Merci pour cette alerte qui tinte à nos oreilles.

Un site qui pourrait s’appeler « MonsieurBonneAffaire » en français donne à une création de compte un code égal à 1234 ! Il vaut mieux le changer, en effet.

Merci sebastien, c’est parti pour une journée de modifications…

J’utilise 1password depuis 5 ans avec grande satisfaction. Logiciel mis à jour régulièrement. Il y a maintenant un historique des mots de passe pour chaque entrée, pas simplement le remplacement de l’ancien par le nouveau.

Il est fabuleux ce 1Password.

J’ai essayé plusieurs alternatives: rien d’équivalent pour gérer tout ce dont tu parles, mais aussi les licences pour nos logiciels.

C’est une merveille, la version 4 est dingue, et depuis un bout de temps, la gestion et recherche sur iPad/iPhone est parfaite.

Bref, pour moi, un des top 5 sur mon Mac.

Et merci beaucoup pour l’excellent rappel.

Je crois que je vais faire comme Laurent…

Puis je moduler ?

Le fondement de la nécessité du couple identifiant-mot de passe repose sur la protection financière. Nombre de sites exigent d’y déposer les coordonnées bancaires.
J’utilise 2 possibilités:

– je refuse et le plus souvent il ne se passe rien. iTunes store en est un exemple: on peut remplacer éventuellement les coordonnées bancaires par une carte iTunes. La perte éventuelle ne sera pas bien importante.

– s’il existe une absolue – très rare – nécessité de déposer les coordonnées d’une carte bancaire, j’utilise celles d’une e carte bleue, pour une valeur de 0,01€. Comme les transactions via la e carte bleue sont validées à 3% près de la valeur « déposée » … vous me suivez ?

Mais cette possibilité ne durera peut-être plus très longtemps.
Quant à la nécessité d’extrême prudence comme conseillée ici, j’approuve.

Le fondement de la nécessité du couple identifiant-mot de passe repose sur la protection financière.

Pas seulement, la notion d’authentification a surtout pour objectif d’assurer une confidentialité des données qu’on reçoit, partage ou envoie.

T

@TTE: c’est vrai, bien sûr; mais ma réponse est empreinte de mon utilisation personnelle: je ne suis inscrit sur aucun réseau social, je ne publie rien de personnel, je n’exhibe pas ma tronche. Bon d’accord, j’adresse des e mails et réponds ici.

$49.99 tout de même!

P’tê’ que pour le prix ça vaut la peine de passer quelques minutes sur le web dans l’idée de relire les consignes de sécurité basiques relatives à la création de mots de passe…

Il y a tout de même un avantage à avoir un mot de passe qui se retrouve à plusieurs endroits.

Exemple: les applications bancaires dédiées sur iPhone.

Si l’on change le mot de passe sur chaque application, c’est compliqué, parce que là, 1Password n’est plus utile, il n’entre pas en relation avec l’application lorsqu’elle demande le code.

Cela signifie:

•aller sur l’application

•zut (pour être poli), je ne me rappelle plus du code

•ouvrir 1Password

•retourner dans l’application, qui aura par sécurité retiré tout ce qu’on avait déjà entré

•entrer le mot de passe (si on s’en rappelle plus de 15 secondes et s’il est compliqué)

Donc des fois, paresse paresse…:-(

graindesable: et ajoute les versions iPad et iPhone.

Mais aucun logiciel n’est plus complet et plus évolutif depuis des années que ce programme.

Il vaut très largement son dû.

Je vous invite également à utiliser Dashlane (qui est rapidement cité dans le texte).
Il est possible d’utiliser une version gratuite, la version payante permet de synchroniser ses mots de passe entre plusieurs appareils.
À noter que Dashlane crypte vos données avec votre mot de passe maitre (plus de renseignements sur dashlane.com) et possède des extensions de navigateurs plutôt pas mal, pour remplir les formulaires, vous connecter automatiquement, etc.

Il faut quelque chose de mieux qu’un couple nom d’utilisateur / mot de passe. Surtout quand 99% du temps le nom d’utilisateur est notre e-mail

Cela me rappelle un site, depuis quelque temps… Qui a dit cuk.ch?

Bon d’accord, j’adresse des e mails et répond ici.

