1Password, KeePass, Dashlane : comment bien gérer ses mots de passe

Autre info qui peut intéresser du monde :

Et plein d’autres trucs intéressants dans leur forum (j’avais pas été creuser depuis un moment). La v6 pour Windows est bien prévue pour pouvoir écrire dans les fichiers classiques “un jour” et être 100% compatible avec une sync Dropbox (elle peut déjà lire ce fichier). Si le marketing pousse l’abonnement, c’est clairement en réaction à la concurrence / simplicité d’usage des 1st time users, qui accèdent au passage à toutes les apps. Pour les users plus avancés / anciens utilisateurs du produits, il est bien prévu que tout reste “comme avant” pendant encore de longues années.

1 « J'aime »

Je suis repassé sous Dashlane perso, mais ça m’a coûté. J’ai beau savoir LP pas trop secure, ses fonctionnalités me manquent et Dashlane est un peu à la rue sur certains trucs parfois bien pénibles, comme l’UX de manière générale (il est où le clic-droit dans l’extension FF ?), les authentifications http pas gérées, ou certaines options planquées comme l’obligation de désactiver les auto-login déjà enregistrés un par un, sans possibilité de le faire globalement (on peut, mais uniquement pour les futurs logins), ou encore le prix de la sync quand on compare à LastPass (mais bon, la sécurité a un prix, j’imagine). Bref, on verra à l’usage, mais on commence à vraiment manquer d’un soft sérieux et complet sur le marché Windows, ça saoule. :frowning:

Perso je trouve la v6 de 1P très prometteuse, super rapide et efficace. En revanche clairement faut qu’ils se sortent les doigts et terminent l’intégration Dropbox / folders ASAP. Dashlane j’aime pas du tout et c’est bcp plus restrictif et moins complet que 1P, j’ai presque envie de dire « même sous Windows ». Surtout à ce tarif :confused:

1 « J'aime »

Il n’y a aucune raison de penser que Dashlane ou 1P sont plus (ou moins) sécurisés que LP. LP est vachement visé étant donné sa notoriété, c’est pour ça que Tavis Ormandy (le John Wick de l’infosec) s’est mis dessus et l’a plombé. On pourrait craindre que Dashlane et 1P aient des problèmes similaires s’il s’y mettait (ou pas; hein, mais sans preuve du contraire on reste dans le théorique). Mais ça c’est ma vision de parano de la sécu.

(N.B.: ce sont les extensions LP, ainsi que le binaire Windows si on l’installe, qui étaient vulnérables, par le service en lui-même ou les échanges entre le service et les machines qui l’utilisent - ce qui est un poil plus rassurant mais pas la panacée)

Du coup moi maintenant c’est KeyPass et basta. Pour synchro entre les PCs je reste sur mon choucou SyncThing et ça fonctionne bien comme ça.

Des preuves, on en trouve. Il y a par exemple un reward permanent pour les hacks de 1P, que personne n’a jamais touché, leur protocole de sécu est entièrement expliqué sur leur site. Si tu veux vraiment te marrer, tu peux regarder Enpass et le dernier fiasco en date (en même temps, un soft gratos dev en Inde qui pompe même le design sur la concurrence, faut vraiment être une pince ET inconscient.) LP a été hacké, fact. Point. Deux fois. Quand on développe un service de ce calibre, il est évident qu’il faut tout sécuriser dans la chaine. C’est justement le point fort de 1P (et le faible d’un Enpass ou LP à l’époque). Dire que “c’était juste gnagna”, bha oui mais non… C’est “juste” un gros problème.

LP n’a pas été hacké, des possibilités d’exploitation ont été démontrées (et, à ma connaissance, aucune victime n’est a déplorer mais peut-être que personne ne s’est manifesté). C’est une différence notable en terme d’impact.

Peut être que 1P est parfait et ne sera jamais hacké, grand bien fasse à ses utilisateurs. Moi j’ai décidé de ne plus utiliser de tels services parce que peut-être qu’un jour quelqu’un trouvera une faille dans 1P ou d’autres password managers.

Apres pour les bounty de faille il faut savoir que au marché noir , ce genre de truc se vend beaucoup plus cher que le bounty et que tu as des boites spé dans la mise aux encheres discretes de ce genre de bug …

Donc dire que le reward n’a jamais été réclamé :confused:

exemple de broker en exploit zerodium : Zerodium - Wikipedia (cocorico)
ZERODIUM - How to Sell Your 0day Exploit to ZERODIUM

BUSSIERE DARKSIDE IS HERE. :wink: Le roi du verre à moitié vide.

Si c’était jouable, un mec dans le tas l’aurait réclamé depuis le temps. Surtout qu’ils sont audités tous les ans par les meilleurs du milieu (again, tout est sur leur blog). Je dis pas que c’est parfait, mais le FUD permanent, ça fatigue.

