Là, je suis d’accord.
Reste la contrainte d’administrer son serveur. (mais à laquelle on peut opposer la contrainte financière d’un fournisseur).
Un fichier keypass envoyé par mail est autant sécurisé qu’une vault 1Password. Dans les 2 cas l’utilisateur est le seul a posséder le mot de passe qui déchiffre le fichier/vault.
Une des forces de 1password c’est leur système de secret key.
Ça paraît tout con, on le tape pas souvent donc ça semble presque anecdotique.
Mais en réalité, c’est une puissante sécurité secondaire : déjà ça ajoute pas mal de caractère à votre mot de passe personnel (ça doit être une vingtaine de mémoire) mais de plus, c’est une partie du mot de passe qui est bcp plus difficile à intercepter puisqu’il est rarement utilisé. Et enfin, c’est une partie du mot de passe que même l’utilisateur ne connaît pas de tête (normalement) et qui garantit qu’on ne pourra pas lui soustraire ses « credentials » par la force, l’intimidation, la persuasion ou la confusion.
Comme on le stocke généralement dans un autre endroit que le mot de passe, c’est un genre de double authentification.
Je ne crois que Keepass ou d’autre utilise une clef de ce type.
La sécurité d’un vault ne repose pas uniquement sur la sécurité de son stockage
1 « J'aime »
L’attaque qui « m’inquiète » le plus sur 1P c’est la compromission du client (extension, site ou appli), ce qui permettrait justement de contourner ces mécanismes.
Pour la sécurité du vault je ne me fais pas trop de souci en effet.
Mais si le client est compromis, c’est déjà fini en fait. Dans la majorité des cas, l’attaquant n’a même plus besoin de 1password pour se faire plaisir.
Et même chercher à ouvrir le coffre serait contre-productif pour lui au sens où ça lui demanderait beaucoup de temps pour peu de résultat.
Il a plus vite fait de siphonner/chiffrer les données, et le temps que ça soit achevé il vérifie d’éventuels session restées ouverte sur les site les plus communs (Gmail, Amazon, and co). (et bien sur mettre en place de nouvelle faille/trojan pour poursuivre le fun).
Je crois qu’aucun service ne permet de protéger efficacement ses données avec un client non sécurisé… et pourtant, là encore je pense que 1password fait mieux que les autres avec le vidage du presse papier et de la ram, le verrouillage automatique et rapide après temporisation, ou encore la secret key (qui limite l’efficacité d’un keylogger puisqu’il ne chopera qu’une moitié du Master pass)
1 « J'aime »
Par compromission du client, j’entendais avant distribution à l’utilisateur, donc à grande échelle.
(par client j’entends le soft 1P, pas le device ou programme qui l’utilise)
En caricaturant, tu modifies (côté serveur) le code servi au navigateur en ajoutant un upload vers l’extérieur des données du vault une fois celui-ci décodé.
C’est le scénario ou 1P (la boîte) se fait ouvrir et ses serveurs sont compromis. Ça se verra vite donc ça ne durera pas longtemps, mais puisqu’on en est à expliciter les scénarios, je détaille. 
Comme l’histoire de Ccleaner qui avait été compromis
Ah oui, pardon. Au temps pour moi.
C’est vrai que c’est un scénario réaliste et pourtant peu évoqué.
Mais j’imagine que l’update automatique (du stand alone comme du plugin) est relativement sécurisée, avec au moins une connexion chiffré et un hash check du fichier. Et je me demande même si le fichier lui même n’est pas chiffré par le Master du client, ce qui expliquerait que 1paszword ne se met pas à jour tant qu’on n’est pas loggé. (mais aussi en je me trompe et y’a aucune secu ? 
Need more infos)
Reste uniquement les fresh install, mais la portée est nettement plus limitée.
Vu la boite, j’ose pas imaginer le nombre de checks à chaque builds / release sans parler des sécus sur le code source… C’est pas comme certains… 
1 « J'aime »
ouais voilà. Les attaques par supply chain c’est techniquement possible mais faut généralement un gros investissement pour y arriver, donc ça reste rare.