Depuis que je me suis aperçu, que contrairement à d’autres sites Cuk.ch montre, en plus, ces adresses mail à n’importe quel visiteur, j’ai supprimé la mienne pour répondre ici.

Daslane, gratuit, contient des achats « in app »conséquents

Salut à tous, merci pour vos commentaires! :)

ysengrain: c’est effectivement une remarque qui est liée à ton utilisation personnelle qui ne représente pas (à mon avis) la majorité. Des sources d’achats, on peut en avoir quelques unes (Amazon, Apple, Google, PayPal, …) mais des comptes qui nous « représentent » comme sur cuk.ch, on peut en avoir des dizaines! Je rejoins donc à 100% TTE: on parle surtout d’authentification, c’est à dire la preuve que tu es bien qui tu prétends être. Pas de notion financière là derrière.

grain de sable: oui évidemment, si on arrive tous à se souvenir d’un mot de passe fort et différent pour chaque service, pas besoin de 1Password ou de n’importe quel autre password manager. Ton lien montre une méthode intéressante, mais la vérité c’est que personne ne fait ça, et qu’une part ahurissante de gens utilisent le même mot de passe partout par flemme. Un password manager aide à se protéger malgré la flemme…

François: de plus en plus d’apps proposent une intégration avec 1Password iOS. Par exemple lorsque tu arrives sur l’écran de login, il y a un petite icône 1P et si tu tapes dessus, tu vas dans 1P avec une recherche sur le nom de l’app. C’est super pratique! Et sinon, il y a LaunchCenterPro qui permet de créer une url schème qui, en un tap, ouvre 1P sur la page de l’app que tu cherches…

Moi, j’en ai sérieusement ma claque des Comptes/MDP.

Ce couple, vieux comme le monde (informatique) est juste non-soutenable dans le temps.

Le hic, de logiciels comme 1-Password, LastPass (que j’utilise), DashLane et consort n’est que de déplacer le problème.

Certes, ils permettent de gérer des MDP bcp plus longs et complexes que nos cerveaux peuvent retenir. Mais le jour où vous n’avez pas accès à l’outil, vous êtes coincé.

Et ceux qui ont plusieurs environnements différents où un de ces soft n’est pas présent sont aussi coincés.

Il est grand temps de passer à autre chose et d’abandonner cette solution technique.

Le problème est qu’une solution simple (à expliquer à M. ToutLeMonde) pour remplacer les MDPs n’existe pas vraiment.

On a vu :

OpenID – superbe sur le papier, bien implémenté aussi, mais n’a pas accroché auprès des développeurs.
Certificats – très complexe à expliquer (essayer avec un(e) non techos, voir) – De plus la liste de révocation à elle seule va faire crouler le modèle sous la charge.

Aujourd’hui, on peut utiliser un compte (FB, Google, Yahoo!…) pour se connecter sur plusieurs autres sites, mais je n’aime pas du tout cette solution. S’il y a un problème sur le site du compte original, c’est toute la liste qui est exposer.

J’ai bcp réfléchi au sujet avec un ami spécialiste en sécurité et ce n’est vraiment pas facile.

PS: 1-Password est trop chère pour ce que ça vaut, désolé.

Pour moi un outil de gestion de MDP ne devrait pas avoir à exister comme un anti-virus, mais bon, nous ne sommes pas dans un monde parfait !

++

Ritchie

Bonjour,

Pour ajouter à la complexité du choix des mots de passe : vaut-il mieux un mot de passe de 10 caractères composés avec les (environ) 70 signes possibles ou un mot de passe de 20 caractères composés avec uniquement les 26 lettres minuscules ?

– 26 lettres de l’alphabet : 26^20 soit environ 2*10^28 possibilités
– 70 signes du clavier : 70^10 soit environ 3*10^18 possibilités, c’est-à-dire 7 milliards de fois moins de combinaisons.

Ceci n’est évidemment valable que si l’on essaie de trouver le mot de passe qu’avec une méthode de type « force brute ».

