En parcourant l'article du blog de Google, on peut lire que ce n'est pas un énième mécanisme propriétaire, mais bien une tentative de normaliser les éléments de formulaire concernant les mots de passe, et de standardiser la navigation et le format des formulaires de changemnet de mot de passe.
C'est donc ouvert aux autres gestionnaires de mots de passe, par exemple BitWarden/Vaultwarden, KeepassXC via son greffon de navigateur.
Je suppose que c'est pensé par des experts, mais si un programme peut changer le mot de passe sans intervention humaine, ça devrait aussi être possible pour le pirate qui a récupéré le mot de passe, non?
Ou est-ce que pour cette procédure, il faut avoir préalablement autorisé un certain service, ce qui veut dire que le standard est ouvert, mais que le coût de migration à une alternative hors Chrome va aussi être élevé?
Logiquement on ne retire pas les sécurité d'authentification pour changer un mot de passe. Pour moi cela ne change pas grand chose sur ce point.
PS, le pirate n'a pas intérêt à changer votre mot de passe, sinon vous allez vous en appercevoir et faire ce qu'il faut pour le rechanger. Le pirate n'y a accès que parce qu'il a trouvé votre "ancien" mot de passe à la base.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
Dans le cas d'une solution ou le mot de passe déchiffré ne quitte jamais ton ordi (hors-ligne comme KeepassXC, ou zero knowledge comme Bitwarden), ce n'est pas trop un problème qu'une automatisation facilite le changement (tu pourrais même faire un mécanisme qui le change tes mots de passe tous les x jours, fuite ou non).
Dans le cas de Chrome et Google Sync, il semble que les mots de passes ne soient pas stockés en "zero knowledge" chez Google, ce qui implique que avec ou sans ce nouveau mécanisme, Google peut bien se loger sur tes comptes. La blague est surtout là, je crois, non ?
Le sujet est effectivement "qui a les clés pour déchiffrer" ; en zero-knowledge c'est toi et uniquement toi. Avec KeepassXC aussi. Avec Google c'est toi, mais pas seulement.
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
Après, est-ce Google ou Chrome qui s'occupe de faire le changement ? Chrome est déjà en possession du mot de passe si son gestionnaire remplir le mot de passe de lui même. Il pourrait très facilement télécharger des règles pour effectuer le changement de mot de passe via les APIs fournies sur le site et mettre à jour en local (qui fera synchro via le sync au besoin).
J'ai raté un truc ou il n'y a aucune différence avec ce que pourrait faire Firefox ou Bitwarden ?
Merci de prendre le commentaire ci-dessus avec: un peu de recul, le premier degré, et si possible le second !
Non non tu as bien compris, le changement de mot de passe se fait côté client (en local).
La différence, finalement entre Bitwarden/Firefox Sync et Google Sync, c'est que que Google pourrait aussi le faire côté serveur car les mots de passe lui sont connus.
# Voisinage
Posté par wilk . Évalué à 8 (+6/-0).
Je vais aller faire le tour du quartier pour récupérer les clés de tous les voisins, c'est plus prudent, pour eux.
[^] # Re: Voisinage
Posté par jseb . Évalué à 5 (+3/-0).
Oui mais comme les voisins ne sont pas des idiots, ils vont refuser.
Et pareil pour Google.
…
N'est-ce pas ?
Discussions en français sur la création de jeux videos : IRC libera / #gamedev-fr
[^] # Re: Voisinage
Posté par wilk . Évalué à 3 (+1/-0).
J'ai déjà la clé de ma voisine, je vais voir si je peux pas
piquerprotéger ses mots de passes aussi (en tant qu'expert informatique).[^] # Re: Voisinage
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+0/-0).
D'accord mais là on parles des gens qui ont déjà confié tous leurs mots de passe…
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
# Démarche de standardisation
Posté par cg . Évalué à 7 (+5/-0).
En parcourant l'article du blog de Google, on peut lire que ce n'est pas un énième mécanisme propriétaire, mais bien une tentative de normaliser les éléments de formulaire concernant les mots de passe, et de standardiser la navigation et le format des formulaires de changemnet de mot de passe.
