lock door Chrome semble afficher les mots de passe enregistrés en clair dans les préférences. Et c’est loin d’être le seul idiot à enregistrer les mots de passes en clair : Pidgin le fait également et je crois que FileZila aussi.

Solution :

N’enregistrez pas mots de passes dans votre navigateur, ni dans n’importe quel logiciel.


C’est clair là ?

Si vous voulez enregistrer vos mots de passe quelque part, il me semble que c’est encore plus sécurisé de les noter sur un calepin (oui le truc avec du papier, là). Pour augmenter la sécurité : notez une indication pour retrouver le mot de passe, et non pas le mot de passe.

L’idéal restant quand même de tout retenir de mémoire ; et à l’aide de méthodes mnémotechniques on y arrive très facilement.

image de Toni Verdú Carbó

46 commentaires

gravatar
Pumbaa a dit :
N’enregistrez pas mots de passes dans votre navigateur, ni dans n’importe quel logiciel.

Sauf dans KeePass, bien sur :)

gravatar
Arkham a dit :

Ou déléguer la gestion des mots de passe à Seahorse / Kwallet pour les Linuxiens

gravatar
Ralayax a dit :

Ouais je confirme filezilla stocke tout en clair et pire : en connexion rapide il stocke tout par défaut ! ><'
J'ai pas trouvé où on peut désactiver ça..
(j'ai pas vraiment cherché faut dire ^^ oui oui Google DuckDuckGo est mon ami !)

gravatar
cris a dit :

J'ai été très surpris lorsque j'ai découvert que pidgin stockait les pwd en claire dans un fichier de conf. Du coup je suis passé à empathy le client par défaut sur ubuntu, je le trouve moins bien, mais au moins les mots de passe sont cryptés.

La meilleurs méthode est en effet de les garder en mémoire, mais si on a un mot de passe différent pour chaque service, il est parfois difficile de se rappeler le mot de passe d'un compte qu'on utilise une fois par ans ^^

gravatar
cris a dit :

Je viens de remarquer que dans seahorse les mots de passe était accessibles juste en lançant l'application.
Du coup j'ai juste eu à faire clic droit sur le trousseau puis verrouillé. Le mot de passe est demandé si on souhaite le déverrouiller.

gravatar
Shill a dit :

@Pumbaa : +1
C'est vrai qu'avant c'était simple : monmotdepasse se durcissait en monmotdep4ss3 voir monmotdep4ss3) et c'était bon.
Maintenant, avec la multiplication des contraintes sur les mots de passe, j'en ai maintenant 4 ou 5 tournants rien que pour mes messageries perso et mes comptes Exchange. Hé oui mon hard password, celui que j'utilise pour le boulot et les vraies connexions importantes est parfois trop dur pour être accepté :D Du coup je commence à avoir des soucis pour savoir quel password est utilisé sur quel site.

Ah et puis il y a le wifi aussi... j'espère que vous n'enregistrez pas vos passphrase sur vos devices pour tenir ce discours !

Si on ajoute des partenaires qui te donnent un accès web a un site dont on ne peut pas changer le mot de passe (SSII inside, sic), bah ça devient dur à tenir et après avoir passé 20 ans à dire qu'on n'enregistre pas un mot de passe ailleurs que dans sa tête, je commence sérieusement à en revenir. Ah, et en prime j'échange des documents chiffrés avec des clés aléatoires générées à l'année pour chaque partenaire. Franchement, il devient nécessaire d'avoir un outil pour enregistrer tous ces mots de passe.

Du coup j'ai identifié le combo keepass (avec une vraie passphrase forte) + dropbox.
Dropbox devient cryptainer pour la base keepass qui est elle même chiffrée, du coup on a du double chiffrement. En plus comme il existe des clients dropbox et des versions de keepass pour tous les OS, on obtient une solution de stockage de mots de passe doublement chiffrée, accessible de partout, avec toutes les machines possibles, sous winwin, sous droïd, sous petitiOS, sous GeNoU/Linux, BSD...

Ce n'est qu'un conseil, mais pour les petites têtes comme moi qui commencent à avoir des problèmes pour mémoriser leurs quelques dizaines de passwords, vous avez une piste.