Mais pour la majorité des personnes qui n’ont pas 1Password ou autre (et qui ne savent même pas que de tels logiciels existent…), je suis persuadé qu’il vaut mieux mettre une « phrase de passe » plutôt qu’un mot de passe identique utilisé partout et griffonné sur un papier pas trop loin du PC pour ne pas l’oublier (c’est du vécu, sur des applications professionnelles…). Il faudrait donc que les sites ou applications autorisent des mots de passe « longs » et n’obligent pas forcément à utiliser des signes.

En tout cas je rejoins Ritchie sur un point : ce n’est vraiment pas facile de mettre en place une politique de mots de passe à la fois sécuritaire et pas trop contraignante…

En fait, la méthode PostIt n’est pas si mauvaise que ça.

Je préfère de loin que les utilisateurs écrivent leurs MDPs compliqués sur des PostIt en autant qu’ils ne les laissent pas traîner partout. Le mieux est dans son portefeuille. J’ai déjà utilisé cet astuce et ça fonctionne très bien.

L’autre problème avec to solution JIBE, c’est que pas tous les sites et applis autorisent des MDPs longs. Certains sont tjrs limités à 8 caractères !!!!

Utiliser des softs pour stocker ses password… quid des codes sources ?

vaut-il mieux un mot de passe de 10 caractères composés avec les (environ) 70 signes possibles ou un mot de passe de 20 caractères composés avec uniquement les 26 lettres minuscules ?

Heu, et pourquoi ne pas comparer avec un mot de passe de 20 caractères composés avec les (environ) 70 signes possibles du clavier? surtout si on applique la méthode de la phrase qui limite le nombre de combinaisons possible en lettres…

Je préfère de loin que les utilisateurs écrivent leurs MDPs compliqués sur des PostIt

Mon cauchemar, dans les bureaux, tous les mots de passe sont collés sur l’écran et l’uc. Catastrophe garantie lors des rotations de matos :-))

Ritchie: revenons dans notre monde, tu veux bien? Evidemment que dans un monde idéal, les gestionnaires de mot de passe n’existent pas! Mais maintenant, ici, ils rendent nos informations plus sûres, en attendant que quelque chose de mieux (qqch de confortable *et* sûr) ne nous permette de protéger nos données…

josiffert: c’est une très bonne question. « Who shall guard the guards? ». Les vendeurs de password managers ne sont pas tous pareils face à cette question. Agile Bits (ceux qui font 1Password) publient des papiers qui expliquent les formats de fichiers qu’ils utilisent et comment fonctionne leur sécurité… mais le code n’est pas open source à ma connaissance. Pour d’autres, c’est l’opacité totale… à un moment il faut choisir un soft et ce point là est très difficile à comparer.

Heu, et pourquoi ne pas comparer avec un mot de passe de 20 caractères composés avec les (environ) 70 signes possibles du clavier?

Vous avez raison, mais dans ce cas il est encore plus complexe et illusoire d’essayer de s’en souvenir…

il est encore plus complexe et illusoire d’essayer de s’en souvenir…

il y a des astuces :
Question secrète

:-)

il y a des astuces :
Question secrète

Excellent !! Moi qui ne veut pas d’un chien, je vais donc être obligé d’en prendre un !

Plusieurs semaines que je teste 1password, onesafe sur mac. Ils sont terriblement efficace c’est vrai, par contre ça devient tellement facile de ne plus avoir besoin de se souvenir des mots de passe que ça en devient presque un problème je trouve.
Je cherchais donc alors quelque chose qui ne puisse pas forcement tout automatiser (ça va le copier/coller je peux encore faire) et qui si possible, toujours encrypté, pouvait se synchroniser avec mon mobile, plus une exportation sous forme de fichier text/xls au cas où. Oui parce que les exportations uniquement utilisable avec le logiciel propriétaire je n’en vois pas trop l’utilité, surtout en cas de problème de machine ou de soft. Pour le moment j’ai trouvé ça http://enpass.sinew.in et j’en suis plutôt très content.
Ca marche nickel, entre mon macbook pro et mon wp8 (idem iOs android et BB), c’est léger, simple, rapide et ça ne coute pas « un bras » non plus. Les versions desktop sont gratuites actuellement.

