Le Hollandais Volant

Avec Chrome, plus besoin de mot de passe

Vendredi 17 février 2012

donkey

Google Chrome veut faire un système pour générer, retenir et cacher les mots de passe des sites, pour faciliter la vie des utilisateurs.

« Bien qu'il soit généralement préférable qu'un utilisateur ne connaisse pas ses mots de passe, dans certains cas ils en auront besoin, par exemple lorsqu'ils ne seront pas en mesure d'utiliser Chrome » est-il expliqué sur le site réservé aux développeurs. Google propose alors de mettre en place un site sur lequel l'utilisateur sera en mesure de s'identifier puis de retrouver l'intégralité de ses identifiants/mots de passe, voire de les exporter.

Ouais cool, mais non en fait pas du tout.

D’une part ça revient à donner l’intégralité de ses mots de passe à Google (pour moi c’est non direct). Et d’autre part c’est vraiment pas comme ça que les utilisateurs vont devenir moins cons.
Il y a quand même une différence entre « simplifier les choses » et « prendre l’utilisateur pour un idiot ».

C’est trop dur de retenir des mots de passe franchement ? Un mot de passe comme B0nj0ur_L3_Sit3 ? C’est simple non ?
Suffit d’avoir une méthode. Ici : 3 mots, la première lettre de chaque mot est en majuscule, et les voyelles O et E sont remplacées par des chiffres 0 et 3. Changez la phrase pour chaque site et voilà. C’est pratiquement inviolable techniquement mais aussi pour un humain de deviner ça.

En fait, je crois que les gens ne veulent effectivement « pas comprendre » et rester bêtes : au moins, si ça ne marche plus, ce sera la faute « de ce putain d’ordinateur ».
Je suis désolé, mais j’estime qu’on ne peut pas utiliser un ordinateur sans savoir un minimum à quoi ressemble un disque dur ou savoir ce qu’est un cookie.
Franchement, au permis de conduire, il me semble qu’on nous apprend pas seulement à tourner le volant et à changer les vitesses ? Mais aussi vérifier la pression de l’air dans un pneu ou le niveau d’huile dans le moteur, non (mais je sais pas, je l’ai pas passé encore) ?


HS : sinon, une vidéo que je veux vous partager.

image de christianmeichtry

Manitou : #

Quand tu as des dizaines de mots de passe, oui, ça devient compliqué à retenir.

Je fais confiance à Opera et Keep Password Safe pour enregistrer mes mots de passe. La technique d'Opera est quand même super (Firefox ne l'a pas encore complètement repompé mais ça ne devrait sûrement pas tarder, vu qu'ils ont pompé tellement de bonnes idées d'Opera).

Il faut voir ce que ça donne sur Chrome pour juger.

@répondre

Vendredi 17 février 2012 à 18:21:35

Guenhwyvar : #


Franchement, au permis de conduire, il me semble qu’on nous apprend pas seulement à tourner le volant et à changer les vitesses ? Mais aussi vérifier la pression de l’air dans un pneu ou le niveau d’huile dans le moteur, non


Euh, ça dépend… Théoriquement, on a un peu de technique, mais c'est très léger (genre pour moi, ça a dû être une demi-heure tout cumulé : « c'est là qu'on met l'eau, c'est là qu'on met l'huile » et « Vous savez tous changer un pneu, je suppose ? Bon, au cas où, c'est comme ça, tac tac tac, voilà, hop, fini. »)…
D'ailleurs, normalement on a une question technique à l'examen, mais la fois où je l'ai eu (oui, il m'a fallu plusieurs essais), c'était « Où est le voyant de la batterie sur le tableau de bord ? » (ce qui m'a bien arrangé, d'ailleurs, vu que je suis totalement incapable de changer une roue ou de vérifier les niveaux…)

Cela dit, si les gens considèrent un ordinateur de la même manière que je considère une voiture, je comprends qu'ils veuillent juste s'en servir en se foutant totalement de savoir comment ça marche.
Et à mon avis, t'as beau être plus curieux que la moyenne, il doit bien y avoir un domaine où c'est le cas pour toi aussi.

@répondre

Vendredi 17 février 2012 à 18:24:32

scout123 : #

Remarque idiote mais un peu vraie : la plupart des crétins qui utiliseront ce système ont souvent le même mot de passe pour tous les services, y compris le compte Google. Donc, cela ne changera pas grand-chose...

@répondre

Vendredi 17 février 2012 à 18:29:09

qwerty : #

Super, comment forcer les gens a utiliser chrome et pas un autre pour pouvoir marquer les MDP, car ils auront la flemme de taper ce fameux MDP.
Vraiment, a quoi servent les MDP dans ce cas ? si quelqu'un prend ton navigateur pendant ton absence, il t'usurpe ton identité en allant sur des sites tranquillement. N'importe quoi google !

