40 millions de comptes iCloud dans la nature ! Voici le genre de nouvelles que nous rencontrons de plus en plus régulièrement, je pourrais même dire qu'il est de plus en plus rare de voir une semaine se passer sans qu'une telle nouvelle ne soit annoncée. Et cela touche absolument tous les prestataires de services sur Internet, de la plus grosse entreprise comme Apple à la plus petite des start-ups...
C'est pourquoi j'ai décidé à la suite de Sébastien en 2014 de vous présenter, sous la forme d'une petite piqûre de rappel, les bonnes pratiques pour la gestion de vos mots de passe afin d'optimiser au mieux la sécurité de votre vie numérique. Ce petit recueil de trucs et astuces n'a pas vocation à être exhaustif mais contient, à mon avis, les principales mesures à mettre en oeuvre pour vivre sa vie numérique relativement sereinement.
Un compte, un mot de passe !
Au niveau de la gestion de ses mots de passe, il existe une seule et unique règle impérative : Un compte = un mot de passe ! On ne doit pas transiger avec cette règle : dès que vous devez créer un couple identifiant/mot de passe, alors le mot de passe doit être unique ! Cela s'explique par le fait que si par malheur votre mot de passe se retrouvait dans la nature, alors celui-ci débloquerait uniquement un environnement et pas l'intégralité de vos comptes.
Pour pouvoir facilement appliquer cette règle, le plus simple est d'utiliser un gestionnaire de mots de passe. Il en existe plusieurs sur le marché mais sur Cuk nous aimons vous recommander 1Password, tant pour sa simplicité d'utilisation que pour sa puissance. Son principe ? Grâce à un mot de passe unique, vous allez pouvoir créer (et mémoriser dans un espace sécurisé) un nombre infini de mots de passe :
Création d'un mot de passe aléatoire
Avec le générateur de mots de passe de 1Password, il vous sera ainsi facile de créer un mot de passe totalement aléatoire et différent pour chacun de vos comptes. Et comme dit plus haut, si un compte venait à être corrompu, cela n'aura pas d'effets sur les autres vu que les mots de passe ne seront pas similaires. Il est également intéressant de noter que ce genre de sésame va considérablement compliquer la vie des personnes malintentionnées de par le caractère aléatoire de celui-ci. A contrario, si vous aviez un mot de passe standard avec une déclinaison particulière sur chacun de vos comptes, il serait nettement plus simple de retrouver les autres sésames.
JaimeCUK ou JaimeiCloud ne sont pas de bons mots de passe, malgré leur unicité !
Le deuxième avantage majeur d'une application comme 1Password est que, en plus de vous permettre de générer des codes, celle-ci va les mémoriser (ainsi que pleins d'autres informations de votre choix) dans une sorte de coffre-fort numérique très fortement sécurisé. Plus besoin de se souvenir de vos codes, mis à part le « One », celui ouvrant 1Password !
Bien choisir un mot de passe
Avant de pouvoir utiliser 1Password, il va donc falloir choisir un code facilement mémorisable pour vous, mais très difficilement devinable pour les autres ! Et en la matière, il est important d'éviter certaines erreurs, dont la plus grossière, celle du mot de passe trop facile. Par exemple, en 2014 (et il en est de même pour 2015 et probablement 2016), SplashData a présenté la liste des (pires) mots de passe les plus fréquemment utilisés. Voici les résultats :
Les mots de passe les plus utilisés en 2014
Comme vous l'aurez certainement compris, les mots de passe tels que 123456 ou password sont absolument à bannir ! Ainsi, pour déterminer un mot de passe suffisamment sécurisé pour 1Password, je vous conseille de suivre quelques règles élémentaires :
- Il doit être suffisamment long (au strict minimum 8 caractères mais 12 sont plus que recommandés).
- Il doit comporter des lettres majuscules et minuscules.
- Il doit comporter au minimum un chiffre ainsi que des symboles.
- S'il contient une faute d'orthographe, c'est un plus indéniable dans la mesure où les mots du dictionnaire doivent être évités.
