Les gestionnaires de mots de passe

Tronyx · 18 Sept 2015

Perso Keepass depuis longtemps et même après avoir testé d'autres solutions (pas envie d'être comme certains à dire que ma solution est meilleure sans avoir utiliser la concurence).

Pour l'ergonomie je comprends pas et ne rejoint pas du tout Gwen tant le soft se manie simplement, est légé et très efficace. Et a part pour 2-3 sites rapidos cela fait TRES longtemps que mes mot de passe sont du genre => &R7$CHw)kXFicY_<(\vc;E&y2

Et mon mot de passe d'ouverture du fichier crypté (la DB .kdb du soft) je le change tout les 1-2 mois et je met quelques minutes à l'étudier (dans le genre de ce que j'ai link et 40 caractères non retenable par du mémo technique)

Simple, efficace et j'ai keepass sur toutes mes plateformes Linux / Android / Win et même mac quand je suis obligé

EDIT : SInon gwen sympa ton article même si le moyen de déclinaison du mdp utilisé est vraiment pas l'idéel en concret

Azinou · 19 Juil 2017

Bon, je déterre

Vous conseilleriez quoi comme gestionnaire qui soit :
1/ en authentification en deux étapes (que ça soit via l'authenticator Google ou sms téléphonique) pour déverouiller le coffre principal
2/ facile d'utilisation (extension chrome, app android, etc...)
3/ gère l'authentification en 2 étapes des sites (activé pour tout les sites le supportant)
4/ en cloud, et considéré comme suffisamment sécurisé ? Genre, qui conserve pas ses DB en clair, etc...

Et aussi, une question, comment faire avec ce type d'outil pour un support non pc/gsm. Genre, si j'ai mis pour mon login PSN --> Y a un truc simple pour pas souffrir à taper un mdp de brute avec le pad ? ou c'est à paramétrer dans la dureté du mot de pass pour le service ?

Zloup · 19 Juil 2017

j'nentend énormémement parler de keypass, un amli expert en cybersecu l utilise, avec la db sur dropbox vu que tout est crypté, pour pouvoir l'avoir up to date sur pc et téléphone en meme temps

Hyene · 19 Juil 2017

Azinou a dit:
Bon, je déterre

Vous conseilleriez quoi comme gestionnaire qui soit :
1/ en authentification en deux étapes (que ça soit via l'authenticator Google ou sms téléphonique) pour déverouiller le coffre principal
2/ facile d'utilisation (extension chrome, app android, etc...)
3/ gère l'authentification en 2 étapes des sites (activé pour tout les sites le supportant)
4/ en cloud, et considéré comme suffisamment sécurisé ? Genre, qui conserve pas ses DB en clair, etc...

Et aussi, une question, comment faire avec ce type d'outil pour un support non pc/gsm. Genre, si j'ai mis pour mon login PSN --> Y a un truc simple pour pas souffrir à taper un mdp de brute avec le pad ? ou c'est à paramétrer dans la dureté du mot de pass pour le service ?

Par sms il y a une faille dans le protocole ss7 "Signalling System Number 7" donc oublie.

Et avoir un gestionnaire de mdp pour la ps4 c'est pas possible

.

Perso j'utilise Keepass

Azinou · 19 Juil 2017

Zloup a dit:
j'nentend énormémement parler de keypass, un amli expert en cybersecu l utilise, avec la db sur dropbox vu que tout est crypté, pour pouvoir l'avoir up to date sur pc et téléphone en meme temps

Hmm, si possible, j'aimerais que le gestionnaire soit autosuffisant, bon, après, je suis aussi premium dropbox, donc ça serait pas genant

Hyene a dit:
Par sms il y a une faille dans le protocole ss7 "Signalling System Number 7" donc oublie.

Et avoir un gestionnaire de mdp pour la ps4 c'est pas possible .

Perso j'utilise Keepass

Bah, disons, même si par sms, c'est pas réellement safe, çà rajoute une couche, du coup, faut vraiment que je sois visé pour qu'il fasse l'effort de faire l'interception.