/Shill

gravatar
AlexRNL a dit :

J'hallucine le nombre de gens qui "découvrent" ça que maintenant o_O

Et c'est quoi cette campagne contre Google/Chrome/Chromium, l'ensemble des navigateurs existant fonctionnent de cette manière. Vous pensiez que la feature "retenir le mot de passe" fonctionnait comment ?

gravatar
Nono a dit :

Keepass inside TrueCrypt, and you're safe (enough for now).

gravatar
JohnJohn a dit :

"l'ensemble des navigateurs existant fonctionnent de cette manière"

Je ne sais pas pour Chrome, mais Firefox permet de définir un mot de passe principal pour crypter tous les autres.

gravatar
AlexRNL a dit :

@JohnJohn : Cela n'empêche en aucun cas la récupération des mots de passes. Pour récupérer le mot de passe en clair sur un formulaire il suffit de changer le type="password" en type="text" avec Firebug. Largement suffisant pour avoir les mots de passes des comptes "majeurs" Facebook, Google, etc.

En résumé :
N’enregistrez pas mots de passes dans votre navigateur, ni dans n’importe quel logiciel.

(oui, je cite l'article)

gravatar
JohnJohn a dit :

@AlexRNL : Le mot de passe principal est demandé à chaque fois qu'un mot de passe de la liste est utilisé.

C'est à dire que si tu arrives sur la page de connexion de facebook, un gros popup arrive et demande le mot de passe principal avant de mettre le mot de passe dans le champs principal.

Donc pour que le remplacement de type "password" par "text" marche, il faut que le mec soit arrivé sur la page de connexion, aie tapé son mot de passe principal, puis aie laissé son pc sans surveilllance et sans se connecter.

Ça me semble quand même plus sécurisé qu'un calepin que tu laisses trainer n'importe où :)

gravatar
Gilgamesh a dit :

(et de cacher en même temps l'utilisateur =) )

Pour les "mots de passe principaux", ça a tendance à fragiliser sur la machine et de donner accès à tous les mdp en... Un seul :s

Du coup, dans le même genre: google :s (sauf double ou plus vérifications).

gravatar
Goldy a dit :

Sous gnome 3, ce n'est pas le cas. Chrome utilise le gestionnaire de mot de passe de gnome qui est chiffré par défaut.

Par contre, ce n'est pas le cas de firefox.

gravatar
TitraxX a dit :

@AlexRNL :

+1.

De nombreux programmes stockent les mots de passe en clair ou de façon "obfuscated" (comme Opera) sans pour autant les crypter, et il est très facile de les retrouver (Nirsoft fait des programmes de ce type pour les navigateurs, les clés wifi, les clients mails).
À moins de crypter les mots de passe avec un autre mot de passe (comme Firefox avec le « master password » ou n'importe quel gestionnaire de mots de passe), il sera toujours possible de les retrouver.

gravatar
Lypik a dit :

C'est même pire que ça. En liant Chrome à son compte Google, ça synchronise tout, y compris vos mots de passe en clair qui se retrouvent donc sur leurs serveurs ! (cf. www.links.kevinvuilleumier.net/?dlGMSQ)

gravatar
AlexRNL a dit :

@Lypik : Euh non, pas en clair quand même. Les mots de passes sont chiffrés sur leur serveurs (source) avec une passphrase de ton choix si tu le souhaites.

Bien sûr, ça n'empêche pas que Google puisse déchiffrer tes mots de passes de toute façon.

gravatar
jefaispeuralafoule a dit :

Le vrai problème des mots de passe, c'est qu'ils ne sont jamais réellement complètement robustes. A partir du moment où il s'agit de taper un code quelconque, qu'il soit alphanumérique ou juste numérique comme pour une CB, l'immense majorité d'entres nous utilisons des moyens mnémotechniques pour les retenir. Or, si nous les retenons, c'est qu'ils ont quelque-chose de "marquant": une date de naissance, un prénom... bref, quelque-chose qu'une enquête "sociale" peut finir par mettre au jour. C'est comme cela que l'immense majorité des mots de passe sont alors mis à mal.

Ajoutons à ça les mots de passe dits standards, classiques, et là on a les annuaires de mots de passe (raimbow).