1 « J'aime »
Keepass a une key file, fichier crypté qui contient une clé, qu’on peut ajouter en plus du master password. Je pense que c’est la même chose.
3 « J'aime »
Je sais, mais je suis un vieux con qui ne veut pas changer ses habitudes, je parle aussi de résolution pour la definition d’écran et évalue les tailles disques en base 1024 et pas 1000.
2 « J'aime »
Bon avec ma fille qui commence à avoir une tablette avec des applis, bientôt un téléphone pour son entrée au collège mais aussi ma femme qui met toujours les même mot de passe partout, et parce que j’en avait marre de tout gérer dans mon 1password et que je n’avais pas envie d’installer mon compte sur la tablette de ma fille, je suis passé à l’abonnement famille
C’est bien pratique, pour le moment j’avais un coffre avec les quelques mdp de ma fille, que j’ai mis en partage pour nous trois vu que c’est surtout des mdp dont ont peut avoir besoin, j’ai créé autre coffre partagé avec les mdp commun (Netflix, le wifi etc), un autre juste partagé avec ma femme avec nos truc sensible (impot, assurance et j’en passe). Et chacun possède donc son coffre perso avec ses propres sites qui n’intéresse pas les autres. J’ai migré le coffre où j’avais les mots de passe de ma femme sur son compte (Ajout d’un tag sur toutes les entrées, export csv, notepadd++ pour ne garder que les lignes avec ce tag et réimport dans son compte… Facile…)
Bon sur Ipad ça marche plutôt bien. Le téléphone de ma femme est un peu plus capricieux (Redmi Note 9) mais je suppose que ça ira mieux quand j’aurais vérifié qu’il ne me manque pas de mdp et que je lui désactive le gestionnaire google. Ma fille possède à la maison un vieux téléphone Android, qui reste dans un coin, en cas de besoin si je m’absence (et pour spotify) mais il est pas compatible 1password 
. Faudra lui en reprendre un pour le collège…
Le gros point de doute était l’adoption. Je l’ai pas encore présenté à ma fille mais c’est surtout ma femme qui me faisait peur. Et bien elle a adhéré sans trop d’histoire. Va falloir faire l’accompagnement au changement mais c’est en bonne voie
4 « J'aime »
Bravo, parce que j’ai essayé, la greffe n’a pas pris. Ni ma compagne, ni sa fille, ni mon fils n’ont adhéré. Google all the way, sauf mon fils qui a au moins les bons réflexes de mdp différents.
2 « J'aime »
Ouais alors ici, ça fait 3 ans que je l’ai, ma femme a toujours pas capté
Elle continue d’utiliser à 33% le truc de son iPhone d’un côté, 33% le truc de son Chrome / Edge de l’autre (elle utilise deux browsers j’ai jamais compris pourquoi), et puis 33% du temps 1pwd. Pas faute de lui expliquer, mais « elle a pas le temps pour ces conneries » 
3 « J'aime »
C’est très curieux cette attitude, je suis confronté à la même chose, notamment sur le thème de la sécurité. Il y a une forme de fainéantise que je ne m’explique pas, d’autant que 1P est incroyablement ergonomique.
3 « J'aime »
Parce que tant que tu n’as pas été confronté directement aux conséquences, celle-ci restent un objet purement intellectuel et donc irréel ? C’est autant visible dans la sécurité informatique que dans d’autre domaine.
Après tu peux lutter contre cette sensation d’irréalité avec de la (in)formation (c’est en autre comme ça que l’usage de la ceinture de sécurité est devenue la norme, ou que bcp d’utilisateurs de GZ utilise 1Password) mais c’est jamais simple. Par exemple, la ceinture de sécurité, je connais encore plein de personne qui ne la mette que lorsque l’alarme sonne, et qui ne la mettraient pas si y’avait pas cette alarme.
2 « J'aime »
C’est vrai que @Cafeine fait un drôle de bruit quand on lui dit qu’on utilise LastPass…
Juste le bruit du popcorn que je déguste en vous regardant vous faire pirater.
7 « J'aime »