Quelqu’un aurait les bonnes combines pour utiliser Keepass sur mac et android ? Je tombe sur des tas de trucs bizarres sur github…
Je n’ai pas envie de renouveler mon abonnement Dashlane. 1password a apparemment un client android beta qui permet d’avoir accès aux mots de passe dans chrome, ce que Dashlane ne sait pas faire. Du coup j’hésite…
D’ailleurs, l’autofill KeePass android dans chrome ça existe ? 
Enfin, si le mec a un dictionnaire avec momof3g et 8kids, autant prendre un truc simple parce que 49byetr3pan ce sera pas plus secure.
D’où l’idée de mettre quelque chose comme EJ5m4Sz80*h.cfWP(Hw
Pour mon usage, c’est suffisamment exceptionnel. Pour les caractères spéciaux, j’ai réglé le problème en n’en mettant pas dans ma formule perso, j’ai juste du alphanumérique, majuscule, minuscule. Mais quand j’en mettais, ce n’est pas arrivé souvent que ce soit refusé. Pour le nombre de caractères mini, je n’ai jamais rencontré le problème. Pour le nombre de caractères maxi, je tronque sans autre forme de procès (ça a dû m’arriver une seule fois). Pour les chiffres, j’ai très exactement 3 comptes qui sont dans ce cas de figure, ça ira pour la mémorisation. Pour le changement régulier, jamais eu le cas de figure.
Après c’est ma méthode à moi, il est évident qu’elle ne peut s’appliquer à tout le monde et pour tout.
Pour les mots de passe, chacun a une méthode évidemment mieux que les autres, mais au final, il n’y a pas vraiment de solution propre, a part l’utilisation de coffre de mot de passe avec génération random (et encore, faut que ca soit assez long)
Ceci dit, je recommande toujours:
_AUCUN caractère spéciaux comme ^/"’~&@ et tous ces trucs la. Pourquoi? Parce que ça peut être impossible à faire sur certains clavier (comme le \ qui n’existe pas en japonais, c’est le sigle ¥) mais aussi parce que ça peut foutre la zone sur certains site/logiciel mal codé (le @ est un grand classique, mais y en a d’autres)
_Restez sur de l’alphanumérique pur et dur, donc, et le plus long possible.
_La passphrase, c’est une bonne idée mais il faut une vrai phrase qui n’a pas de contexte connu (cf http://boutique.ed-diamond.com/home/873-misc-80.html qui propose un article sur le sujet, ou l’article de ars)
C’est juste impossible de mémoriser une passphrase pour chaque site, donc perso, je fais comme ca:
{passphrase}{Acronyme du site}
Pour GZ par exemple, c’est FaskiletCafVontNousFaireUnArsTechnicadeFou42GZ (je déconne, c’est impossible a mémoriser mais c’est pas grave 
)
J’utilise une passphrase pour tous mes sites web avec {acronyme} à la fin qui change. Ça permet d’avoir toujours un pass différent mais si je me fais pirater un compte, je dois quand même changer tous mes pass (ils sont pas teubé non plus, les pirates). Mes mots de passe important (gmail, banques) n’ont rien a voir avec la passphrase « website », et pareil pour les pass que j’utilise au taf. Ca commence a faire beaucoup et je pense que je vais jeter un oeil appuyé sur ces logiciels de coffre de mot de passe.
La portabilité de keepass (linux notamment) joue pas mal en sa faveur, mais ouais, les logiciels libres sont pas les premiers en ergonomie, on va checker ca.
LoneWolf
NouveauMotDePasse42
bref, ta méthode est nulle en gros. Autant mettre le même mot de passe partout… 
En fait, je gagne quand même un peu de temps, le mot de passe tel quel ne passera pas, donc le pirate commencera par voir les autres comptes (qui passe)
Mais sinon oui, c’est pas super mais ca permet de t’en souvenir avec une petite protection, et c’est pour ca qu’il faut que je passe a un coffre de mdp
LoneWolf
Faites moi confiance…
Clairement les mdp c’est la galère.
J’ai ai quelques uns, avec des variantes, pas de règle précise, et je l’oublie souvent. Parce que même si j’ai le mdp, j’ai pas forcément le login associé \o/.
J’ai essayé keepass, c’était pas mal mais :
- le fichier (.key je crois ?) est devenu illisible de jour au lendemain. Je sais pas pourquoi.
- de toute manière, ce genre de soft c’est bien pour les nouveaux sites, mais pour la centaine où vous êtes déjà inscrits, vous faites comment ? Vous vous tapez la modif de mot de passe un par un
?
D’ailleurs je viens de vérifier, et oui je dois pas être loin d’une centaine de mdp stocké dans chrome. A mon boulot. Donc je n’imagine même pas chez moi, où il y aussi les mdp de ma femme.
Faudrait que j’essaye 1password mais pour être honnête, payer pour ça, ça me fait chier. Sur mac/iPhone où tout est intégré/synchronisé ça peut-être pas mal, mais jongler entre le pc fixe, le portable avec 2 OS, chome, firefox les devices mobiles, le boulot (où j’ai pas accès à dropbox ou google drive), etc. C’est la galère. Et au final j’aurai la flemme de l’utiliser (je pense).
Et si ça diminue fortement le risque de hack certes, mais je suis pas sur que ça change grand chose en cas de social hacking ?
Le plus chiant, c’est quand je dois taper ~ÕÇãÇ1U*Mó>Ñ õ´yVÿ=¨áB¾¦7¼Ã ,¾ avec la manette de la xbox.