Les stocker? Cryptés ou non, ils sont tout de même sensibles, et restent finalement accessibles à partir du moment où ils sont stockés.

Là où ça devient paradoxal en plus, c'est que la multiplication des mots de passe, par la multiplication des services auxquels on accède, fait qu'on se retrouve face à un dilemme passablement pénible: avoir le même partout et risque tous ses abonnements en cas de compromission, ou bien en avoir un wagon de différents... et douter à chaque fois de quel mot de passe va avec quel service! J'ai eu le malheur assez classique d'avoir une quantité de mots de passe différents, puis de purger mon navigateur (j'avais stocké mes mots de passe). Hop, connexion à un service et là le drame... C'est quoi ce foutu mot de passe??? Récupération, changement... etc etc. Dans les faits? J'ai perdu 20 minutes parce que je n'étais pas foutu de revenir dessus!

Je me souviens d'une pub assez intéressante sur le sujet du mot de passe. elle était pour la CB Visa je crois, où une personne âgée se saisissait de son cabot pour regarder le tatouage au creux de l'oreille, et ainsi se souvenir de son code. Ca semble comique, mais c'est tellement vrai... Chacun sait qu'à force de multiplier les codes, les adresses, les numéros, on est alors envahis à tel point que se souvenir de tout devient difficilement gérable. Je vais prendre mon exemple qui est pourtant très restreint:
- Carte bleue
- Digicodes chez mon frangin et des amis (trois ou quatre codes différents)
- Quatre messageries (dont celle professionnelle)
- Skype
- Services internet: Twitter, WOT, trois forums différents, deux sites pros pour le développement, site interne pour le suivi d'incidents... et je dois en oublier
- Jeux: WOW (ou je sais...), Steam (pas le choix, quand on vous offre un jeu fonctionnant que via Steam...)
- Gmail (pour androïd uniquement, je n'utilise pas gmail)
- De manière pro: ma session, celle sur les trois serveurs internes que j'administre pour mon projet, VNC, Teamviewer chez certains clients, les mots de passe applicatifs pour préserver les sources
- Identifiants hardware: ma propre box, le wifi perso et le wifi pro au boulot...

Y a de quoi devenir complètement chèvre à force d'en avoir trop non? Et pourtant je ne suis pas un consommateur de services, la preuve en est que je n'ai pas de profil sur la plupart des réseaux sociaux, ou alors j'en ai un, mais je m'en contrefous totalement, car ils ne me servent pour ainsi dire jamais.

J'ai à présent la chance d'avoir une machine dotée d'un système biométrique pour l'authentification initiale. Hop, une empreinte digitale, et roule. Oui, c'est peut-être potentiellement risqué, au titre que si le lecteur se met à cafouiller, je peux rester avec une machine bloquée (mais le mot de passe biométrique est présent en concurrence d'un mot de passe manuel). Ce qui pourrait représenter un avenir pour les mots de passe, c'est la création d'un système protocolaire standard, comme par exemple une norme biométrique format clé USB par exemple, où l'on aurait que cette lecture pour s'épargner la peine de devoir retenir ses mots de passe. Je pense qu'on serait là dans un monde déjà bien plus sécurisé, et qui plus est autrement plus difficile à pirater qu'un "MonMotDePasse12345". La complexité du biométrique offre tout de même une sécurité autrement plus élevée, sauf si, bien entendu, le serveur est compromis.

PS: et si l'on veut des mots de passes différents d'un service à un autre, on a dix doigts. Un doigt par service, ça sécurise énormément, non?

gravatar
Meewan a dit :
N’enregistrez pas mots de passes dans votre navigateur, ni dans n’importe quel logiciel.

-1

je vais me faire haïr mais il n'est pas nécessaire d'avoir une sécurité très élevé sur tout les sites ou on va. La plus parts des sites et blogs demandent un compte pour pouvoir poster, il leur faut donc un mot de passe. La sécurité de mon compte sur les forum ou je ne vais qu'une fois pour répondre a quelqu'un ou sur lequel je m’inscrit pour pouvoir lire un post (c'est inutile, je poste ici sur un compte ouvert sans avoir peur qu'on me vole mon identité...) ne m'importe pas. Pour toutes ces application je n'utilise qu'un ou deux mots de passes qui sont sauvegardé sur mon pc. Après il y a les applications qui demandent un peu plus de sécurité (mail, compte administrateur...) cela sont beaucoup moins nombreux (par exemple je n'ai qu'une adresse mail sécurisé, ce qu'il arrive aux autres je m'en fiche) et ces mots de passe peux nombreux peuvent être appris par cœur(et ne doivent JAMAIS apparaitre sur le HDD d'une machine en clair).

