« On le fera, un jour, dans le futur », je sais exactement ce que ca veut dire hein, je suis dev 
Surtout que ça fait 2 ans qu’ils disent la même chose. =/
Si je me rappelle bien c’est un problème de browser / plugin nice guy : si tu veux faire un plugin propre, tu peux pas aller remplir ces fenêtres directement. Concrètement t’as pas dans un site web donc bon…
Pour rajouter encore de l’eau au moulin, je viens de tomber sur enpass.io, un soft assez récent, basé sur sqlite + sqlcipher et dispo sur tout un tas de plateformes (dont linux). Et ça fonctionne avec une sync cloud optionnelle.
C’est assez flou sur la boite et leur business : les coordonnées ne sont trouvable que sur leur page contact, elle s’appelle Sinew. L’appli gratuite est limitée à 20 entrées, ensuite il faut payer. Ca n’est visible nulle part sur leur site. C’est jeune et ça sent la peinture fraiche, et ça manque cruellement de reviews. Mais bon, ça veut aussi dire que ça bouge. Notez que je ne dis pas de mettre des bucks dedans hein 
Vous êtes grands.
Je vais attendre qu’ils passent l’hiver avant de le mettre sur la liste des reviews à faire (qui EST DEJA BCP TROP LONGUE FFS)
Interessant, et à suivre, notament pour ceux qui cherchent une solution sous linux.
Un petit mot sur la sécurité dans 1Password, un truc qui m’avait étonné à l’époque. Dans le format de fichier ‘par défaut’ (.agilekeychain) de 1Password, les titres et url des logins sont stockés en clair. Le sujet à été ouvertement abordé dans les forums 1P, car ça peut être problématique pour certains.
Le nouveau format de fichier .opvault (à sélectionner lors de la création du vault), ne souffre pas de cette tare. Malheureusement, ce format de fichier n’est pas encore supporté par la version Android de l’application.
LastPass devient gratuit : https://www.lastpass.com/fr/ (toujours avec une version premium si besoin)
C’était déjà le cas, ils l’avaient retiré ?
C’est plutôt une upgrade de la version free avec la synchronisation illimitée :
Effectivement, maintenant je me souviens que l’application mobile était payante.
Elle etait gratuite, mais fallait un compte premium au dela des 30 jours. Maintenant, c’est open bar.
quid des pubs ?
RAS, mais ca a pas grand interet des pubs sur un truc que tu vas voir 10s. Ou alors ca va mechamment saouler
C’est bien un modèle à base de pubs. Vu les accès de ce genre de softs, on peut effectivement parler d’Open Bar ?
Au delà des divers services (on dira ce qu’on voudra, 1Pass ou LastPass se valent en terme de résiliences aux attaques) ou logiciels (KeePass pour moi) le plus important reste la politique de mot de passe. L’état de l’art veut qu’on utilise des mots de passes avec au moins 15 caractères.
Si on a besoin de se souvenir “de tête” du mot de passe (par exemple pour ouvrir la session sur son ordinateur principal) on peut utiliser la bonne vieille méthode de xkcd. En résumé, il vaut mieux 15 caractères alpha numériques que 8 caractères spéciaux.
Sinon bien sûr, un mot de passe différent pour chaque site web, etc… Personnellement je pousse la parano jusqu’à mettre des expirations sur les mots de passe, comme ça mon logiciel me prévient quand il est temps d’en changer. Pour ce qui est des services en lignes (personnellement je suis chez LastPass) il est primordial d’aussi activer le 2FA. Il peut y avoir différentes façons d’obtenir le “master password” et avoir une authentification à facteurs multiples est le seul moyen de se prévenir de ce danger.
C’est marrant, LastPass avait le même problème. J’avais vu une présentation sur le sujet à la Black Hat il y a deux ans par les chercheurs qui avaient notifié LP de cette faille (corrigée en 3 jours). Le problème de ce genre de faille est que, dans certains cas, savoir quel site à été visité est presque aussi intéressant que ce qui se dit sur le site en question (c’est tout le problème de la collecte des “meta données”). C’est un peu dommage que 1P n’ait pas encore pu corriger ça sur l’appli Android.
Non, dans le sens où LP a été hacké et pas l’autre. De même, la réputation de logmein + le nouveau biz modele de lastpass (pub) me fait dire que c’est quand même pas les memes prios chez les 2 devs…
je vois pas le rapport en logmein et lastpass … c’est pas les même dev, si ?
LogMeIn, Inc. acquired LastPass in October 2015.[3]
Donc pas forcement les memes devs, mais meme maison mere.