Au-delà de ces règles élémentaires, j'aurai plus tendance, dans le but de faciliter la mémorisation, à vous conseiller de fabriquer une phrase-code avec les éléments ci-dessus (par exemple tirée d'un film, de votre série ou chanson favorite) :
MaseulEreligion?LApastaALDENte*5 peut être un bon exemple de code
Ainsi, nous avons ici un code qui est particulièrement difficile à trouver via les techniques de force brute, mais également via l'ingénierie sociale. En effet, plus les codes sont longs, plus ils comportent chiffres et symboles, moins ils seront rapides à casser par un ordinateur essayant toutes les possibilités. Et au niveau de l'ingénierie sociale, même si la personne sait que vous aimez les pâtes al dente (comme Floriana de Mangiare Ridere), il lui sera particulièrement difficile de savoir où se trouvent les majuscules, chiffres et symboles.
En suivant mon exemple et les règles décrites, vous allez pouvoir déterminer un mot de passe maître suffisamment complexe servant à protéger 1Password ainsi que tout ce que vous aurez placé dans votre coffre-fort numérique. Dans la mesure du possible, cela doit être le seul mot de passe non-aléatoire que vous possédez. Mais, parfois, il est obligatoire d'avoir un autre mot de passe mémorisable (pour, par exemple, avoir accès à iCloud en tout temps) : dans ce cas-là, n'hésitez pas à procéder de la même manière tout en respectant la règle d'or un compte = un mot de passe.
La double authentification
Pour bien protéger vos différents comptes, il ne suffit pas d'avoir un bon mot de passe généré par 1Password : il est de plus en plus fréquent que les sites vous proposent une double authentification. L'idée ici est de compliquer encore un peu plus la tâche des personnes malveillantes en protégeant vos comptes de deux manières : d'une part par un mot de passe fort, mais également par une vérification de votre identité via une application ou un code envoyé par SMS. C'est relativement efficace et apporte une protection supplémentaire à vos données. Je ne peux donc que vous conseiller d'utiliser ce système !
Il existe néanmoins des contradicteurs à ce genre de protection pour la simple raison qu'ils ne désirent pas divulguer leur numéro de téléphone mobile à un prestataire de service. Cette réflexion est tout sauf du bon sens car, malgré vos efforts, il est quasi certain que les prestataires de services intéressés par votre numéro de téléphone le possèdent déjà. En effet, même si vous ne le transmettez pas, vous avez forcément un·e ami·e, un·e membre de votre famille, un·e collègue de travail qui l'aura fait pour vous au travers d'applications comme What's App, Skype ou d'une simple application de lampe de poche. Ainsi, Apple, Microsoft, Google, Dropbox, Twitter, Facebook ou autres auront accès à vos données via le carnet d'adresses de l'une de vos connaissances sans même avoir obtenu votre autorisation. Dans ce cas, autant utiliser la double authentification vu que celle-ci augmente significativement votre sécurité !
D'autre part, il est assez incohérent de ne pas vouloir divulguer à votre prestataire de service votre numéro de téléphone alors que vous lui donnez tout un tas d'autres données personnelles au travers de l'utilisation de son service.
Les questions personnelles
Si malgré mes explications vous ne désirez pas utiliser la double authentification dynamique ou si un site ne la propose pas, il est souvent possible de sécuriser vos comptes via un système de questions personnelles : pour accéder aux données confidentielles, vous devez répondre à un petit questionnaire que vous avez préalablement établi. Par exemple, on vous demandera quelle est votre fleur préférée. Ce genre de protection est la cible principale des attaques par ingénierie sociale et, grâce à 1Password, il est facile de s'en prémunir : au lieu de répondre à la question par une phrase ou un mot classique, lors de l'établissement du questionnaire, il vous suffit d'utiliser un code aléatoire.
Quelle est votre fleur favorite ? la réponse pourrait être : Xj5xFPYBdPAqJQCMY7t=BE#Y"Ki4Rg
Il faudra ensuite introduire la question et la réponse dans le coffre-fort de 1Password pour couper court à toutes tentatives destinées à deviner votre réponse (et accessoirement oublier la réponse qui est très difficilement mémorisable).
Exemple d'identifiant 1Password
Cette manière de faire aura comme autre avantage de protéger vos autres comptes contre les personnes malveillantes. En effet, si l'un de vos comptes tombe entre de mauvaises mains, ces personnes ne pourront pas utiliser les éléments dérobés pour tenter de déduire vos réponses à un questionnaire se trouvant sur un autre site. Vous serez donc doublement protégé !