Pour moi il y a donc une distinction entre les catégories de mots de passe et confondre ses deux catégories mène a des problème de sécurité..

gravatar
jefaispeuralafoule a dit :

Tu ne te feras pas haïr, en tout cas pas par moi. Là où cela coince me concernant, c'est que ton raisonnement se base sur le fait que les dits sites à mot de passe "anodins" peuvent également voir leur base de mots de passes piratés... et l'on sait que nombreux sont ceux qui utilisent un même mot de passe partout. Typiquement, c'est la méthode utilisée par de nombreux pirates pour hacker les comptes de World of Warcraft. 1° ciblage des forums PhpBB vulnérables. 2° Récupération des comptes. 3° tentative de connexion avec ces coordonnées.

gravatar
Fox a dit :

Sinon, il existe le plugin ChromeIPass permettant à Google Chrome d'aller chercher les mots de passe stockés dans une base de données KeePass (en version 2.x). Pratique, et sécurisé !

gravatar
toto a dit :

Mettre ses mots de passe sur le cloud, même "doublement" chiffré est une des pires idées qu'il soit !
C'est un peu comme ceux qui chiffrent plein de trucs et qui mettent leur clé privée sur le net pour pouvoir l'utiliser depuis n'importe où... Ces gars pensent que leurs données sont hyper sécurisées alors que finalement la seule chose qui reste entre eux et d'éventuelles personnes malveillantes c'est leur paraphrase.

gravatar
toto a dit :

@toto : passphrase (les correcteurs automatiques c'est bien mais parfois ils corrigent un peu trop!) :)

gravatar
jefaispeuralafoule a dit :

@toto : Le cloud est et restera à mes yeux un souci majeur, tant pour la sécurité de la donnée, que sur sa manière de la stocker. Externaliser la donnée, quelle que puisse être celle-ci, c'est s'exposer à des risques qui n'existeraient pas autant en interne... Donc, passphrase ou pas, crypto ou pas, à partir du moment qu'on peut y accéder depuis n'importe où, cela signifie en substance accessible par n'importe qui.

gravatar
H2G2 a dit :

C'est vraiment débutant de d'annoncer cette couleur:

Chrome semble afficher les mots de passe enregistrés en clair dans les préférences. Et c’est loin d’être le seul idiot

Comme si ce n'était pas pire pour Windows. Sur windows tu n'as pas besoin du mot de passe pour changer d'utilisateur avec le hash c'est suffisant. Mais ça c'est encore bisounours. Le problème c'est que tous les ordinateurs connecter à l'AD stock dans un processus, le hash de l'admin... Qui dit admin dit accès à tous les comptes.

Pour faire simple l'ordinateur au collège bin il a le mot de passe admin dans la mémoire vive. A coté chrome ne me dira jamais les secrets d'une entreprise.

gravatar
Le Hollandais Volant a dit :

@H2G2 : Avec chrome, le premier kikou venu peut te prendre tous tes mots de passes.
Quand l’OS stocke un mot de passe en mémoire, 1) il devrait déjà protéger cette plage mémoire 2) aller prendre des données directement dans une adresse mémoire de la RAM, le premier kikou venu il n’y arrivera pas.

Il est toujours possible de récupérer quoi que ce soit, mais certaines choses sont plus faciles à trouver que d’autres.

Sinon l’OS ne prendrait pas la peine de stocker un hash du mot de passe utilisateur sur le disque dur, mais il stockerait le mot de passe directement…

gravatar
galex-713 a dit :

+1 pour SeaHorse et les collections de mot-de-passe chiffrés avec une même clé symétrique.

gravatar
Nek a dit :

FLASH INFO: dans firefox aussi; noob

gravatar
Shill a dit :

@toto :

C'est un peu comme ceux qui chiffrent plein de trucs et qui mettent leur clé privée sur le net pour pouvoir l'utiliser depuis n'importe où... Ces gars pensent que leurs données sont hyper sécurisées alors que finalement la seule chose qui reste entre eux et d'éventuelles personnes malveillantes c'est leur paraphrase."