Pour les mots de passe existants, tu peux simplement renseigner ton mdp courant en attendant de le changer un jour.
1 « J'aime »
Sur la « recette » du mot de passe, un bon moyen est de se pencher sur l’organisme en charge de la gestion d’incidents au sein des ministères / acteurs économiques majeurs (l’ANSSI donc, non je n’ai pas d’actions chez eux 
)
Pour vous faire une idée de vos mots de passe, vous avez sur cette page une fonction permettant de calculer assez rapidement la force de votre mot de passe / passphrase. Où l’on voit que l’on peut adapter la longueur en fonction de la complexité et inversement. Et quelques règles de bon sens dispo ailleurs.
C’est un discours qui s’adresse à des entités effectivement ciblées par des acteurs malveillants, donc pour un utilisateur lambda qui ne présente pas d’intérêt particulier on peut considérer que c’est robuste. La règle numéro 1 à mon sens est de ne jamais utiliser deux fois un mot de passe (ou alors sur des comptes pouvant être corrompus à tout instant sans préjudice), car vous n’êtes jamais à l’abri d’une faille d’un site qui stocke soit le mot de passe en clair soit le hash sans élément aléatoire (hash + sel).
Fonctionner avec une passphrase unique + acronyme facilement identifiable est un peu dangereux je trouve. C’est penser que l’on sera plus rapide qu’un groupe de personne qui en vit, et qui a donc depuis longtemps automatisé les requêtes sur une liste de sites prédéterminés (gmail, facebook, linkedin, site de rencontre, etc.) avec changement du mot de passe dans la minute.
Et effectivement changer régulièrement (6 mois / 1 an) ne peux pas faire de mal. Aussi long soit-il un mot de passe ne peux rien contre n’importe quel poste un peu trop exposé :
-
ordi de l’entreprise mal sécurisée (coucou le keylogger) si vous consultez vos mail perso depuis le bureau,
-
ordi de la bibli du coin qui garde en mémoire les mots de passe tapés,
-
réseau « free wifi » ou « macdo » d’un type bricoleur et joueur (il y avait un excellent dossier de Canard PC hardware sur le sujet, à base de fausse antenne « free wifi » à la défense et de récupération de plein de données intéressantes très facilement…),
-
ordi dans tout lieu possible sous l’oeil d’une caméra (c’est tout bête, mais il suffit d’une fois. Tapez en fermant l’écran si vous voulez être certain).
J’utilise évidement pas une seule passphrase mais ouais, c’est pas top. Après, les mots de passe, c’est super chiant hein 
LoneWolf
C’est les cordonniers qui sont les plus mal chaussés 
Le problème de ces fonctions de calcul c’est qu’en ne prenant en compte que la longueur et les jeux de caractères, on oublie la composition comme l’utilisation de mots du dictionnaire ou de dates…
si je prends comme mdp Jean-Pierre24/12/1967 , on fait difficilement pire, pourtant cet algo va le qualifier comme très fort.
Effectivement, l’outil de calcul est à compléter avec les règles plus « sociales » décrites dans le second lien, à savoir notamment la seconde : « choisissez un mot de passe qui n’a pas de lien avec vous ».
Mais plus largement on pourrait aussi rajouter « aucun mot d’un dictionnaire d’une quelconque langue ni aucune date »… et se tenir à jour des failles de sécurité pour s’assurer qu’on n’est pas dans le top ten des mots de passe du moment
ha oui si pour toi, l’essentiel est la partie mobile, KeePass est loin derrière 1Password. Apres, j’avais pas fait gaffe qu’il fallait .net pour keepass, vu que je suis sous win et qu’il est installé par defaut.
Par contre, il faut bien prendre la version 2.x de keepass. La 1.x est vraiment old. Après, tu files pas ta vie à KeePass : c’est comme 1Password, c’est un fichier coffre fort. Donc tout ce que tu risques, c’est que le soft ne soit plus suivi et devoir migrer sur autre chose.
Tant mieux 
Pour ceux qui utilisent un gestionnaire de mdp. Est-ce que vous utilisez toujours le même compte mail pour créer vos comptes sur les différents sites/forums ?
En imaginant par exemple se faire piquer son téléphone portable avec l’appli pour lire les mails, est-ce qu’il n’y a pas un risque de se faire changer les mots de passe de ses comptes le temps de changer son mdp du compte mail ?
En règle générale, c’est une très mauvaise idée de laisser son portable déverrouillé en permanence.
C’est pour ca qu’il est impératif d’utiliser un service d’email avec ‹ Two-factor authentication › (je suis preneur si quelqu’un connait une traduction en français pas trop bancale de cette expression).
[edit]Il semblerait qu’ « authentification à double facteur » soit souvent utilisé[/edit]
Ton message a été pour moi l’occasion de découvrir que Fastmail gérait le Two-factor auth.
(oui c’est logique j’aurais du vérifier ça il y a bien longtemps)
Je m’en vais configurer tout ça ce soir.
Authentification forte est plus répandu en français, qui correspond à de l’authentification à double facteur.
Sinon oui le téléphone sans verrouillage c’est mal 
Pour les téléphones android perdus il y a Android Device Manager - Google qui permet de localiser, verrouiller et même wiper le téléphone à distance.
Pareil. J’ai renomme le fichier et le lendemain ca marchait plus, je ne sais pas si c’est lie, j’imagine que non mais bon…