1Password, partout et tout le temps
Ces petits trucs et astuces vont donc vous permettre de minimiser les éventuelles conséquences d'une intrusion ou d'un vol de données chez vos différents prestataires de services. Néanmoins, cela va générer une contrainte pour vous : le fait de ne plus connaître vos codes par coeur, vous obligera à toujours avoir accès à l'un de vos appareils disposant de vos données 1Password pour pouvoir vous identifier. Heureusement, la nature multi-plateformes de l'application va vous permettre de l'utiliser sur les systèmes macOS, iOS, Windows ou Androïde.
Il ne restera donc plus qu'à transférer votre coffre-fort numérique d'un appareil à l'autre et pour cela, il existe deux méthodes : la méthode dynamique en plaçant celui-ci dans le cloud, via des services comme iCloud ou Dropbox. Le logiciel étant conçu pour cela, la synchronisation est facile et fiable. Il faut néanmoins activer une petite option dans 1Password pour sécuriser complètement vos données :
OPVault pour Dropbox
Si vous n'activez pas l'option OPVault pour Dropbox, vous pourrez utiliser le site web de Dropbox pour avoir accès à vos identifiants à distance. C'est intéressant mais il faut savoir que seuls vos mots de passe seront codés et pas vos identifiants. Etant donné que nous avons quasiment toujours nos téléphones à portée de main, je préfère activer l'option pour que mon coffre-fort soit totalement sécurisé (m'empêchant ainsi d'y accéder via le portail web de Dropbox) et profiter de l'application mobile pour accéder à mes données stockées dans celui-ci.
Si vous ne désirez pas utiliser le cloud pour synchroniser vos mots de passe et identifiants ou si vous ne changez pas régulièrement les informations stockées dans le coffre-fort, il est également possible de synchroniser vos différents appareils entre eux via WiFi. Cela vous garantit que vos données ne seront jamais stockées ailleurs que sur vos appareils, vous offrant une protection supplémentaire.
Les choses à ne pas faire...
Pour terminer ce petit article, je pense qu'il est important de signaler les choses à ne surtout pas faire, au risque de voir la sécurité de vos données personnelles potentiellement compromise :
- Ne pas conserver ses mots de passe inchangés pendant des années. Régulièrement, changez-les !
- Ne pas conserver tels quels les mots de passe envoyés par email. N'oubliez pas qu'un email, ce n'est rien d'autre que l'équivalent électronique de la carte postale.
- Ne pas conserver vos mots de passe dans un fichier .txt non crypté. Si quelqu'un a accès à votre ordinateur, la catastrophe n'est pas loin.
- Ne pas donner à tout-va vos informations personnelles, cela facilite grandement la découverte de vos identifiants.
- Ne pas mémoriser vos données bancaires sur les sites web, laissez donc faire 1Password !
En évitant ces erreurs et en suivant mes petites astuces, vous avez l'assurance d'avoir minimisé les risques pour vos données lorsque l'un de vos prestataires se fera voler des informations. Et lorsque cela arrivera (car malheureusement, cela arrivera), rien ne sert de paniquer. Au contraire même, connectez-vous simplement à votre compte, modifiez votre mot de passe et c'est tout. Vous pourrez dormir le coeur léger car toutes vos autres données seront bien à l'abri.
, le 26.07.2016 à 06:47
Trousseau d’accès peut être d’une quelconque aide à bec niveau ?
, le 26.07.2016 à 07:48
Merci pour ce rappel.
Difficile de suivre toujours tous ces conseils pourtant…
Mais c’est vrai que 1Password est LA solution idéale pour être au plus prêt possible de ce que tu nous rappelles.
, le 26.07.2016 à 08:05
@Ivme : Malheureusement, le Trousseau d’accès ne possède pas des fonctions élémentaires : la génération de codes aléatoires, la possibilité de stocker d’autres informations que les identifiants (pour conserver de manière sécurisée les réponses aux questions personnelles par exemple). Même si 1Password peut paraitre cher à première vue, il faut voir tout ce qu’il apporte pour ta sécurité. Sans oublier que depuis 2011, j’ai toujours eu les upgrades gratuites car l’éditeur est très fair dans sa politique tarifaires.
