Gestion de vos mots de passe

Attention que l’audit concerne la version Legacy (1.xx), pas l’actuelle en 2.xx. Ce n’est pas anodin parce que la Legacy est loin d’avoir toutes les fonctionnalités de la 2.xx et tourne sans .Net.

ah oui bonne remarque !
bon bin attendons l’audit de la 2.x

C’est pas toujours suffisant.
Par exemple, certains malwares bancaires font du man in the browser et s’authentifient à ta place en temps réel.

« Oh les cons ».

En même temps :

• avoir une mot de passe Master de 6-7 caractères
• stocker le mot de passe Master dans son navigateur
• ne pas avoir d’authentification double facteur

C’est pas ce que j’appelle de la sécurité.
Édit : pour info mon mot de passe Master fait 24 caractères et j’ai de la double authent avec clé yubikey.

Double authentification sur ton gestionnaire de mot de passe ?? Oo

C’est pas le prob, le prob c’est comment est codé leur ext… Même quand tu actives ça dans 1P, c’est timelimité de ouf ET pas stocké du tout comme ça.

J’ai Lastpass dans la boîte, franchement, ça respire pas le truc solide. Ça me conforte.

Ben forcément, j’ai tous mes mots de passe dedans.

Ah tiens, c’est intéressant, ça…

Donc si je comprends bien leur site: t’as une clef qui se connecte en USB ou NFC. Et ensuite ? il faut un PIN ou un masterpass ? Ils ont une appli ou un driver ? ou c’est directement supporté par le gestionnaire de mdp ? ( 1password pour ce qui m’intéresse )

Les clés yubikey dont compatibles avec plusieurs modes d’authentification double facteur (mais on peut faire beaucoup plus). Dans le cas de LastPass c’est un totp donc un totem basé sur le temps : pour l’utiliser je n’ai qu’à apuyer sur le bouton physique de la clé et elle émule alors un clavier qui traite le token et appuie sur entrée. Ya un driver mais il est disponible pour tous les os. Sinon, sur des sites genre aws, tu peux faire de l’u2f : ton navigateur te demande d’appuyer sur les touche physique au moment où il a accepte ton mot de passe (il faut avoir enregistré la clé avant).
Yubico va même faire une yubikey ou le bouton physique sera à lecture d’empreinte digitale : la yubikey bio cf https://www.yubico.com/products/

Et pour one password : https://www.yubico.com/works-with-yubikey/catalog/1password/
D’ailleurs c’est de l’u2f, ce qui dénote une meilleure intégration. Je me pose sérieusement la question de changer.

Bon par contre 1password doit être couplé avec un compte duo free à minima pour pouvoir faire du mfa avec ma yubikey. Au niveau pricing LastPass est un peu moins cher que cette solution (qui nécessite 1password teams), mais est aussi beaucoup moins compliqué à mettre en œuvre (mais moins de fonctionnalités pour LastPass).

C’est tellement insupportable ces solutions hardware. Sans parler des boulets qui vont FATALEMENT perdre la clé… (oui, je déteste ces trucs avec passion :x )

ALSO : TU PEUX EDITER TES MESSAGES AU LIEU D’EN FAIRE 3.

En 2020 vous utilisez quoi ?
Depuis des années j’ai une routine mentale, un mot de passe unique par site avec une partie fixe et une dynamique en fonction du site donc.

Mais je commence à être faible j’utilise chrome depuis 2 ans (smartphone et tablette) et il enregistre tout et synchronise tout. Donc je commence à me reposer dessus…quitte à utiliser ses suggestions de mots de passe aléatoires. Mais laisser une app Google tout savoir, est ce vraiment une idée de génie…

Toujours keepass + keefox + synchro dropbox. Ca marche toujours au poil

Je viens de passer sur Bitwarden et dégagé mon keepass.

Par contre, je n’ai pas trouvé de solution qui sait gérer les authentications sur les sites Web, remplir automatiquement les identifiants en rdp et ssh.

1Password, toujours largement le meilleur, comme un bon paquet de membres de la zone sur ce genre de tool.

Pareil ici, très content de 1Password. Gros avantage que j’ai découvert récemment, il gère la double authentification ce qui évite d’utiliser Google Authenticator (qui n’a pas d’option pour migrer facilement en cas de changement de téléphone)