> Même chose en local mon cher ami... une fois la machine compromise tout est terminé.
Personnellement, je fais bien plus confiance à un dropbox-like - stocke-t-il ses données aux USA - qu'à moi même pour être réactif face à une compromission et pour assurer la haute disponibilité des données. Tout simplement parce que je ne suis pas en permanence devant mon PC. Certains services de cloud sont risibles, d'accord (ohhh tiens mon lien contient un hash de ma passphrase !), mais pas tous.

Reste la solution de la clé USB chiffrée qu'on a toujours sur soi... inutilisable sur nombre de machines pro, et potentiellement égarée. Pas mieux du coup :(

Le besoin que j'exposais était de retenir une panoplie de mots de passe pas forcément choisis ou modifiables, d'accéder à une "boite à clé" de n'importe où avec n'importe quel appareil et tout ça en chiffrant les données pour qu'elles ne soient pas accessibles au premier passant. J'ai tenté de proposer quelque chose, qui a ses défauts évidemment, mais qui me semble utiliser au mieux les technologies et les services disponibles à l'heure actuelle. Qu'est-ce que vous avez dans vos cartons pour répondre à ce besoin, à part m'expliquer comment le faire disparaitre ?

@jefaispeuralafoule :

Ce qui pourrait représenter un avenir pour les mots de passe, c'est la création d'un système protocolaire standard, comme par exemple une norme biométrique format clé USB par exemple, où l'on aurait que cette lecture pour s'épargner la peine de devoir retenir ses mots de passe.

Ca me semble incompatible avec le vieux paradigme de quelque chose que je possède + quelque chose que je connais, ie CB et code, reconnaissance de la main + mot de passe, ou même clé et adresse.
Ceci dit je ne connais pas du tout ce que vous évoquez, et si la possession du matériel ne vous dispense pas de connaitre un élément d'authentification pourquoi pas... Sinon je vous vole votre beau token, et je coupe la main avec, comme ça pas de souci... En tout cas ça peut être intéressant, la CNIL va adorer :)
C'est bien d'avoir une machine à authentification biométrique (digitale je suppose ?) mais si il n'y a pas de SSO derrière, il manque quelque chose. Et à qui confiez-vous la gestion du SSO ? ;-)

/Shill

gravatar
OKso a dit :

Perso je suis assez content de mon approche, via un petit script:

mot_de_passe = base64(sha512(nom_du_site + clef_secrete_clavier + clef_secrete_disque))

J'ai ainsi un mot de passe différent pour chaque site, qui dépend d'un long code aléatoire présent sur mon ordi que je ne connais pas, d'une clef secrète qui n'existe que dans ma tête (et qui ne peut être vérifiée par l'ordi) et d'un identifiant pour le site en question.

Le principal défaut étant les politiques à la con de règles sur les mots de passe, nommément:
- Apple: il faut au moins un caractère spécial dans le mot de passe
- DealExtreme: le mot de passe que vous entrez sera tronqué en silence et seuls les 20 premiers caractères seront valides
- OVH: limite à max 31 caractères

gravatar
galex-713 a dit :

@OKso : Je déteste les restrictions de mot-de-passe aussi ;)
Sinon pas bête ta technique… t’utilises quoi pour la mettre en œuvre aisément ?

gravatar
OKso a dit :

@galex-713 :

Mon script se trouve ici. Il n'est pas documenté, mais le code est très lisible (Python).

Il demande le "verrou" à chaque lancement, deux fois pour limiter les erreurs de frappe, puis à chaque fois que j'entre un nom et presse entrée je n'ai plus qu'à copier-coller le résultat.

Pas grand-chose d'agréable à utiliser donc, mais je l'utilise déjà quotidiennement depuis un bon moment (je demande à mon navigateur de sauvegarder les mots de passe les moins sensibles). Il a le grand avantage d'être portable et reproductible (même sur Android ou via SSH sur un serveur).