@François : En quoi sont-ils difficiles à suivre ? J’ai pourtant bien réfléchi à des mesures simples à mettre en oeuvre.
, le 26.07.2016 à 08:31
Tout mes mots de passe sur une « note » (app post-it), synchro auto sur tout mes ibidules instantanée. Si un soft permet la même chose aussi facilement, je prend. J’ai plus d’une centaine de mots de passe actif, et certain change tout les mois et je peut lire mes accès ainsi que le serveur/banque/Alarm/cofre/forum/etc..correspondants à l’ouverture de la note.
, le 26.07.2016 à 08:38
Tout dans une seule note, c’est ce qui s’appelle vivre dangereusement.
Rigolo ce thème car ces derniers temps, j’y ai pensé très fort à ce problème de pwd… on en a tous de plus en plus et de part leur complexité toujours grandissante, l’utilisateur se retrouve toujours plus souvent à les écrire quelque part… ce qui annihile l’objectif premier du pwd sûr.
Avec l’arrivée du login automatique montre/index sur Mac, Keychain aurait une belle carte à jouer s’il était meilleur comme le mentionne Renan.
Le temps perdu avec ces mots de passe… voilà bien un secteur qui aurait besoin d’une révolution.
T
, le 26.07.2016 à 08:53
Rien de tous ces conseils n’empêcheront ce type ce vol, au mieux, ils le limiteront.
A condition que le voleur n’ai pas modifié les identifiants…
Rien ne dit qu’il ne possède pas de backdoor, ni qu’il ne sera jamais craqué.
PS une double négation s’annule, donc il faut selon toi:
– conserver ses mots de passe pendant des années
– conserver ses mots de passe reçus tels quel
etc.
:-))
, le 26.07.2016 à 09:15
Bien que j’applique la plupart de tes conseils, je suis assez d’accord avec Le Corbeau : ça n’empêchera en rien les vols massifs de mdp, qui semblent nettement plus lucratifs et intéressants que le crackage individuel du compte de Mme Grinder…
Mon aversion pour le code fermé me fait fuir 1password et j’ai donc opté pour KeePass.
J’aimerais par contre connaître ton avis sur la sauvegarde automatique des id/mdp par les navigateurs : bon ou mauvais plan ?
, le 26.07.2016 à 09:39
Renan, simplement, on a souvent envie d’avoir un mot de passe dont on se rappelle assez bien, même difficile, pour tout ce qui est financier par exemple. Histoire d’avoir accès hyper rapidement aux données, sans ouvrir un gestionnaire.
Mais je le répète, je suis en grande partie tes conseils, je suis prudent.
Et ne pas oublier que beaucoup de logiciels sur iOS intègrent 1Password!
, le 26.07.2016 à 09:40
Renan, à mon avis, tu te trompes, le nouveau trousseau d’accès gère la création de mots de passe automatiquement.
, le 26.07.2016 à 10:01
Sauf erreur de ma part, le TROUSSEAUX D’ACCÈS de Mac OS permet aussi de créer des Notes Sécurisées à volonté.
Je ne suis pas capable de qualifié le niveau de sécurité mais cela me semble une bonne option avec peut-être l’activation du FileVault en sus.
, le 26.07.2016 à 10:09
Je me permets de répondre… perso j’utilise cette fonction pour les trucs nazes/pas importants dans Safari avec lequel je surfe sur tout et n’importe quoi. Par contre, pour tout ce qui est plus importants (finance, admin de sites, etc.), je le fais dans Firefox et avec ce dernier, je ne surfe jamais sur des trucs inconnus.
J’ai adopté ce réflexe (entre autre) parce qu’il y a quelques années, des failles dans les navigateurs permettaient de récupérer les pwd enregistrés… je ne sais pas si c’est encore le cas… mais un parano averti en vaut deux.
T
, le 26.07.2016 à 11:11
Un petit site pour vérifier la valeur d’un mot de passe:
Ici
ou encore mieux ici
Bonne journée!
, le 26.07.2016 à 11:12
J’utilise aussi 1Password, et de temps à autre je change aussi le mot de passe de celui-ci. Mais comment vous faites pour que vos héritiers puissent accéder à vos données si un jour…?