Perso, c'est surtout de l'auto-protection contre les leak basiques et foireux, cf DB en clair, hachage mal fait, etc... Si la NSA/FBI/Interpol veulent voir mes données, ils peuvent, j'ai rien à me reprocher

Du coup, pour PS4, faudrait donc mettre un mdp plus faible et court alors ? On peut choisir le niveau ?

gwen · 19 Juil 2017

Azinou a dit:
Bon, je déterre

Vous conseilleriez quoi comme gestionnaire qui soit :
1/ en authentification en deux étapes (que ça soit via l'authenticator Google ou sms téléphonique) pour déverouiller le coffre principal
2/ facile d'utilisation (extension chrome, app android, etc...)
3/ gère l'authentification en 2 étapes des sites (activé pour tout les sites le supportant)
4/ en cloud, et considéré comme suffisamment sécurisé ? Genre, qui conserve pas ses DB en clair, etc...

Et aussi, une question, comment faire avec ce type d'outil pour un support non pc/gsm. Genre, si j'ai mis pour mon login PSN --> Y a un truc simple pour pas souffrir à taper un mdp de brute avec le pad ? ou c'est à paramétrer dans la dureté du mot de pass pour le service ?

lastpass , c'est nickel avec l'application Android qui fonctionne avec l'empreinte.

xlr8 · 19 Juil 2017

pareil avec 1password de mon côté, on a le "team" ce qui permet d'avoir un coffre commun entre les membres de l'équipe et un coffre privé. Vraiment bluffé de la simplicité du truc une fois mis en place. Je n'ai pas trouvé la mise en place hyper intuitive.

Zloup · 19 Juil 2017

j'ai lu un truc sur 1password dernièrement, faudrait que je retrouve l'article

Azinou · 19 Juil 2017

gwen a dit:
lastpass , c'est nickel avec l'application Android qui fonctionne avec l'empreinte.

Last pass est celui vers lequel je me serais orienté de base.

Mais que vaut il comparer à dashlane, KeePass, 1password, robot ?

Tronyx · 19 Juil 2017

En cybersecu et côté libriste avec les mecs completement parano en sécu c'est keepass qui revient TRES souvent. Et si on désire mettre la DB sur un cloud n'oublier pas de passer par un autre système d'encryption (cryptomator pour ne citer que lui qui fonctionne très bien)
Parce que en bruteforce cracker le mdp de la DB de keepass c'est clairement pas mega over difficile. Ou alors lié le à fichier d'auth etc... Conseil rapide en passant.

Azinou · 19 Juil 2017

Du coup, niveau gestionnaire simple, efficace, intuitif, c'est lequel ?

En gros, je recherche le logiciel de gestion de mdp qui correspondrait à Dropbox payant dans l'univers cloud qui offre une solution clé en main, intuitive, simple, et complète pour l'utilisateur lambda (conservation de version, etc...) même si le rapport prix/espace de stockage n'est clairement pas en sa faveur.

Membre supprimé 2940 · 19 Juil 2017

Perso j'utilise le soft de Kasperky. Sans être du tout un expert, je me dis que tu n'en as jamais que pour ton argent...

Sinon j'utilise presque toujours le même mot de passe sur la plupart des sites (sérieux) et un différent pour ma boite mail. Entre le très faible risque qu'un hacker vole mon mdp Facebook, Steam ou du site de la loterie nationale et la merde que c'est de devoir demander un nouveau mdp parce que tu ne t'en rappelles plus en voulant te connecter sur un nouveau device, j'ai fait mon choix!
Et aujourd'hui la plupart des sites sérieux proposent des authentifications sécurisées par SMS, des questions secrètes, des alertes de connexions suspectes etc.

Encore une fois, principe de proportionnalité. Je ne suis pas ingénieur à la NSA, pas besoin d'avoir un niveau de sécurité extrême. Sinon je pense que vous pourriez d'abord commencer par vous procurer une arme pour chez vous avant de sécuriser vos mdp contre un hack des services secrets russes.

/my2cents

Tronyx · 19 Juil 2017

Ouai fin sans rentré dans la grande parano avoir un mdp pour les 3/4 de ce que tu visites c'est vraiment pas terrible surtout que cela prends pas de temps d'encoder chaque MDP différent dans keepass ou un soft du même acabit.

Suffit de retenir le MDP de ta DB et d'en changer genre une fois tout les 2 mois (je préfère le mensuel mais chacun son truc).
Bref c'est juste du bon sens rien de très recherché là dedans c'est la BASE des BASES quand on accède au net. Et statistiquement t'as largement moins de chance de voir un mec sortir de nul part arme à la main chez toi que de te faire pirater phisher etc... etc...

Mais on a chaque fois des personnes sortant de gros exemple ou surgonflant le truc pour tourner au ridicule les gens qui prennent des précautions avec leurs usages au travers d'internet...