A l'époque où j'utilisais principalement OS X, j'avais créé un widget pour le Dashboard (la seule vraie utilité de ce truc...), mais idéalement il faudrait un plugin dans le navigateur qui récupère le nom du site visité automatiquement, et entre le mot de passe de façon plus sécurisée qu'un copier-coller (à la iCloud Keychain). Si quelqu'un s'y connait en plugins navigateur...

gravatar
galex-713 a dit :

@OKso : Voilà je pensais bien à un plugin pour navigateur Web, dans l’idéal ce serait le mieux.

Pourquoi ton code est sous Affero ? Tu l’utilises à distance ?

gravatar
OKso a dit :

@galex-713 : Oui en effet, mais je n'ai pas encore eu la volonté de m'attaquer à ce domaine.

J'utilise l'AGPL par défaut dans mes projets. Je n'utilise pas (encore) ce code à distance, mais ça pourrait venir (pour un accès dans les environnements non sécurisés comme les cybercafés).

gravatar
galex-713 a dit :

@OKso : Ah mais sinon t’as pensé à utiliser autre chose que base64 ? Avec plus de 64 caractères ? Le genre de caractères que personne n’utilise… il faudrait un truc comme base64 pour touts les caractères affichables d’Unicode… Au pire plus de 64 caractères (ya plus de 64 caractères affichables en ASCII) et que la passphrase soit demandée une fois seulement au démarrage et qu’ensuite il la garde en mémoire pour l’exécution serait pratique.
Parce qu’en attendant je me sens presque plus sûr avec mes mots de passe aliant plusieurs langues nécessitant des caractères Unicode divers (français, italien, espéranto, grec ancien polytonique, latin avec longues et brèves, espagnol et caractères spéciaux en tout genre) dans une très longue chaîne sans beaucoup de sens avec une simple chaîne dans le mot de passe qui change en fonction de ce qui requiert le mot de passe quand tout le reste reste pareil…

gravatar
OKso a dit :

@galex-713 : Dans la première version, j'utilisais de l'hexadécimal (sortie par défaut des fonctions de hash cryptographique). La base 64 permet d'avoir bien plus de bits par caractère tout en restant compatible avec l'ASCII et en évitant les problèmes d'encoding, ainsi que d'éviter ces sites crétins (et nombreux) qui empêchent l'utilisation de caractères spéciaux et ceux qui ne gèreraient pas l'Unicode correctement.

Je vois plus d'inconvénients à l'Unicode par rapport à la base64 dans le cas d'un générateur comme le mien: j'ai pour l'instant 192 bits d'entropie, mais si j'en veux plus il suffit que j'augmente la longueur du mot de passe.

Après, je prends note de la technique pour ce qui est des mots de passe mémorisable: pour des mots de passe courts (comme dans "mémorisables"), l'utilisation d'Unicode est suffisamment rare pour considérer que les bots ne s'y essaient même pas. Ca ne m'étonnerait pas que "☃" soit du coup plus sécurisé que C0bGzy.

En ce qui concerne les mots de passe mémorisable, ma technique vient d'un ancien prof: choisi un morceau arbitraire de longueur arbitraire d'une chanson peu connue, dans une langue peu commune, et aligne la première lettre de chaque mot.

Un mauvais exemple (car auteur connu, langue commune):

(...) si le gorille
Aux jeux de l'amour vaut son prix,
On sait qu'en revanche il ne brille
Ni par le goût, ni par l'esprit.

=> slgajdlavsposqerinbnplgnple
(à consolider éventuellement avec du 1337 5P34K, etc)

gravatar
galex-713 a dit :

@OKso : Excellente idée celle de la chanson. Sinon avec le 1337 5P34K on oublie : https://xkcd.com/936/ (note qu’ici xkcd ne pense pas aux attaques par dictionnaire… c’est con). L’unicode c’est bien dans un mot d’une langue peu usitée, comme le latin : « rosā », certaines conjugaison de l’italien « allora mi riccordò », le tilde espagnol « mañana », le grec ancien polytonique « Μουσῶν », etc. ajoute ça à une phrase bien longue en plusieurs langues avec des mots nouvellement introduits dans des langues anciennes (« computatrum », « ordinatrum » ou « helicopterum » en latin), et t’as un truc que t’oublis jamais et qui est quasiment indevinable.