, le 26.07.2016 à 11:13
C’est quoi le bon choix ?
Keepass ou 1Password ?
Je constate, ici, des avis divergents. Cela signifie que la faille existe (:>((
Quelle sécurité supérieure fait que 1Password ne sera jamais piraté ?
Je ne suis pas convaincu de l’unanimité de pensée et qu’il faille mettre tous ses oeufs dans le même pannier, mais alors :
– Faut-il noter ses codes sur un papier placé dans un coffre de proximité (:>))
– Apprendre par coeur la phrase sésame pour le truc financier,
– Confier ses codes à sa banque favorite via l’Appli dédiée. Une banque c’est Sécur, ou me trompe-je ?
Effectivement, actuellement, nous vivons dangereusement.
, le 26.07.2016 à 11:52
Que penser de dashlane, payant, bien sûr pour le fonctionnement via un cloud ?
, le 26.07.2016 à 11:55
@Renan
Je confirme l’info de François. Le trousseau permet la généralisation de mots aléatoires selon diverses « stratégies » : Memorisable, Lettre/Chiffre, aléatoire, Fips-181. La longueur max est par contre limitée à 31 glyphes.
Par ailleurs il autorise aussi la mémorisation d’autres informations via les notes sécurisées, même s’il n’y a pas d’automaticité les concernants.
, le 26.07.2016 à 12:25
Chouette de voir tout plein de commentaires :)
@Le Corbeau : Il ne me semble pas avoir dit que cela empêche les vols massifs de données, mais bien que cela limite leurs impacts. Il est clair qu’un vol d’identifiants restera problématique, mais en tant que simple utilisateur, nous ne pouvons guère faire mieux.
Concernant la modification des identifiants, la question peut se poser mais lorsque un tel volume est dérobé, je doute que Monsieur ou Madame Lambda soient les premières cibles. Cela laisse un peu de temps pour agir.
@pter : Si ton compte iCloud venait malheureusement à figurer parmi les 40 millions de comptes volés, toute ta vie numérique serait mise en danger car ton fichier non crypté se retrouverait lisible facilement par les hackers. Alors qu’un coffre-fort numérique comme 1P compliquerait singulièrement la tâche des voleurs. Je te conseille donc vivement de changer de méthode de gestion des mots de passe.
@Diego : Pour ma part, tous mes identifiants sont dans 1P et je ne fais qu’accepter le cookie pour rester connecter (sur des sites peu sensibles, comme des forums ou cuk) Par contre, dès qu’il s’agit de choses importantes, alors seul 1P entre en jeu.
@François : Personnellement je peine à comprendre où se trouve la complexité pour accéder à ta banque rapidement : tu tapes le codes de ta banque, moi je tape celui de 1P. Surtout que l’intégration sur iOS devient très bonne :)
@Tibet : Bonne chose alors ! La dernière fois que j’avais testé, aucune de ces options n’étaient disponibles. Cela peut donc être une solution tout à fait intéressante pour un usage limité (est-il disponible sur Androïde ou Windows ?). Personnellement, comme le disait un commentateur, je ne préfère pas avoir tous mes oeufs dans le même panier. Du coup, je donne pas mes codes à Apple mais à 1P.
@Zitoo : Je conseille 1P car c’est celui que j’utilise depuis 2009, mais évidement que d’autres solutions existent, comme Dashlane ou Keepass. Par contre, nous n’avons pas l’assurance que le chiffrement de 1P ne sera pas cassé un jour. Néanmoins, si on garde 1P en local (tout en synchronisant les appareils avec un WiFi sûr, pas celui de l’hôtel du coin), le risque d’intrusion dans tes données reste faible.
@Verlaine : Il est tout à fait possible de laisser le mot de passe de 1P dans un coffre à la banque ou chez ton notaire : cela permettra aux héritiers d’avoir accès à tes comptes en cas de problèmes.
, le 26.07.2016 à 13:18
Bonjour,
Je ne sais pas ce que vaut ma solution qui m’a paru évidente: mes mots de passe sont sur une feuille Excel incluse dans une image .dmg cryptée…
Très pratique à l’usage !
