1Password - besoin d'aide


#21

Je suis en train de tester 1password, c’est mon premier gestionnaire de mots de passe, j’ai des questions idiotes à poser pour me rassurer car une partie de moi continue de penser que réunir au même endroit tous ses mots de passe + ses cartes de crédit est une grosse connerie, alors par avance, pardon, merci pour votre patience.

Si j’ai bien tout lu freud, 1password jure ne pas pouvoir accéder à notre vault à cause de notre secret key qui ne leur est jamais communiqué, c’est parti pour les questions idiotes (pardon) :

1°) Pourquoi les croire.
La réponse “Parce que c’est leur travail, il ne vont pas se tirer une balle dans le pied” est moyennement satisfaisante dans la mesure où avoir accès à tellement de données précieuses leur permet de ne plus avoir à travailler de toute leur vie.

2°) On est bien d’accord que sans ma secret key, si mon master password est intercepté d’une manière ou d’une autre ça n’est pas le jackpot pour celui qui a réussi ce coup là ? (J’imagine que non)

3°) Le fait que 1password soit le plus réputé/sécurisé doit forcément focaliser les attaques, je ne pense pas à un mec dans son coin mais aux forces combinées d’un état. (Russie, Chine, US, you name it), ce truc doit être vu par tout le monde comme le gros poulet.

4°) Lorsque vous devez accéder à vos données sur des postes probablement compromis (l’ordinateur de papa/maman) comment procédez-vous. Plus globalement, comment faites vous sur votre poste au travail pour la secret key, 1password la récup dans le cloud ?

5°) Quid de la sécu sur les smartphone Android, j’ai installé 1password dessus et fait en sorte qu’il se déverrouille avec mon emprunte, est-ce une connerie ? PS : je ne demande pas si utiliser Android est une connerie, je veux juste savoir si du coup, mieux vaut ne pas utiliser 1password dessus (mais alors comment accéder à mes trucs depuis mon smartphone)…

6°) Quand on copie un MDP dans le clipboard… c’est à ce moment qu’il peut se faire intercepter non ?

7°) Quand on l’utilise, j’imagine qu’il faut désactiver la mémorisation automatique des MDP par les sites ?


#22
  1. Oui sans secret key, on peut pas se logger, c’est d’ailleurs pour ça à mon avis qu’ils ont pas mis le two factor.

  2. Au boulot, c’est mon pc portable, donc faut connaitre mon mot de passe du PC + le master password de l’app installé dessus, donc perso ça me pose pas de soucis. Pour quand je suis chez quelqu’un d’autre, j’utilise mon téléphone avec l’appli et je recopie le password. C’est assez chiant quand tes mdp font 20 caractères mais bon.

  3. Bha en même temps elle est quand même sécurisé avec ton emprunte. Après via le web, tu peux désauthoriser un device. Par contre aucune idée de ce que ça fait. Je sais pas si ça arrête juste pas la synchro.

  4. Je ne sais pas. En tout cas, une fois que tu as fait un “coller”, ça s’efface du clipboard.

  5. OUI ! Surtout désactiver la mémorisation et virer tout ce qui a été retenu


#23
  1. Pourquoi uniquement clipboard? A partir du moment ou l’attaquant a accés ou a installé un truc malveillant sur ta machine, tu l’as dans l’os. Point barre. Aucun password manager ne peut te protéger contre ça. Il te faut un anti-virus/anti-malware sur ta machine.

#24

Merci pour les réponses !


#25

Pour répondre spécifiquement au point 1, si, on peut leur faire confiance “parce que c’est leur taf”.
En suivant un peu les actus, tu t’aperçois qu’aucune faille / attaque ne reste secrète très longtemps, et c’est leur coeur de métier de garder les données => il savent que s’ils perdent ne serait ce qu’un mot de passe, tout le monde va se barrer.
'+ ils sont assez visibles, et ils ne sont apparemment pas encore fait trouer … :slight_smile:

Et par rapport au côté “je me barre avec tous les mots de passe pour les revendre au plus offrant et en faire ma retraite” … je suis pas sur que ça soit une stratégie super viable… En tout cas, ça serait une première à ma connaissance.

Dernier point, si tu veux de la synchro, ça va transiter part quelque part… autant que ça reste au sein du même truc plutôt que de passer un service tiers et encore ajouter du risque par dessus.


#26

C’est bien le principal défaut du système je trouve.


#27

Pour ça les sites qui supportent les mots de passe style “mot-mot-mot-mot-mot” sont pratiques car facile à recopier mais compliqué à craquer :slight_smile:


#28

Oui c’est d’ailleurs assez pénible ceux qui sont t’obligent à prendre min/maj, nombre et caractères spéciaux mais qui sont limités à 16 caractères.


#29

En mode flemme j’utilise 1Password web chez les potes, dans une session privée, et basta. 0 risque sauf si tu te barre en speed en laissant tout ouvert comme un deb’ mais là, le problème est entre la chaise et le clavier…


#30

C’est sur qu’il y a forcément un risque à ce niveau. Mais je pense que le poulet est plutôt du genre microscopique et qu’il ne suscite pas un réel un intérêt pour les gens malveillants. La plupart des gens en sont encore à utiliser le même password partout en mettant leur date de naissance, le nom de leurs enfants ou 123456, alors pourquoi s’emmerder à attaquer 1password pour récupérer des données qui ne seront pas forcément plus intéressantes.

C’est la même problématique que pour les malwares. Sans parler de la sécurité des sytèmes, il y a
95 % de Windows dans le monde, pourquoi s’emmerder à en faire sous macOS (même si on en voit de plus en plus).

Après, 1password permet de faire un coffre complètement local dans ton ordi, il me semble.