1Password - besoin d'aide

Je suis en train de tester 1password, c’est mon premier gestionnaire de mots de passe, j’ai des questions idiotes à poser pour me rassurer car une partie de moi continue de penser que réunir au même endroit tous ses mots de passe + ses cartes de crédit est une grosse connerie, alors par avance, pardon, merci pour votre patience.

Si j’ai bien tout lu freud, 1password jure ne pas pouvoir accéder à notre vault à cause de notre secret key qui ne leur est jamais communiqué, c’est parti pour les questions idiotes (pardon) :

1°) Pourquoi les croire.
La réponse “Parce que c’est leur travail, il ne vont pas se tirer une balle dans le pied” est moyennement satisfaisante dans la mesure où avoir accès à tellement de données précieuses leur permet de ne plus avoir à travailler de toute leur vie.

2°) On est bien d’accord que sans ma secret key, si mon master password est intercepté d’une manière ou d’une autre ça n’est pas le jackpot pour celui qui a réussi ce coup là ? (J’imagine que non)

3°) Le fait que 1password soit le plus réputé/sécurisé doit forcément focaliser les attaques, je ne pense pas à un mec dans son coin mais aux forces combinées d’un état. (Russie, Chine, US, you name it), ce truc doit être vu par tout le monde comme le gros poulet.

4°) Lorsque vous devez accéder à vos données sur des postes probablement compromis (l’ordinateur de papa/maman) comment procédez-vous. Plus globalement, comment faites vous sur votre poste au travail pour la secret key, 1password la récup dans le cloud ?

5°) Quid de la sécu sur les smartphone Android, j’ai installé 1password dessus et fait en sorte qu’il se déverrouille avec mon emprunte, est-ce une connerie ? PS : je ne demande pas si utiliser Android est une connerie, je veux juste savoir si du coup, mieux vaut ne pas utiliser 1password dessus (mais alors comment accéder à mes trucs depuis mon smartphone)…

6°) Quand on copie un MDP dans le clipboard… c’est à ce moment qu’il peut se faire intercepter non ?

7°) Quand on l’utilise, j’imagine qu’il faut désactiver la mémorisation automatique des MDP par les sites ?

2. Oui sans secret key, on peut pas se logger, c’est d’ailleurs pour ça à mon avis qu’ils ont pas mis le two factor.

3. Au boulot, c’est mon pc portable, donc faut connaitre mon mot de passe du PC + le master password de l’app installé dessus, donc perso ça me pose pas de soucis. Pour quand je suis chez quelqu’un d’autre, j’utilise mon téléphone avec l’appli et je recopie le password. C’est assez chiant quand tes mdp font 20 caractères mais bon.

4. Bha en même temps elle est quand même sécurisé avec ton emprunte. Après via le web, tu peux désauthoriser un device. Par contre aucune idée de ce que ça fait. Je sais pas si ça arrête juste pas la synchro.

5. Je ne sais pas. En tout cas, une fois que tu as fait un “coller”, ça s’efface du clipboard.

6. OUI ! Surtout désactiver la mémorisation et virer tout ce qui a été retenu

6. Pourquoi uniquement clipboard? A partir du moment ou l’attaquant a accés ou a installé un truc malveillant sur ta machine, tu l’as dans l’os. Point barre. Aucun password manager ne peut te protéger contre ça. Il te faut un anti-virus/anti-malware sur ta machine.

Merci pour les réponses !

Pour répondre spécifiquement au point 1, si, on peut leur faire confiance « parce que c’est leur taf ».
En suivant un peu les actus, tu t’aperçois qu’aucune faille / attaque ne reste secrète très longtemps, et c’est leur coeur de métier de garder les données => il savent que s’ils perdent ne serait ce qu’un mot de passe, tout le monde va se barrer.
'+ ils sont assez visibles, et ils ne sont apparemment pas encore fait trouer …

Et par rapport au côté « je me barre avec tous les mots de passe pour les revendre au plus offrant et en faire ma retraite » … je suis pas sur que ça soit une stratégie super viable… En tout cas, ça serait une première à ma connaissance.

Dernier point, si tu veux de la synchro, ça va transiter part quelque part… autant que ça reste au sein du même truc plutôt que de passer un service tiers et encore ajouter du risque par dessus.

C’est bien le principal défaut du système je trouve.

Pour ça les sites qui supportent les mots de passe style « mot-mot-mot-mot-mot » sont pratiques car facile à recopier mais compliqué à craquer

Oui c’est d’ailleurs assez pénible ceux qui sont t’obligent à prendre min/maj, nombre et caractères spéciaux mais qui sont limités à 16 caractères.