Très bonne journée
, le 26.07.2016 à 13:49
Les personnes qui disent que leur solution basée sur des post-its électroniques, feuille Excel ou autre, cryptée dans une image disque est pratique, ils n’ont jamais utilisé un gestionnaire de mots de passe intégré au navigateur.
ciao, n
, le 26.07.2016 à 13:57
Il ne s’agit évidemment que d’un document de secours, disponible erga omnes bien pratique en cas de panne ou de vol…
Cela dit, merci de relater ton expérience, je suis évidemment preneur !
Très bonne journée
, le 26.07.2016 à 14:14
Et bien pour une fois, TTE et moi sommes sur exactement la même longueur d’onde : j’utilise la même stratégie. Un navigateur pour le « tout venant », et FF pour les sites sensibles, et uniquement ceux-ci.
Pour ce qui est de la sauvegarde automatique des id/mdp par le navigateur, cette fonction en cache une autre assez intéressante et moins connue. Le navigateur n’insérera les id/mdp que si l’URL et le certificat SSL sont corrects, donc évite tout risque de fishing. Pas négligeable puisque c’est aujourd’hui la méthode la plus simple pour récupérer de accès… Qui n’a pas déjà promptement réagis à un mail annonçant « votre compte PayPal à été compromis, mettez vite à jour vos identifiants »?
, le 26.07.2016 à 14:19
J’utilise 1Password depuis des années. Je trouve très pratique de pouvoir cliquer sur son icône dans la barre de navigation quand je dois entrer mes identifiants pour accéder à un site. J’entre le mot de passe maitre et je valide. Voilà.
Pendant ce temps, je n’aurais même pas trouvé mon document Excel…
Je parle seulement du côté pratique, pas de sécurité ou autre.
Et, non, DIego, je n’ai jamais réagi à un mail demandant de mettre à jour mes identifiants. Sauf si après vérification il s’avère fiable.
ciao, n
, le 26.07.2016 à 14:55
Je m’excuse, mais pas moi, et cela ne m’est jamais arrivé! N’y-a-t’il pas assez de prévention là-dessus?
Si on a un doute, on contrôle l’URL du lien (même pas besoin de cliquer dessus) et on le voit tout de suite.
C’est franchement effarant qu’en 2016, le fishing fonctionne toujours…
, le 26.07.2016 à 15:00
J’utilise le trousseau iCloud et la génération du mot de passe dans Safari : un vrai bonheur synchronisé sur Mac et iOS.
Pour les mots de passe non web, j’utilise le client iOS KyPass 3 qui gère le format open source keepass.
, le 26.07.2016 à 15:01
Pour le maximum, j’utilise Dashlane qui ressemble beaucoup à 1PW.
Au moment du choix entre ces 2 gestionnaires de MdP, j’avais apprécié la meilleure localisation franco-européenne de Dashlane pour les fonctionnalités telles que la copie des infos de pièces d’identité (nº de passeport, carte d’identité, carte vitale etc.) qui sont toujours difficiles à retrouver le jour où c’est nécessaire (vol, perte).
Évidemment, tout ça est dans un coffre-fort doublement protégé, comme expliqué par Renan.
Les mêmes fonctions dans 1PW étaient (2012) typiquement américaines, j’ignore si cela a été localisé correctement depuis.
Pour le reste, pour plus d’une centaine de MdP complexes impossibles (et idiot) à retenir… ainsi que l’intégration fluide à la majorité des accès sur le net, c’est un outil devenu indispensable.
Hormis le MdP exclusif à retenir pour ouvrir l’application 1PW ou Dashlane, il y a quelques sites (banque, iCloud, Dropbox) pour lesquels je mémorise un MdP complexe qui est absolument illisible.
Un exemple avec une phrase issue d’un poème :
tGqsa&qplMtGte1bA
…
Ta gorge qui s’avance et qui pousse la moire,
Ta gorge triomphante est une belle armoire…
Les initiales des noms en majuscules, les nombres en chiffres ou glyphes etc.
L’essayer c’est l’adopter !