@répondre

Vendredi 17 février 2012 à 18:51:57

Le Hollandais Volant : #


Et à mon avis, t'as beau être plus curieux que la moyenne, il doit bien y avoir un domaine où c'est le cas pour toi aussi.


Oui, biensûr, mais en général je n’utilise pas trop ce que je comprend pas.

Les domaines où j’y pige rien : l’économie, la littérature :D

Nan mais franchement, je sais comment marche une télé, à peu près des ondes hertziennes à l’affichage de l’image, comment marche un frigo, une voiture (le moteur, un compteur de vitesse, tout ça.
Je saurais pas tout réparer évidemment, mais je ne vais pas toucher à n’importe quoi (vider l’huile du moteur et rouler pour voir ce que ça fait, ou remplire la TV avec de l’eau just4fun). Alors que sur les ordis les utilisateurs cliquent sur tout et n’importe quoi, y compris sur « oui, je veux installer cette YahooToolbar de merde », et après vont se plaindre que ça rame en disant « c’pa moa, G rien fé  ».

(ps, oui je sais ce que ça fait de l’eau dans une télé :P. Je vous déconseille…)

@répondre

Vendredi 17 février 2012 à 18:55:19

GoustiFruit : #

Ben perso j'utilise un système similaire à ce qui est décrit ici, soit "Last Pass", comme ils disent, le dernier mot de passe que vous aurez à retenir. Last Pass génère des mots de passe aussi compliqués qu'on veut, et ceux-ci sont stocké de façon sûre... hmm, chez eux. Bon un jour on aura peut-être un soft qui permettra de mettre tout ça sur son propre serveur... En attendant Last Pass c'est super bien foutu et c'est compatible multi-navigateurs: il remplace à merveille le Magic Wand d'Opera chez moi, qui était un peu limité, mais marche aussi sur Firefox et Chrome.

@répondre

Vendredi 17 février 2012 à 20:13:42

Le Hollandais Volant : #

Oui mais bon : vous mettez vos codes d’accès de tous vos sites sur un serveur qui n’est pas à vous et dont les propriétaires sont responsables.

Donc si les autorités frappent à leurs portes (ou alors un spammeur qui se fait passer comme tel), ils sont obligé de donner vos informations. Et rien ne garantit qu’ils n’utiliseront pas vos mots de passe.

Perso je préfère tout retenir de tête (ce qui n’est pas sans oublis, biensûr), au moins je suis le seul qui garde le contrôle dessus.

@répondre

Vendredi 17 février 2012 à 20:36:58

Reihar : #

Je ne suis pas d'accord avec cette technique de génération de mot de passe. On ne se souvient des endroits où on a placé ses chiffres (ou caractères spéciaux quand on en a). Le plus simple, c'est de prendre plusieurs mots, non liés entre eux, ni à vous, idéalement quatre ou cinq et de les mettre bout à bout. Forte entropie (plein de caractères avec peu de possibilités, c'est mieux que peu de caractères avec plein de possibilités), difficile à deviner, facile à retenir.

@répondre

Vendredi 17 février 2012 à 20:47:52

Arthur : #

Bonsoir,

Je suis d'accord avec toi sur le fait que c'est une mauvaise idée. Par principe, je suis contre une centralisation des mots de passe et d'autant plus si c'est pour les donner à une entreprise tierce.

En revanche, je pense que le besoin d'une gestion des mots de passe existe, et pas seulement pour l'utilisateur lambda. Je m'arrache parfois les cheveux à retrouver un mot de passe...
Par exemple, dans la grande majorité des grandes entreprises, le système d'authentification est centralisé. Sinon, les hotlines seraient totalement débordées.

Au niveau particulier, si on arrivait à avoir un système permettant de rendre la gestion des mots de passe transparente en maîtrisant réellement les risques de sécurité liés, ça serait plutôt génial.

Mais Google, non, tu n'auras pas mes mots de passe.

@répondre

Vendredi 17 février 2012 à 21:20:52

Jeey : #

Heureusement que Megaupload ne proposait pas ce genre de service !

@répondre

Vendredi 17 février 2012 à 22:59:09

PNJ : #

[troll]Pour retenir les mdp y a aussi la vieille technique du callepin et du crayon : Les mdp les plus compliqués sont notés avec exactitude avec (quasiment) aucune possibilité de piratage :D[/troll]

@répondre

Vendredi 17 février 2012 à 23:13:58

Baronsed : #

Franchement, j'ai l'impression qu'il n'y a plus rien qui nous choque... Non, mais c'est juste INCROYABLEMENT CON ((><))^1000
Comment des types dont la spécialité devrait être la sécurité peuvent-ils décemment parler de développer ça ?! Sérieusement, on croirait un fake.