En mode flemme j’utilise 1Password web chez les potes, dans une session privée, et basta. 0 risque sauf si tu te barre en speed en laissant tout ouvert comme un deb’ mais là, le problème est entre la chaise et le clavier…

C’est sur qu’il y a forcément un risque à ce niveau. Mais je pense que le poulet est plutôt du genre microscopique et qu’il ne suscite pas un réel un intérêt pour les gens malveillants. La plupart des gens en sont encore à utiliser le même password partout en mettant leur date de naissance, le nom de leurs enfants ou 123456, alors pourquoi s’emmerder à attaquer 1password pour récupérer des données qui ne seront pas forcément plus intéressantes.

C’est la même problématique que pour les malwares. Sans parler de la sécurité des sytèmes, il y a
95 % de Windows dans le monde, pourquoi s’emmerder à en faire sous macOS (même si on en voit de plus en plus).

Après, 1password permet de faire un coffre complètement local dans ton ordi, il me semble.

@Cafeine Tu vas pouvoir arrêter de payer : https://1password.com/for-journalism/

Pas plus que quand Microsoft fait des promos pour les étudiants et les enseignants, ou que les éditeurs filent des clefs de jeux aux journalistes. C’est juste de la campagne de pub, et c’est même pas limité à l’IT, cf les échantillons de produit beauté et même de médocs …
Au moins là le geste est classe

Sauf que non, c’est pour les reporters, y’a tout un screening derrière. Je vais pas trop en Syrie moi. (et ça répondra aux insinuations pénibles de @Gr3e aussi).

Ouais mais s’attaquer à starcitizen sur les forums “gamerz” ça vaut bien la Syrie non ?
#primederisque

On peut faire des vannes sur les risques de tomber de l’hélico pendant la balade promotionnelle ou c’est mal vu ?

Plus sérieusement @Cafeine t’es sur ? J’ai pas vu de limitation écrite et je pense qu’un journaliste hardware a autant le droit de protéger ses infos et ses sources chez un constructeur qu’un grand reporter (même si on est bien d’accord que les prises de risques sont pas exactement les même).

J’ai demandé au CM mais pas fait la procédure pour tester en live. Je peux faire ça pour confirmer; on sera vite fixé.

Toujours sur 1password et j’en suis très content, même si je déteste son interface actuelle.

J’ai en revanche deux problèmes différents super relous sur 2 postes, sans être pour autant sur à 100% que 1password soit le problème :

Sur un poste, s’il arrive à remplir les cases quand j’ai besoin d’un mdp, impossible de créer de nouveaux identifiants car aucun onglet ne s’ouvre automatiquement, il bloque, il ne se passe rien. Et quand je créé un compte sur un nouveau site et qu’il me demande si je veux sauvegarder les identifiants, il ne se passe rien du tout, l’onglet freeze carrément. C’est ULTRA chiant, et je n’arrive pas à déterminer si c’est une extension de sécu qui fou le bordel, mais je n’ai que des trucs classiques genre ublock et adGard.

Sur un autre poste (mais j’en avait déjà parlé ici je crois), l’app ne se verrouille carrément plus du tout, genre si je quitte mon poste et que je reviens 2 heures après, l’app est toujours active. Bonjour la sécu, en revanche ça doit venir d’autre chose car ce poste là n’arrive plus à se mettre en veille non plus, quelque chose empêche l’ordi de compter le temps ? Je ne sais plus qui m’avait dit qu’il fallait changer la pile de la CM, mais j’ai du mal à croire que ça puisse être un truc aussi con, et surtout que rien n’indique que la pile soit morte.

Tiens petite question : est qu’il faut avoir du réseau pour déverrouiller 1password sur Android ?

Déjà parce qu’avant, je deverouillais avec l’emprunte digitale et c’était presque instantané. Depuis que je fais avec le mot de passe ça met 3 plombes.

Le pompon est là pendant les vacances, j’ai peu de réseau et c’est presque impossible de le déverrouiller. Et si je me met en mode avion, ça me dit direct qu’il ne peut pas le deverouiller

Testé à l’instant en mode avion, il se déverrouille.
Il affiche ensuite « pas de réseau », aka je peux pas synchro. Mais il fonctionne.

Hyper étrange… Faut que je tente une ré installation quand j’aurais du réseau suffisamment …

Édit : bon donc, j’ai supprimé et réinstallé l’appli. Bizarrement j’ai gagné la fonctionnalité code pin qui voulait pas marcher avant. Mais en airplane mode, toujours pas de déverrouillage possible