, le 26.07.2016 à 15:53
J’ai utilisé LastPass pendant quelques mois et je suis passé sur Dashlane. Plus efficace, meilleure synchro. Avant ça, j’avais des notes dans Evernote…. oui je sais…
, le 26.07.2016 à 21:53
J’utilise aussi Dashlane (depuis leur lancement, donc accès à toutes leurs fonctions gratuitement, respect!), car il semble aussi bien que 1Password, mais moins connu, donc peut-être moins la cible de crakers ?
Il a tout de même quelques défauts, pas sur les mots de passe, mais sur la gestion des identités (il fait parfois des liens bizarre entre infos des identités (adresse) dans les auto remplissage. Peut-être est-ce la même chose chez 1PW ?)
Sinon c’est vrai que la règle 1 mdp par site est une excellente règle, mais avec les centaines de MdP dont on a besoin, et qu’on n’accède pas forcement via la même machine, quand les mot de passe sont générés, c’est un peu problématique pour les recopier de son iAppareil vers un browser d’un ordinateur par exemple…. Donc pour les sites sans risque, j’utilise des mots de passe parfois identiques, mais inconnu des dicos, mais mémorisables …
, le 26.07.2016 à 21:57
Super article qui tombe pile poil juste au moment où je me suis enfin décidé à mettre en service mon 1PW acheté il y a pas mal de temps…
Juste une question: si je suis chez des amis qui ont 1PW sur leur mac, je peux l’utiliser pour accéder à mes mdp?
Et s’ils n’ont pas ce programme sur leur ordi et que mon iPhone est en panne, je l’ai dans l’os, c’est ça?
Sinon, je trouve l’utilisation de 1PW très simple et très pratique.
, le 26.07.2016 à 22:04
J’utilise aussi Dashlane après être passé par 1password, que je conserve pour la gestion des licences de logiciels. La fonctionnalité qui m’a fait basculé est le password changer qui permet de changer automatiquement les mots de passe de certains sites (Lastpass possède aussi cette possibilité). Et aussi qu’il est mieux intégré sur Android.
, le 27.07.2016 à 08:48
Si j’ai bien compris ta question, ça serait comme aller chez quelqu’un qui a le même coffre-fort que toi et espérer y trouver tes propres lingots d’or?
La réponse aux deux questions est Dropbox. Tu as la possibilité d’y stocker les documents 1P. Ce qui te permet d’être synchronisé sur tes différents appareils, mais aussi d’accéder à 1P depuis un ordinateur tiers, via une page web que tu ouvres depuis dropbox.com. Dans ce cas, il faut retenir DEUX mots de passe, un pour Dropbox et l’autre pour 1P.
J’espère avoir répondu.
ciao, n
, le 27.07.2016 à 09:00
@nic: haha! Bien sûr que non, je ne m’attends pas à trouver mes lingots dans le coffre de mes amis. Mais s’agissant d’un soft, je me demandais si je peux utiliser celui-ci pour accéder à mes infos sur Dropbox, de la même manière que, avec leur navigateur, je peux accéder à mon compte iCloud, mes mails sur Gmail, etc…
, le 27.07.2016 à 09:16
@Dom’ : Oui tu peux ! 1P crée un document sécurisé comme Word crée un .doc. Si le besoin se faisait sentir, tu peux très bien accéder à ton Dropbox, importer le coffre 1P et l’ouvrir sur l’ordinateur de ton ami. Mais, niveau sécurité, tu comprendras que c’est pas vraiment conseillé :)
@J-C : La solution que tu utilises est tout à fait viable ! Elle est, certes, pas très pratique mais placer un document dans un .dmg crypté est une méthode souvent utilisée.
, le 27.07.2016 à 12:26
j’hésite aussi: j’ai vu que pour iOS il coûte 10.-
mais le service complet, c’est combien?
et en attendant, mettre un mot de passe, ou un document aussi important que l’accès à 1P sur Dropbox ne vous semble pas paradoxal? ou sur le cloud de manière général… qui ne sont pas garanti très sécurisé, ou alors, il faut une grande confiance en ces services…
, le 27.07.2016 à 12:43
@Gr@g : Pour ma part j’ai la version iOS et macOS, donc y en a pour 75.- sans réduction. Cela peut paraitre cher mais sachant que depuis 2011, 1P a été mis à jour gratuitement (et régulièrement), cela relativise les coûts. Après, il est aussi souvent en promo sur le MAS.