Perso j’ai pas encore trouvé de site web où on ne peut pas mettre ce qu’on veut dans les mots de passe (c’est très con en plus), mais bon…

gravatar
Asc a dit :

@OKso :
Le script peut être amélioré avec
mot_de_passe = base64(hex2string(sha512(nom_du_site + clef_secrete_clavier + clef_secrete_disque)))
les mots de passe deviennent deux fois plus courts et reste aussi sécurisés.

gravatar
jefaispeuralafoule a dit :

@Shill : Je parlais d'une clé USB contenant un lecteur d'empreinte, de sorte à ne pas être tributaire d'un lecteur déjà installé. De fait, je ne parlais pas de disposer du token dans la clé, mais utiliser la clé pour avoir le lecteur sur soi... rien de plus:)

gravatar
OKso a dit :

@Asc : Je fais une base64 du résultat binaire du hash, pas de sa version hexadécimale.

@galex-713 : Jolis, les nouveaux mots latins. J'aime bien l'idéum. L'incertitude par bit est moins grande que pour l'astuce de la chanson, mais c'est bien plus facile à communiquer oralement.

gravatar
galex-713 a dit :

@OKso : Communiquer oralement ? Tu rigoles ? Si un jour la police vient me confisquer mon ordi pour avoir ma clé GPG privée, et qu’ensuite il me demandent le mot de passe pour la déchiffrer… on risque d’y passer 3 jours avant de trouver comment écrire les accents des longues, des brèves, le grec ancien polytonique et certains caractères spéciaux avec un clavier AZERTY sous Windows… et si je leur parle de BÉPO il vont péter un câble… et s’ils me laissent accéder à l’ordi je pourrais supprimer/ajouter/modifier ce que je veux (j’hésiterais pas à exécuter certains scripts de sauvegarde de données sur des lieux éloignés, et à supprimer ce qui peut déranger avec shred). Puis c’est impossible à retenir si on comprend pas les motivations inexplicables qui m’ont poussé à choisir chaque mot de mes mots de passe…

gravatar
moebius_eye a dit :

Pour ce qui est de pidgin, il a un plugin qui permet d'utiliser gnome-keyring.
Pareil pour Kwallet (l'équivalent KDE).
Sinon, il y a un truc plus ou moins universel, pour chiffrer ces données sensibles:
Une clé usb chiffrée, dans laquelle on ne met que les dossiers de configuration de ces applications.

gravatar
galex-713 a dit :

Non, on chiffre tout l’OS (parfaitement sécurisé à l’image de Tails) on fout ça sur une mini SD 64Gio (avec sécurité pour empêcher la réécriture de GRUB) caché dans entre deux dents (à la Hannibal Lecter) avec non pas un initrd qui déchiffre mais carrément GRUB qui prompt pour un mot de passe (de plus de 100 caractères tout en Unicode dans plusieurs langues dont plusieurs langues vivantes, construites et anciennes) qu’il utilise pour déchiffrer la partition LUKS et lire /boot pour lancer Linux avec le mot de passe/clé en paramètre (il peut le faire), et on est sûr d’utilisé un ordinateur de poche 100% libre (hardware compris) dont on connaît le fonctionnement, de la carte mère jusqu’à l’architecture CPU.

Là avec un peu de chance tu pourra te sentir en sécurité.

gravatar
fred 9 a dit :
N’enregistrez pas mots de passes dans votre navigateur, ni dans n’importe quel logiciel

Bonjour,


Pour enregistrer ses mots de passe de façon sécurisée, il y a le logiciel Dashlane. Ce logiciel crypte les données, il est en français, il permet mme de remplir automatiquement les champs utiles. Il permet également de supprimer tous les mots de passe enregistrés dans plusieurs navigateurs comme Chrome, Firefox et Internet Explorer.

Lien vers un article que j'ai consacré à Dashlane.
Liens vers le site officiel de Dashlane

gravatar
Hegurka a dit :

Tout ça, OK, sur ordinateur, mais sur smartphone, sait-on bien ce qui se passe vraiment ?

Les commentaires sont fermés pour cet article