Scout123 : pas si simple : même des habitudes stupides peuvent rentrer dans les moeurs
http://ploum.net/post/tout-peut-etre-compris
dans les 5 derniers paragraphes

@répondre

Vendredi 17 février 2012 à 23:19:20

koocotte : #

Il faut arrêter les mots de passe en 1337, les substitutions sont si évidentes qu'elles sont maintenant systématiquement testées. Ajouter un ou deux chiffres derrière aussi; ça fait partie intégrante des attaques au dictionnaire.

Prendre les premières, ou secondes lettres des mots d'une phrase doit présenter une meilleur entropie.

XKCD a aussi sa solution: http://xkcd.com/936/

Le Hollandais Volant : #


Il faut arrêter les mots de passe en 1337



Je pense justement que ça a de l’avenir encore : avec un mot en lettres (bonjour), on peut faire des dizaines des mots de passes différents :
b0njour
b0nj0ur
bonj0ur
b°njour
bønjour
BQNJQUR
B0njouR
b0n10ur
etc.

Le leet peut avoir de multiples « niveaux de difficultés », autant qu’il y a d’utilisateurs en fait. Comme le langage SMS. Tant qu’il n’y aura jamais une grammaire précise pour ce genre de langue, je pense que ça sera un bon moyen. Et surtout avec un mot de passe de 5 mots…

julien : #

Personnellement, un navigateur qui stocke les données sur ses serveurs directement, il y a un léger soucis là.

Il suffirait d'attaquer la base de donnée de tel ou tel navigateur et le hacker pourrait avoir accès directement à tous les sites. Chrome ne veut pas non plus, servir, les codes bancaires directement sur un plateau tant qu'on y est ?

Personnellement, je n'aime pas trop le cloud.

L01man : #

D'une certaine façon, un compte email est tout aussi dangereux. Une fois que le pirate connait le mot de passe de ce compte, il peut avoir accès à tous les autres ! En effet, les "Mot de passe oublié ?" sur les sites permettent de récupérer ou de réinitialiser un mot de passe depuis un compte email.
Conclusion : les comptes emails doivent être plus protégés que la majorité des autres, ce qui n'inclut pas les comptes sur des sites bancaires.

Pour résoudre ce problème de mots de passe à retenir pour chaque site, on peut utiliser une technique qui est d'utiliser quelques lettres communes à tous les mots de passe, et à ajouter un préfixe correspondant au site sur lequel on s'inscrit.
Par exemple :
- Google : "glM0NMDP"
- Amazon : "amazMONMDP"
- MachinTrucBidule : "MaTruBiMONMDP"

divers : #

La difficulté des mots de passe : vieux problème.
Pour les plus "tête en l'air", mais qui veulent être protégés efficacement, un système de reconnaissance biométrique apporte la solution. Comme ici par exemple :http://www.orcanthus.com/fr/product_119/lecteurs+d+empreintes.htm

alz : #

je me suis fait ma petite solution, je vous l'expose vous me direz si un truc cloche.
Me suis fait un pti programme qui combine l'adresse du site + mon mot de passe, en fait un sha, utilise ce sha pour générer une suite de caractère pour mot de passe.
1) ça ne stocke pas de mot de passe
2) c'est facile je peut mettre le même mdp partout le mdp final change quand même à cause de l'adresse du site
3) impossible de remonter au mot de passe initial si le site est douteux et stocke les mdp en clair, on ne peut pas deviner votre méthode de création de mdp..

Le Hollandais Volant : #

@alz : j’aime le principe. Mais dans les signatures sha, il n’y a ques des chiffres et des lettres (minuscules). Pas de caractères spéciaux. C’est le seul défaut que je vois.

alz : #

le sha est utilisé comme graine pour un générateur aléatoire :p
du coup je tire au hasard dans une liste caractère minuscules§majuscules/chiffres/ponctuation et caractères spéciaux :)

Kizdolf : #

Vous avez tous oublié le plus simple, le plus efficace et le plus sûr de tout les moyens.

La feuille de papier!! On choisi un mdp par site, et on l'écrit sur une feuille. Feuille qu'on prends avec nous, dans le sac (me dites pas que c'est chiant à prendre une feuille, sa l'est pas plus qu'une clé USB).

Un oubli? vous avez votre feuille. On cherche a vous piquer vos logs? Aucun hackeur n'arrive a pirater une feuille (ah si, il allume la webcam, attends que la dite feuille passe devant, et copie les logs. Ou pas.)