Membre supprimé 2940 · 19 Juil 2017

Ah bon? Je ne cherche pas à débattre mais c'est le quoi la probabilité pour un lambda d'être la victime ciblée d'un hacker confirmé (je ne parle pas de ton script kiddy de pote que tu auras trop farmé sur COD)?
Parce qu'autrement à part un hack massif des mdp Facebook/ Steam, qui peut arriver mais n'est pas non plus le truc habituel et pour lequel au final les conséquences ne sont pas aussi terribles qu'elles en ont l'air...

Je surfe depuis qu'internet existe en Belgique et je n'ai jamais été hacké une seule fois. Je me suis payé un antivirus et un manager de mdp pour la première fois il y a 2 mois.

Pour le reste je suis d'accord avec toi. Il faut un minimum. Principe de proportionnalité pour le reste. Parfois certains vont un peu chercher loin je trouve !

Aliruto · 19 Juil 2017

Cydral a dit:
Ah bon? Je ne cherche pas à débattre mais c'est le quoi la probabilité pour un lambda d'être la victime ciblée d'un hacker confirmé (je ne parle pas de ton script kiddy de pote que tu auras trop farmé sur COD)?
Parce qu'autrement à part un hack massif des mdp Facebook/ Steam, qui peut arriver mais n'est pas non plus le truc habituel et pour lequel au final les conséquences ne sont pas aussi terribles qu'elles en ont l'air...

Je surfe depuis qu'internet existe en Belgique et je n'ai jamais été hacké une seule fois. Je me suis payé un antivirus et un manager de mdp pour la première fois il y a 2 mois.

Pour le reste je suis d'accord avec toi. Il faut un minimum. Principe de proportionnalité pour le reste. Parfois certains vont un peu chercher loin je trouve !

Idem, j'vois pas l'intérêt ...

gwen · 20 Juil 2017

Suffit qu'un site que tu utilises se fasse hacker arbitrairement par un script automatique utilisant une faille non patche pour que ton mot de passe se trouve dans la nature. D'autre logiciel permettent de tester les combos mot de passe sur tous les trucs pertinent. Les données sont ensuite revendues en masse... Rien de personnel, aucun hacker n'a besoin de te visiter. Un jour un spam m'a dit "Bonjour Mon password" au lieu du login, sans doute qu'ils avaient inversé une variable dans leur template. Depuis j'ai des Mdp différents pour chaque site et c'est pas un soucis au quotidien avec le gestionnaire. C'est un principe de précaution...

JetseX02 · 20 Juil 2017

J'utilise Lastpass depuis plusieurs mois, l'interface est cool mon master pw n'a pas encore été changé (ca doit venir) mais j'aimerais idéalement inclure le 2FA... Par contre avec mon Xiaomi pas de log biométrique sur l'app mobile

Azinou · 20 Juil 2017

gwen a dit:
Suffit qu'un site que tu utilises se fasse hacker arbitrairement par un script automatique utilisant une faille non patche pour que ton mot de passe se trouve dans la nature. D'autre logiciel permettent de tester les combos mot de passe sur tous les trucs pertinent. Les données sont ensuite revendues en masse... Rien de personnel, aucun hacker n'a besoin de te visiter. Un jour un spam m'a dit "Bonjour Mon password" au lieu du login, sans doute qu'ils avaient inversé une variable dans leur template. Depuis j'ai des Mdp différents pour chaque site et c'est pas un soucis au quotidien avec le gestionnaire. C'est un principe de précaution...

Exact !

Perso, le principal risque que je veux éviter avec l'usage du gestionnaire, c'est la perte d'accès à mes services en raison d'une fuite web non spécifiquement ciblée sur moi. Genre, les hackers qui lanceraient une attaque de bourrin sur les DB de Dropbox / Google / Hubic / One Drive / Amazon et qui arriveraient à choper la DB d'un des services sus-mentionnés, et que, manque de sécurité, les mdp sont en clair ou facilement décryptable.