Merci Sébastien pour cet article :)

Moi aussi j’utilise avec bonheur 1Password que je conseille à tous :)

Deux remarques :

1/ L’obsolescence des passwords

Il y a 5 ans, avoir un password de 8 caractères était une sécurité élevé. Aujourd’hui, c’est très faible et il faut minimum 14 caractères. J’ai d’ailleurs changé mes passwords les plus critiques par des chaines de 16 caractères. Donc, les mots de passe doivent être rallongés dans le temps ce qui est contraignant

2/ La faiblesse des services hébergeant les passwords

Comme tu le dis, les sites sont souvent vulnérables à des attaques d’autant que ce sont des informaticiens qui mettent en place le système de sécurité au lieu d’une personne dédiée expert en sécurité vu la complexité du sujet (cf. tes liens).

Quant on sait que la Fnac s’est fait retoqué par la Cnil pour conserver en clair les numéros de cartes bancaires et, tenez vous bien, le code à 3-4 chiffres associé à la carte! Forcément, difficile d’avoir confiance.

Sans compter, aussi, que certains sites conservent en clair les MDPs !

J’utilise LastPass depuis près d’un an.

Il est gratuit, dans sa version de base. La même compagnie gère par ailleurs X-Marks (synchronisation des bookmarks entre les différents browsers utilisés), qui fonctionne également bien.

Avec LastPass, tout est protégé par un mot de passe maître, et la connexion est automatique, à chaque lancement du browser. Il propose également de tester la « force » des mots de passe, et de remplacer les mots « faibles » par quelque chose de plus « costaud », grâce à un générateur de mot de passe paramétrable. Bref, que du bonheur…

Sans compter, aussi, que certains sites conservent en clair les MDPs !

Exactement. C’est d’ailleurs révélateur quand tu lances la procédure de récupération de mot de passe oublié et que tu reçois un mail avec ton mdl :)

Les bonnes pratiques pour stocker les mots de passes sont assez connues mais plein de sites les appliquent mal. Le cas d’Adobe est flagrant à ce sujet: ils avaient respecté une partie des bonnes pratiques et mal implémenté l’autre. Du coup même à partir des hashes (les empreintes) des hackers ont pu retrouver les mdp.

Guillôme: très bonnes remarques. D’ailleurs 1Password, dans la section « audit » montre les mots de passes qui n’ont pas changé depuis un certain temps pour aider à ce sujet.

Comme l’article le montre très bien, je suis fan de 1Password, mais le but n’est pas de vous y convertir tous… Simplement de montrer qu’un gestionnaire de mots de passe est indispensable. Si LastPass est bon, allez-y! :)

Voici un article bien utile puisqu’il a déclenché une prise de conscience de ma vulnérabilité face au hacking de mots de passe: un mot de passe certes assez complexe mais répété sur une centaine de sites, ça n’était pas très prudent.

Depuis quelques jours je migre donc mes mots de passe avec une ds solutions mentionnées ici. Etant sous Windows et Android, j’ai opté pour KeePass. Une autre raison de ce choix est mentionnée plus bas.

on parle surtout d’authentification, c’est à dire la preuve que tu es bien qui tu prétends être. Pas de notion financière là derrière.

Il est vrai que 95% de mes (nos ?) comptes appartiennent à des forums, des sites de e-commence, bref, rien de sensible. Généralement un achat nécessite d’authentifier sa carte de crédit, ce qui devrait représenter une barrière supplémentaire. Mais prenons le magasin d’électronique Brack.ch. Il permet de payer sur facture. Un escroc en possession de mon couple e-mail/mot de passe aurait-il pu se faire livrer ses achats tout en m’adressant la facture ? J’ai bien peur que oui!

Utiliser des softs pour stocker ses password… quid des codes sources ?

KeePass, la solution que j’ai choisie, est Open Source. Elle dispose de moins d’automatismes que 1Password, ce qui me semble plus sûr, et travaille avec une base de données locale fortemement cryptée.

Merci donc à Sébastien d’avoir initié cette discussion très à propos au moment où un cas de hacking de grande ampleur fait les titres des journaux.

—
Philippe

Bonjour les savants qui sont nés avec.
Moi je suis né avant, et j’ai quelques peines avec l’utilisation de 1-password.
Je voudrais une prise en mains en français si possible car je parle quelques langues, mais pas l’anglais (et oui !).
Vous avez surement ça dans vos sacoches, et pardon si vous n’êtes pas cycliste.

Tout chaud ici !