Enfin bon n'allez pas filer vos logs à google, vous les connaissez pas ces gens et vous donnez pas votre carte bleue a tout le monde si?

@répondre

Dimanche 19 février 2012 à 02:36:55

GoustiFruit : #

Ouais, mais une feuille de papier ça se perd facilement, et c'est pas facile à sécuriser: tu la mets où quand tu n'es pas devant ton ordinateur ? Dans un coffre-fort ? Dans ton porte-feuille ? Tu la laisses à côté du PC parce que c'est plus pratique ? Et les enfants qui jouent à côté du bureau, ils pourraient avoir envie de dessiner... ou de faire un avion... ou de brûler quelque chose...
Et puis copier des mots de passe comme "!Sy9z%uNf7UI7ScI" sur une feuille de papier pour ensuite les décrypter et re-saisir à chaque visite sur le site correspondant, faut être maso. Ah, ou alors tu te contentes de mots de passe genre "maison" parce que c'est plus simple à lire et à recopier ?

Renseignez-vous un peu sur LastPass et vous verrez que c'est bétonné au niveau de la sécurité, et comme en plus c'est super-pratique, je ne vois pas de raison de s'en passer. Les données de LastPass sont encryptées localement (http://blog.tinisles.com/2010/01/should-you-trust-lastpass-com/) et eux-même n'ont *aucun* moyen de récupérer vos infos, même si le FBI leur demande gentiment. On peut y accéder de partout, donc on peut voyager aux states par ex. sans avoir à leur donner la clé USB (ou sa feuille de papier) contenant tous ses mots de passe quand on passe à l'aéroport ! Il n'y a qu'un seul mot de passe à retenir - faites en sorte qu'il soit assez compliqué - et tant que les scanners de cerveau ne seront pas au point, il sera bien en sécurité dans votre tête.

@répondre

Dimanche 19 février 2012 à 11:08:18

GoustiFruit : #

@alz: à une époque je faisais comme toi, mais avec un simple md5, et en prenant seulement une partie du résultat (ex: les caractères entre le 2ème et 16ème). Je crois que j'avais lu l'astuce chez sebsauvage ou ailleurs ?

@répondre

Dimanche 19 février 2012 à 11:14:17

ZK456 : #

1000x d'accord, y en a marre de tout ces assistés, qui en plus contribuent à nous pourrir la vie: c'est à cause de ce genre de trucs qu'on nous pond des Facebook Connect et autres conneries.

Et +1000 pour le lien vers l'article de fansub-streaming ("Je ne vous installerai plus de logiciels"). Les gens veulent bien retenir le code pour leur carte bleue, leur digicode, et j'en passe, mais dès qu'il y a un écran et un clavier "ah bah je sais pas faire, et puis c'est compliqué, et je suis pas informaticien, et blablabla...".

Qu'ils crèvent. Tous. Autant j'aime bien rendre service quand les gens font un minimum d'efforts, autant ça m'insupporte de voir que la plupart ne cherchent pas à comprendre. Pire, ils ne veulent pas comprendre...

Alors, pour ceux-là, surtout qu'ils viennent pas pleurer si y a un problème, que leurs mots de passes sont dans la nature, ou autre.

Kolchack : #

Dans les grands établissements financiers où je sévis actuellement, le problème des mots de passe a été résolu de façon simple : l'utilisateur ne connait plus ses mots de passe, ils sont générés automatiquement par le système et stockés sur une carte à puce.
Ainsi, l'utilisateur n'a plus qu'à retenir le code PIN à 4 chiffres associé à sa carte, ce qui est nettement plus sécurisé...

(et si vous trouvez une carte à puce avec le logo de la banque dans les transports ou dans la rue, merci de la renvoyer au service informatique)

dnr : #


Pour résoudre ce problème de mots de passe à retenir pour chaque site, on peut utiliser une technique qui est d'utiliser quelques lettres communes à tous les mots de passe, et à ajouter un préfixe correspondant au site sur lequel on s'inscrit.



Super mauvaise idée. :(

Si j'obtiens un de tes mots de passes, par exemple parce que je suis administrateur peu scrupuleux d'un forum sur devicenotready.com et que je lis (en clair bien sûr) ton mot de passe "dnrM0NMDP", devinne ce que je vais essayer sur tes comptes Google, Amazon et autres? :)

Plus fondamentalement, il faut se demander pourquoi, quand on s'y prend correctement, on se retrouve avec 1 mot de passe par site en 2012. Ca donne une idée du total fail sur la gestion d'identité et de la gadoue dans laquelle on patauge.

@répondre

Dimanche 26 février 2012 à 18:14:18

Les commentaires sont fermés pour cet article