Je ne peux pas t’aider avec ta carte, mais avec mon « touchID » du pauvre ça fonctionne parfaitement sous Windows. Bon maintenant que je passe sur Linux ça ne me sert plus à rien, mais tant pis.
Salut la zone
Dîtes rapide question : mon client est en train de sérieusement réfléchir a se débarrasser de Lastpass comme outil de gestionnaire de mot de passe (il était temps, comme dirait Ron Hubbard) mais au lieu de sauter directement sur 1password comme je lui suggère fortement depuis 6 PUTAIN D’ANNÉES (pardon, les nerfs qui lachent), il cherche a gauche et a droite et, comme on a un ancien employé qui est commercial chez eux, il regarde fortement Mail in Black et leur solution Sikker…
Sauf que been, t’as pas de version demo, et les prix sont même pas annoncés.
Donc je me demandais si certain d’entre vous avait deja eu la chance d’utiliser cette solution, et ce que vous en pensiez ?
Alors je n’ai pas utilisé spécifiquement leur solution de gestion de mot de passe, mais chaque interaction que j’ai eu avec ces gens ne m’a pas laissé de bons souvenirs. (en gros leur service de blocage de mail par identification, qui accessoirement transforme la boite mail de tous le monde en bandeau publicitaire, a tendance à ne pas respecter les RFC, genre quand tu dis que t’as livré le mail dans la b.a.l du client, ben faut avoir livré le mail).
Je m’arrête là, je risque de louper mon jet de santé mentale si je continue à écrire.
2 « J'aime »
Microsoft signifie la fin des mots de passe dans son app Authenticator.
Le chemin à suivre est toujours celui d’un abonnement 1password ? C’est toujours la Rolls des gestionnaires de mot de passe ?
Mon emploi serait Firefox partout, OSX, W11 et un téléphone Android.
1 « J'aime »
Ouip.
1 « J'aime »
Oui, y a pleins de trucs plus au moins au niveau ou qui s’en approche mais toujours pas aussi bien.
1 « J'aime »
Nan maintenant plus la peine de stocker ses mots de passe soi-même, comme ils sont dans la nature, suffit d’un accès au dark web pour les récupérer (et ceux des autres par la même occasion) 
:
1 « J'aime »
J’ai pris l’abonnement annuel et je vais transférer ce que je peux de Authenticator etc… Y’a une marche à suivre sympathique.
Mais punaise, personne sait saler correctement un mot de passe pour éviter qu’il soit volable ?
Ou je suis naif et même ça, ça suffit plus ?
1 « J'aime »
C’est plus tellement ça les vecteurs d’attaque sur les fuites comme ça. On est plus sur du social engineering sur un mec qui a trop de droits, pour l’usurper et dump des trucs.
L’arnaque au président ou voler les cookies d’une session d’un admin pas malin c’est bien plus simple et efficace.
Mon propos c’était qu’il me semblait qu’il y avait moyen de stocker des mot de passe « proprement » pour que même s’ils sont volés (via social engineering ou autre clic de lien malencontreux) ça soit inexploitable, en les salant pour que ça soit « comparable » si un utilisateur tape un mot de passe, mais pas reversible.
Mais en tapant ça, je percute que le pb est probablement ailleurs. Avec la puissance dispo maintenant (quitte à utiliser des réseau de pc infectés par malware pour avoir de la puissance de calcul), il doit être « facile » de faire tourner des rainbow tables même sur ces volumes de mot de passe et choper tous ceux qui ont un mdp simple ou pas trop compliqué.
Ca va probablement marquer la bascule vers les passkey (ou je suis encore trop optimiste…)
2 « J'aime »
Passkey c’est de la grosse merde.
Passkey DANS 1PASSWORD = is OK ! 
(parce que ça fonctionne avec TOUS tes devices du coup)
1 « J'aime »
Bon, j’essaie de faire ultra synthétique :
- mot de passe stocké dans la base en clair : si volé = réutilisable tout de suite
- mot de passe hashé = non reversible. si volé, on ne peut pas remonter au mot de passe initial. Pb : si quelqu’un a déjà pré-hashé les 10000 mots de passe les plus connus et que le tien en fait partie, il peut comparer ton hash à ceux de sa liste, et remonter à ton mot de passe
- mot de passe hashé avec un sel : avant de hasher ton mot de passe, on lui accole un truc plus ou moins aléatoire, donc y’a peu de chance que ce truc concaténé existe ailleurs, et ait été pré-hashé, donc la fameuse liste précédente ne sert plus à rien… sauf si l’attaquant trouve le « sel » et décide de recréer une liste pour chaque « sel » trouvé. Avant ca n’était pas rentable car trop long en calcul, mais avec les GPU actuels c’est envisageable.
- Donc maintenant on évite de hasher les mots de passe, et on passe par des fonctions dédiées (ex: bcrypt) qui font ça proprement et empêchent de faire des liste pré-calculées.
Et comme le disait @LePapalouf , c’est tellement plus rentable que maintenant les attaquants privilégient le social engineering pour forcer la victime à livrer gentiment son mot de passe plutot que d’essayer de lui cracker.
XKCD pour référence : xkcd: Security
et comme le disait @Cafeine : passkey = caca, c’est juste un vieux truc (clés asymétriques) rebrandés en un truc marketing pour faire croire qu’on n’a plus besoin de mot de passe…
7 « J'aime »
Le gestionnaire de mots de passe Dashlane met fin à son offre gratuite - Next
Une raison de plus de migrer vers 1password 
Ce serait bien qu’il reste un peu de concurrence dans le domaine quand même.
De mémoire 1Password appartient à un fond, quand ils seront hégémoniques sur le marché on risque de le sentir passer côté tarifs.
Il y a bcp de concurrents mais aucun avec le niveau de finition de 1P. À mon sens, il est loin d’être impossible de les concurrencer, et techniquement, ils sont déjà leaders, on paye déjà ce premium. Leur diversification vers les sociétés devrait calmer leur « gourmandise » un moment…
2 « J'aime »
1Password qui team up avec Perplexity, qui eux mêmes se sont associés avec Trump pour Truth….
Je crois qu’il est temps de changer de fournisseur… Des recommandations ?
Si tu commences à te lancer dans genre de considération, j’espère que tu tournes sous linux (et pas sous windows ou même mac OS), que tu n’as pas de compte facebook et ce n’est que le début de la liste
Et encore, là ça me parait un peu soft et indirect pour partir direct boycott non ?
3 « J'aime »
C’est rigolo cet appel au boycott dès qu’on parle de cirage de pompe de l’agent orange et d’IA … Faudrait voir à arrêter d’utiliser les tablettes et les téléphones hein, parce que ni Google ni Apple n’ont le cul propre si on va par là …
2 « J'aime »