Enfin, de base, vu que j'ai des pw différents par site (et activer le 2-step pour tout ceux qui l'autorisait) pour éviter ça justement, ça ne pose pas de souci, mais c'est bien casse couille quand je veux faire mon renouvellement de masse trimestriel, du coup, le gestionnaire avec passphrase qui gère les mdp, avec un clic à faire chaque trimestre, ça serait plus cool

Car dès fois, je saute une itération de renouvellement parce que j'ai la flemme x)

Par contre, question, est-ce que ces gestionnaires peuvent aussi gérer les mots de passe d'application ? Par exemple, le mail iCloud, si tu veux l'avoir sur Android, tu dois l'enregistrer comme compte mail IMAP et lui générer un mot de passe d'application si l'authentification en deux étapes est activées, du coup, est-ce qu'un des gestionnaires le gère via leur application mobile Android, qui permettrait :
1/ tu clic sur renouvellement mdp d'application icloud
2/ il révoque l'ancien mot de passe
3/ il créer un nouveau
4/ il modifie le mdp du serveur entrant et sortant du mail imap icloud
?

Azinou · 31 Juil 2017

Bon, je suis passé à Lastpass hier soir ! Ca m'a pris toute la soirée (création des dossiers + fiches de connexion + modification des pw), mais globalement, je trouve bien fait, même si j'aurais aimé quelques trucs en plus.

Alors, par "étapes" de travail :
1/ Ajout / modification de fiches de connexion : Ca marche plutôt pas mal ! Que ça soit pour ajouter une fiche pour un compte déjà existant ou pour une nouvelle inscription.

Dans le cas où c'est une première connexion à de l'existant, il y a un popup qui s'affiche pour demander si tu veux enregistrer ce login/pw dans la db.

Dans le cas où c'est une première inscription, tu as une icone de génération de mot de passe dans le cadre concerné et tu peux créer la fiche d'incription depuis là, sachant qu'il reconnait plutôt bien le cadre du user.

Et quand tu modifies le PW d'un site (via l'option de modification de PW du site) en générant un nouveau pw, il le détecte et le modifie dans la fiche idoine.

Bref, plutôt pas mal !

J'ai aussi test leur outil de modification de PW auto pour certains sites --> Plutôt pratique ! Mais évidemment, pas dispo pour tout.

2/ Connexion sur PC (chrome/app) à un site repris dans les fiches de connexion : L'extension chrome marche bien ! Une fois l'accès à la DB activé, tout se complète tout seul sans souci pour les connexions. Par contre, pas encore test pour ce qui est genre carte de crédit et co.

Mais dommage que l'outil pour compléter dans les applications ne soient pas dispo pour les utilisateurs gratuits. Mais bon, ça reste encore simple, chrome ouvert, accès à la DB, et des c/c.

Par contre, pour je sais plus quelle app, le c/c ne marchait pas et j'ai pleuré pour taper le mdp de 32positions avec lettre min/maj + chiffre + caractère spéciaux -_- J'aurais été content d'avoir leur outil pour compléter in app.
3/ Connexion sur Android (chrome / app) : Sur chrome, marche nickel, dans les apps, ça marche bien aussi, mais parfois, il ne détecte pas tout de suite. Genre, tu dois mettre l'identifiant, puis quand tu vas sur la ligne du PW, il détecte que c'est une entrée de la DB et propose de compléter, alors que d'autres apps, dès l'affichage de l'écran de connexion, il propose de compléter login / pw.

Mais clairement, la validation par empreinte digitale sur le GSM, c'est top *_*

Bref, globalement bien content de LastPass !

Mais y a des trucs que j'aurais aimé :
- App mobile pour valider sur le PC : Dommage qu'il n'y ait pas possibilité d'avoir un "lien" entre GSM et PC. Un peu comme l'authentificator Microsoft ou Battlet.net, genre, quand tu veux accèder aux données, il envoie une demande sur le GSM que tu peux approuver avec l'empreinte ce qui déverouillerait la DB sur le PC. Après, si y a pas, j'imagine que c'est pour une question de sécurité

- Gestion des mots de passe d'application : Cf mon message au dessus, dommage que ça soit pas repris dedans (ou alors j'ai pas trouvé ?)

Azinou · 31 Juil 2017

Tiens, question, la base de données login/pw smartlock de mon Gmail, vous en ferez quoi maintenant que lastpass est la ?

Le maintenir à jour ? Le désactiver et supprimer ?

Les gestionnaires de mots de passe

Elite

Ancienne LV

Badger

💩

Ancienne LV

Sitegeek.fr

Over the rainbow 🌈

Badger

Ancienne LV

Elite

Ancienne LV

Membre supprimé 2940

ex membre

Elite

Membre supprimé 2940

ex membre

Let Freedom Reign

Sitegeek.fr

☁ INFUSE ☁

Ancienne LV

Ancienne LV

Ancienne LV

Autres sujets récents