Comme disait Sébastien dans son article : il faut pirater DropBox, puis réussir à casser le chiffrement (AES-256 + la protection contre force brute PBKDF2), ce n’est vraiment pas chose aisée. Et tu peux faire comme je l’ai décrit dans l’article, utiliser le WiFi pour synchro tes données (c’est le choix que j’ai fait).
, le 28.07.2016 à 08:22
… et pour compléter, pour accéder à 1password on peut utiliser Diceware. Plein de renseignements https://linuxfr.org/users/mweber/journaux/diceware-liste-de-mots-en-fran%C3%A7ais
, le 28.07.2016 à 12:33
@PHM: ton lien ne semble pas fonctionner …
, le 28.07.2016 à 12:33
Bon j’avais oublié les bugs comme ceux de lastpass
un des bugs
Et hop, vive les logiciels centralisateurs
, le 28.07.2016 à 14:00
@Le Corbeau : En ayant ce genre de réflexion, il serait peut-être plus sage de te poser la question du pourquoi utilises-tu l’informatique. Dans le monde actuel, il n’est pas possible – contrairement à ce que beaucoup de gens croient candidement – d’atteindre le risque zéro ! On peut tenter de minimiser les risques et donc de choisir une solution off-line (comme je l’ai présentée) avec un éditeur ultra-réactif vis à vis des failles de son produit mais pas plus. C’est le cas pour 1P et c’est pour cela que je le recommande (je ne peux pas parler de Lastpass, je ne connais ni le produit, ni l’éditeur).
, le 01.08.2016 à 11:10
Avoir ce genre de réflexion, me permet de ne pas me laisser endormir par une sécurité illusoire basée sur un logiciel cité à tout bout de champ comme étant la panacée et auquel je confierai la totalité de mes clés.
D’ailleurs, sur Cuk, je n’ai pas d’adresse mèl :-))
Après, il y a les partisans du principe d’internet et ceux du minitel 2.0. Chacun ses goûts
, le 07.08.2016 à 08:53
Que pensez de la nouvelle politique tarifaire via abonnement ?
, le 08.08.2016 à 09:25
C’est comme pour les banques, on te bassine avec le tout numérique stocké sur le serveur de la banque (pas de papier pas d’espace disque, sécurité professionnelle -hum-), et quand tu changes de banque, tu n’as plus accès à rien. Du coup, t’es quand même obligé de tout stocker chez toi.
Là, le principe est que cela te permet d »oublier » tes mots de passe une fois créés. En cas d’arrêt de l’abonnement, t’a intérêt à les avoir aussi ailleurs pour éviter les mauvaises surprises (postit sur l’écran, tableur excel :-))…)
Et je ne parle pas des autres éléments pouvant être gérés
Mais c’est peut être là dessus qu’ils comptent :
La facilité et la flemme des gens qui préfèreront continuer à payer de + en + cher plutôt que de reprendre en main leur vie numérique avec d’autres solutions.
, le 11.08.2016 à 22:53
Merci Renan pour ton article qui tombe à point pour finir de convaincre mon entourage d’utiliser un gestionnaire de mots de passes, 1Password Families dans mon cas. Après quelques appréhensions, je me suis convaincu que l’utilisation du service cloud de 1Password n’était pas moins sûre que l’utilisation locale + synchronisation par Dropbox ou autre. Nous utilisons le service « for Teams » pour partager nos accès en entreprise (une douzaine d’utilisateurs, près de 1000 logins en tout) et le confort aussi bien au niveau de l’administration que de l’utilisation quasi continue est un plaisir quotidien. J’attends avec impatience les nouveaux Macs qui permettront d’apposer un pouce pour débloquer le tout…
, le 15.01.2017 à 16:03
Sur mon mac, ça va. Mais sur mon iPhone, je réalise que je continuais à valider les identifiants proposés pas mon trousseau Apple. J’ai donc désactivé celui-ci, mais je n’arrive pas à me loguer avec 1Password, si ce n’est en l’ouvrant pour aller copier le mot de passe et le copier après sous Safari dans le champ idoine.
J’ai beau chercher sur le net, je ne parviens pas à trouver de l’aide. Renan (ou autre), un tuyau?