Sauf qu’en vrai, non. On a dépassé ce stade.
Je retrouve un article d’ars sur le sujet et je reviens.
Ah c’est encore dépassé ? Merde, j’veux bien savoir en fait.
2 « J'aime »
Dans les settings de Tweetbot 4 il y a le choix du browser. C’est là qu’on peut choisir 1P en browser par défaut pour tous les liens
Et celui-ci est à lire aussi:
Je n’avais pas vu, merci.
Mais ça ne fait pas exactement la même fonctionnalité que dans la version 3. Là il change d’application pour ouvrir le browser 1P. Alors qu’avant, dans le browser intégré à TB3, j’avais le petit bouton “envoyer” (le carré avec la flèche vers le haut), qui me proposait le bouton 1P en plus des autres boutons comme “Ajouter à la liste de lecture” et qui renseigne auto le mot de passe. Exactement comme l’intégration 1P dans Safari.
Hum, j’ai pas le temps de tout lire, mais en gros, c’est pas ce que je disais ? Ou alors j’ai pas compris, et comme j’ai pas tout lu, c’est pas improbable 
AH sorry, j’avais pas compris le workflow. Effectivement je ne l’ai pas non plus alors que j’arrive à mettre d’autres icones comme Crystal dans la barre
Dans la dernière page du second article:
Early in the process, Steube couldn’t help remarking when he noticed one of the plains he had recovered was « momof3g8kids. »
« This was some logic that the user had, » Steube observed. « But we didn’t know about the logic. By doing hybrid attacks, I’m getting new ideas about how people build new [password] patterns. This is why I’m always watching outputs. »
The specific type of hybrid attack that cracked that password is known as a combinator attack. It combines each word in a dictionary with every other word in the dictionary. Because these attacks are capable of generating a huge number of guesses—the square of the number of words in the dict—crackers often work with smaller word lists or simply terminate a run in progress once things start slowing down. Other times, they combine words from one big dictionary with words from a smaller one. Steube was able to crack « momof3g8kids » because he had « momof3g » in his 111 million dict and « 8kids » in a smaller dict.
« The combinator attack got it! It’s cool, » he said. Then referring to the oft-cited xkcd comic, he added: « This is an answer to the batteryhorsestaple thing. »
Effectivement on ne trouvera pas tout de suite le frigo de ton chien avec cette technique (surtout que là il ne combine que 2 termes), mais ça viendra. Surtout que l’article commence à dater (Mai 2013).
Pour moi un mot de passe sécurisé est généré en random, et possède un minimum d’une quinzaine de caractères (20 c’est mieux, plus mieux encore).
C’est mignon, mais quand le site te dis « 6 char max » ou « 27 char mini » ou encore « pas de char speciaux » ou meme « que des chiffres », ben ca nique tout. Et des sites de merde comme ca, yen a malheureusement plein.
Ou pire, quand on te demande de le changer tout les 3 mois, et que il doit pas avoir le meme p(erceptual)hash, ben la t’es bien baisay.
Astuce de renard: je me retrouve régulièrement a devoir taper a la main des mots de passe (sur une machine qui ne m’appartient pas, sur une console, etc…). Pour me simplifier la vie, je génère un mot de passe aléatoire (typiquement 20 caractères dans mon cas), et je le découpe en blocs en 4 ou 5 blocs avec un séparateur de mon choix, “serial number style”, par exemple kaRn-3xks-sHTC-zbhJ-9wiK
Ça aide pas mal a eviter les erreurs. 1Password sur Mac a un système de ‘recette’ qui permet d’automatiser le processus. La version Windows ne l’a pas (mais permet le diceware).
Quelqu’un aurait les bonnes combines pour utiliser Keepass sur mac et android ? Je tombe sur des tas de trucs bizarres sur github…
Je n’ai pas envie de renouveler mon abonnement Dashlane. 1password a apparemment un client android beta qui permet d’avoir accès aux mots de passe dans chrome, ce que Dashlane ne sait pas faire. Du coup j’hésite…
D’ailleurs, l’autofill KeePass android dans chrome ça existe ? 
Enfin, si le mec a un dictionnaire avec momof3g et 8kids, autant prendre un truc simple parce que 49byetr3pan ce sera pas plus secure.
D’où l’idée de mettre quelque chose comme EJ5m4Sz80*h.cfWP(Hw
Pour mon usage, c’est suffisamment exceptionnel. Pour les caractères spéciaux, j’ai réglé le problème en n’en mettant pas dans ma formule perso, j’ai juste du alphanumérique, majuscule, minuscule. Mais quand j’en mettais, ce n’est pas arrivé souvent que ce soit refusé. Pour le nombre de caractères mini, je n’ai jamais rencontré le problème. Pour le nombre de caractères maxi, je tronque sans autre forme de procès (ça a dû m’arriver une seule fois). Pour les chiffres, j’ai très exactement 3 comptes qui sont dans ce cas de figure, ça ira pour la mémorisation. Pour le changement régulier, jamais eu le cas de figure.
