui craint… (après, c’est une question de confiance et si je n’en ai pas pour un site, j’ouvre la console JavaScript pour voir s’il y a des requêtes qui partent).
Si ça vous intéresse, il y a une page qui explique le projet et vous pourrez jouer avec ici :
http://javascript.training.free.fr/uniquepasswordbuilder/
Le code source est sur https://code.google.com/p/uniquepasswordbuilder/ et il y a des tests unitaires que vous pourrez lancer : http://javascript.training.free.fr/uniquepasswordbuilder/test/uniquePasswordBuilderTest.html
Attention, si vous considérez utiliser ce système, je vous encourage fortement à jeter un oeil aux sources et à héberger vous même ce fichier, de préférence via TLS.
Grégory
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . Évalué à 1.
Oups, je n’avais pas vu le message sur http://motdepassealacon.com/ mais globalement, j’ai l’impression que c’est la même idée. Donc rien de nouveau, juste une variante.
[^] # Re: Génération d’un mot de passe par site
Posté par jben . Évalué à 8.
Pourquoi réinventer la roue à chaque fois ? On a un standard pour faire cela, reconnu et tout et tout, ça se nomme HMAC et ça s'utilise avec un algo de calcul de condensat (MD5, SHA-1, SHA-2, SHA-3…). J'en parle dans un commentaire sur un des nombreux journaux sur le sujet. Moi je le fais en python, vous le faites en javascript, soit, on se fout de l'implémentation. Mais c'est pas une raison pour ne pas utiliser HMAC au lieu d'un algo maison.
Commentaire sur le reste du journal : à chaque fois on utilise les mêmes arguments, à chaque fois on voit les mêmes propositions, à chaque fois avec les mêmes défauts, et à chaque fois les même réponses. Ce genre de débat est aussi inintéressant qu'un débat sur la moto.
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . Évalué à 0. Dernière modification le 19 juin 2014 à 17:42.
Effectivement. C’est mieux. :-)
Au temps pour moi, je n’avais pas connaissance de ce billet et je n’avais pas bien compris HMAC.
J’adapterais mon algo pour respecter cette RFC (je trouve qu’il y a un avantage à utiliser JavaScript pour le côté portable via bookmarklet).
[^] # Re: Génération d’un mot de passe par site
Posté par cosmocat . Évalué à 2.
Si j'ai bien compris, c'est mieux pour protéger ton mot de passe "originel" pour celui qui sait la méthode que tu utilises. Mais ce n'est pas (forcement) mieux pour le mot de passe que tu utilises au final sur le site. Car pour cela, une bonne fonction de hashage (qui a une bonne répartition) suffit.
PS (Grégory): Entre personnes de la même société, il faut se serrer les coudes ;)
[^] # Re: Génération d’un mot de passe par site
Posté par Moonz . Évalué à 2.
On a inventé scrypt et PBKDF-2 pour ça tu sais :)
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . Évalué à 0.
Merci pour vos remarques.
Vous avez raison, je vais revoir ma copie (et en profiter pour mettre à jour ce bout de script qui n’a pas bougé depuis quelques années).
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . Évalué à 1.
Le projet a été migré sur github et j’utilise maintenant scrypt avec 1024 rounds (c’est configurable).
Voici la nouvelle page du projet et les tests unitaires mis à jour.
N’hésitez pas si vous avez des remarques.
# passphrase
Posté par Pulco . Évalué à 1.
J'ai réglé le problème avec des passphrase et une variable par site.
Ce qui nous donne par exemple "mon super mot de passe pour le site linuxfr"
Pas besoin d'outils pour retenir tout ça a ma place ni de lister mes mots de passe dans un fichier.
Pour complexifier on peux utiliser plusieurs passphrase en fonction du niveau d'importance qu'on accorde au site.
Je m’embête pas avec des caractères spéciaux, un bon passphrase est suffisamment sécure, il suffit de le tester sur ce genre de site https://howsecureismypassword.net/ pour se rendre compte de la difficulté a "brute force" ce type de mot de passe.
[^] # Re: passphrase
Posté par Grégory Paul (site web personnel) . Évalué à 0.
Si je comprends bien, ta passphrase est la même mais c’est juste le nom du site qui change ?
Si c’est bien cela, le problème est que si un attaquant trouve l’une de tes passphrase, il est facile de deviner les passphrases des autres sites.
En fait, le gros problème est que les entreprises se font régulièrement pirater leur base de mots de passe (dernier exemple en date ebay puis dominos pizza) qui se retrouve donc dans la nature.
Si elle n’a pas fait les choses proprement (PKDF2, scrypt, etc), c’est un peu comme si le mot de passe était maintenant en clair sur pastebin…
Et malheureusement, il y a beaucoup d’exemple où les choses ne sont pas fait proprement (l’exemple le plus flagrant est la fuite chez adobe).
[^] # Re: passphrase
Posté par Pulco . Évalué à 0.
J'ai donné un exemple très simplifié.
A partir de cette base tu peux le complexifier grâce a la formulation ou encore en substituant les lettres du nom du site par exemple.
De plus j'utilise différents passphare selon le degrés de sécurité que j'accorde au site.
L’intérêt de ce système c'est que je retrouve a coup sur le mot de passe sans avoir besoin de le stocker quelque part et c'est plus simple a écrire et retenir qu'un mot de passe biscornu.
# SQRL ?
Posté par Grégory Paul (site web personnel) . Évalué à 6.
J’en profite pour signaler que j’ai entendu parler de SQRL qui permet de se logger sans mot de passe.
Les spécification sont en cours de finition et l’implémentation de référence en cours d’écriture.
L’idée est qu’une graine (un gros bon random) est initialement générée sur ton périphérique et permet de générer à la volée une paire de clé privée/publique par site. Ce sont ces clés qui permettent de répondre à un challenge différent à chaque login et pour chaque site.
Ainsi, on peut se logger fortement sans mot de passe.
L’autre avantage est que le site ne sait rien de toi (il n’a qu’une clé publique, aucun autre identifiant tel que login ou mot de passe).
Je trouve le concept génial mais c’est balbutiant (et le problème est que personne ne le supporte aujourd’hui).
Le protocole est ouvert et il n’y a pas de problème de brevet à priori.
Plus d’info sur wikipedia : https://en.wikipedia.org/wiki/SQRL
# Carte de mots de passe
Posté par Loïs Taulelle ࿋ (site web personnel) . Évalué à 2.
Perso, j'utilise une carte de mots de passe (oui, écrite, sur papier) et des mnémotechniques différentes pour retrouver les mots de passe en fonction du site.
Une carte, ça ressemble à ça :
ou ça :
(générées pour l'ocaz, merci apg)
Proverbe Alien : Sauvez la terre ? Mangez des humains !
# Nom du site modifié
Posté par zoloo (site web personnel) . Évalué à 0.
Moi, c'est à partir du nom du site :
linuxfr.org, ça pourrait être LiNuXfR.org666
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.