C'est donc ouvert aux autres gestionnaires de mots de passe, par exemple BitWarden/Vaultwarden, KeepassXC via son greffon de navigateur.
C'est plutôt une bonne nouvelle, en fait, non ?
[^] # Re: Démarche de standardisation
Posté par Maclag . Évalué à 9 (+6/-0).
Je suppose que c'est pensé par des experts, mais si un programme peut changer le mot de passe sans intervention humaine, ça devrait aussi être possible pour le pirate qui a récupéré le mot de passe, non?
Ou est-ce que pour cette procédure, il faut avoir préalablement autorisé un certain service, ce qui veut dire que le standard est ouvert, mais que le coût de migration à une alternative hors Chrome va aussi être élevé?
[^] # Re: Démarche de standardisation
Posté par abriotde (site web personnel, Mastodon) . Évalué à 3 (+3/-1).
Logiquement on ne retire pas les sécurité d'authentification pour changer un mot de passe. Pour moi cela ne change pas grand chose sur ce point.
PS, le pirate n'a pas intérêt à changer votre mot de passe, sinon vous allez vous en appercevoir et faire ce qu'il faut pour le rechanger. Le pirate n'y a accès que parce qu'il a trouvé votre "ancien" mot de passe à la base.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
# À quoi sert un mot de passe ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 10 (+16/-0).
À authentifier un utilisateur.
Si un robot peut changer votre mot de passe à votre place automatiquement, c'est donc lui qui sera authentifié, pas vous.
Fin de la blague.
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
[^] # Re: À quoi sert un mot de passe ?
Posté par cg . Évalué à 7 (+5/-0).
Dans le cas d'une solution ou le mot de passe déchiffré ne quitte jamais ton ordi (hors-ligne comme KeepassXC, ou zero knowledge comme Bitwarden), ce n'est pas trop un problème qu'une automatisation facilite le changement (tu pourrais même faire un mécanisme qui le change tes mots de passe tous les x jours, fuite ou non).
Dans le cas de Chrome et Google Sync, il semble que les mots de passes ne soient pas stockés en "zero knowledge" chez Google, ce qui implique que avec ou sans ce nouveau mécanisme, Google peut bien se loger sur tes comptes. La blague est surtout là, je crois, non ?
[^] # Re: À quoi sert un mot de passe ?
Posté par LeBouquetin (site web personnel, Mastodon) . Évalué à 7 (+5/-0).
J'ai fait un raccourci, on est d'accord.
Le sujet est effectivement "qui a les clés pour déchiffrer" ; en zero-knowledge c'est toi et uniquement toi. Avec KeepassXC aussi. Avec Google c'est toi, mais pas seulement.
#tracim pour la collaboration d'équipe __ #galae pour la messagerie email __ dirigeant @ algoo
[^] # Re: À quoi sert un mot de passe ?
Posté par cg . Évalué à 6 (+4/-0).
Je ne m'étais pas posé la question, car je ne l'utilise pas, mais Firefox Sync est en zero knowledge, de son côté.
Ça fait une sacré différence entre Chrome et Firefox, pour le coup.
Je comprend mieux le "donne tes clés je m'occupe de tout" :).
[^] # Re: À quoi sert un mot de passe ?
Posté par Elfir3 . Évalué à 2 (+0/-0).
Après, est-ce Google ou Chrome qui s'occupe de faire le changement ? Chrome est déjà en possession du mot de passe si son gestionnaire remplir le mot de passe de lui même. Il pourrait très facilement télécharger des règles pour effectuer le changement de mot de passe via les APIs fournies sur le site et mettre à jour en local (qui fera synchro via le sync au besoin).
J'ai raté un truc ou il n'y a aucune différence avec ce que pourrait faire Firefox ou Bitwarden ?
Merci de prendre le commentaire ci-dessus avec: un peu de recul, le premier degré, et si possible le second !
[^] # Re: À quoi sert un mot de passe ?
Posté par cg . Évalué à 2 (+0/-0).
Non non tu as bien compris, le changement de mot de passe se fait côté client (en local).
La différence, finalement entre Bitwarden/Firefox Sync et Google Sync, c'est que que Google pourrait aussi le faire côté serveur car les mots de passe lui sont connus.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.