Après c’est ma méthode à moi, il est évident qu’elle ne peut s’appliquer à tout le monde et pour tout.
Pour les mots de passe, chacun a une méthode évidemment mieux que les autres, mais au final, il n’y a pas vraiment de solution propre, a part l’utilisation de coffre de mot de passe avec génération random (et encore, faut que ca soit assez long)
Ceci dit, je recommande toujours:
_AUCUN caractère spéciaux comme ^/"’~&@ et tous ces trucs la. Pourquoi? Parce que ça peut être impossible à faire sur certains clavier (comme le \ qui n’existe pas en japonais, c’est le sigle ¥) mais aussi parce que ça peut foutre la zone sur certains site/logiciel mal codé (le @ est un grand classique, mais y en a d’autres)
_Restez sur de l’alphanumérique pur et dur, donc, et le plus long possible.
_La passphrase, c’est une bonne idée mais il faut une vrai phrase qui n’a pas de contexte connu (cf http://boutique.ed-diamond.com/home/873-misc-80.html qui propose un article sur le sujet, ou l’article de ars)
C’est juste impossible de mémoriser une passphrase pour chaque site, donc perso, je fais comme ca:
{passphrase}{Acronyme du site}
Pour GZ par exemple, c’est FaskiletCafVontNousFaireUnArsTechnicadeFou42GZ (je déconne, c’est impossible a mémoriser mais c’est pas grave 
)
J’utilise une passphrase pour tous mes sites web avec {acronyme} à la fin qui change. Ça permet d’avoir toujours un pass différent mais si je me fais pirater un compte, je dois quand même changer tous mes pass (ils sont pas teubé non plus, les pirates). Mes mots de passe important (gmail, banques) n’ont rien a voir avec la passphrase « website », et pareil pour les pass que j’utilise au taf. Ca commence a faire beaucoup et je pense que je vais jeter un oeil appuyé sur ces logiciels de coffre de mot de passe.
La portabilité de keepass (linux notamment) joue pas mal en sa faveur, mais ouais, les logiciels libres sont pas les premiers en ergonomie, on va checker ca.
LoneWolf
NouveauMotDePasse42
bref, ta méthode est nulle en gros. Autant mettre le même mot de passe partout… 
En fait, je gagne quand même un peu de temps, le mot de passe tel quel ne passera pas, donc le pirate commencera par voir les autres comptes (qui passe)
Mais sinon oui, c’est pas super mais ca permet de t’en souvenir avec une petite protection, et c’est pour ca qu’il faut que je passe a un coffre de mdp
LoneWolf
Faites moi confiance…
Clairement les mdp c’est la galère.
J’ai ai quelques uns, avec des variantes, pas de règle précise, et je l’oublie souvent. Parce que même si j’ai le mdp, j’ai pas forcément le login associé \o/.
J’ai essayé keepass, c’était pas mal mais :
- le fichier (.key je crois ?) est devenu illisible de jour au lendemain. Je sais pas pourquoi.
- de toute manière, ce genre de soft c’est bien pour les nouveaux sites, mais pour la centaine où vous êtes déjà inscrits, vous faites comment ? Vous vous tapez la modif de mot de passe un par un
?
D’ailleurs je viens de vérifier, et oui je dois pas être loin d’une centaine de mdp stocké dans chrome. A mon boulot. Donc je n’imagine même pas chez moi, où il y aussi les mdp de ma femme.
Faudrait que j’essaye 1password mais pour être honnête, payer pour ça, ça me fait chier. Sur mac/iPhone où tout est intégré/synchronisé ça peut-être pas mal, mais jongler entre le pc fixe, le portable avec 2 OS, chome, firefox les devices mobiles, le boulot (où j’ai pas accès à dropbox ou google drive), etc. C’est la galère. Et au final j’aurai la flemme de l’utiliser (je pense).
Et si ça diminue fortement le risque de hack certes, mais je suis pas sur que ça change grand chose en cas de social hacking ?
Le plus chiant, c’est quand je dois taper ~ÕÇãÇ1U*Mó>Ñ õ´yVÿ=¨áB¾¦7¼Ã ,¾ avec la manette de la xbox.
Pour les mots de passe existants, tu peux simplement renseigner ton mdp courant en attendant de le changer un jour.
1 « J'aime »