Pour le reste, chacun choisit sa solution magique, y’a bien des gens pour voter Lepen / Méluch / insert 9 autres candidats minables. Mais Keepass reste une solution très mauvaise / peu pratique pour l’utilisateur moyen, faut en être conscient.

Dans les solutions plus root :


Avec un fichier texte de mot de passe.

Sinon encfs avec un repo git privé sur le dossier crypté (git lab par exemple)

Dans les annexes :
Un bon moyen de partager un mot de passe avec quelqu un est d utiliser ce que j appel la boite noire en gros une experience que tout les deux avaient vécu comme mot de passe temporaire (pour un plus long) ex : Le bar ou l on s est rencontré etc …

Dans les rappels a la noix :
Une chaine a la force de son maillon le plus faible,
le coffre a mot de passe n en est qu un des maillons. Les autres maillons sont aussi bien physiques (key logguer materiel par ex) que logiques (key logguer logiciel). Ca ne sert a rien d utiliser un coffre a mot de passe si les autres maillons ne sont pas aussi securisés …

En experience perso :

Et sinon en situation de stress / manque de sommeil on peut avoir des trous de memoires temporaires bien penibles du coup je recommande de planquer les mots de passes important ou le principal de maniere visible.

Et ca peut vite arriver (innodation ou catastrophe a gerer) et malheureusement c est souvent dans ce genre de cas ou vous aurez besoin de votre mot de passe rapidement …

Personnellement je suis assez fan des pictogrammes , du binaire , du morse , du morse de taule , braille caché dans un decor (poster , tableau , figurine etc …).

Exemple : un tableau avec un echiquier peut etre le code avec l ordre des pieces et leur position …
L ordre et titre des livres sur une photo
etc …

L avantage etant que le systeme de codage est reconnaissable meme en cas de trou de memoire penible.

Meme si vous ne prenez pas une des solutions gardez en tete que personne n est a l abris d un trou de memoire bien penible …

Et sinon en petite lecture sur le sujet je recommande histoire des codes secrets :

https://www.amazon.fr/Histoire-codes-secrets-Simon-Singh/dp/2253150975

1 « J'aime »

Je ne comprends pas comment tes mémos visuels (ex l’ordre des livres dans une bibliothèque ou un indice sur une photo) sont utilisables dans les situations de stress où tu veux les exploiter (ex incendie ou inondation du lieu où tu as placé ton indice). Ou alors j’ai mal compris.

Hu?!? Moins pratique je comprends mais mauvaise en quoi? Ça semble assez fiable quand même.

Je pense que @Cafeine a voulu dire "inutilisable par un utilisateur classique"
D’ailleurs, beaucoup de parents se gaussent de voir leur enfants utiliser naturellement les outils informatique. En réalité, leur connaissance de l’outil reste faible et j’ai eu récemment une stagiaire qui m’a posé la question suivante:
“Pourquoi j’ai des hashtag dans mes colonnes excel?”

_Elle ne sait pas ce que c’est qu’un hashtag
_Elle ne sait pas utiliser Excel.

Donc tu imagines devoir faire ce que j’ai expliqué dans le dossier pour installer keepass? no way.

Même 1P est pas super simple a installer (sous windows) en fait, le seul qui prends l’utilisateur par la main est dashlane (mais j’aime pas leur politique de récupération de données sur android)

Et d’une manière plus générale, un utilisateur classique ne comprends pas l’importance des mots de passe, même quand il se fait POWNED son FB ou son email. C’est de la faute des méchants pirates.

On est pas sorti de l’auberge d’authentification…

Ton password master est tiré de ces photos ou echiquier exemple :slight_smile:

A6B2D4 etc

ou

LePrinceCa1984ALaRechercheDuTempsPerdusCrytptonomicon

Du coup si tu sais que tu as chez toi ton mot de passe master planqué quelquepart en cas de trou tu le retrouves facilement en regardant la photo / tableau ou en decodant du morse.

1 « J'aime »

Clairement KeePass est pas du tout accessible au néophyte. Ça demande trop de connaissance informatique sur le fonctionnement de trop de truc pour être utilisable par le quidam.

Mais moi, ça me convient parfaitement. J’ai le niveau nécessaire pour l’utiliser sans difficulté, et je vois pas ce que m’apporterait une solution intégrée en ligne, vu qu’aujourd’hui il y a plein de plugin pour keepass qui font pareil.

Quand à l’oubli du master password : je l’ai simplement imprimé et rangé dans un coin planqué de la maison, ainsi que celui de mon mail (qui sert à tout recuperer), et celui de la clef de decryptage de crashplan.

Ca me semble suffisant comme protection :slight_smile: Après si les chinois du FBI veulent absolument connaitre mon numero de secu en cambriolant ma maison pour voler le papier et hacker mes comptes, ils y arriveront. Mais ca serait quand meme pas de bol :slight_smile:

Juste parce que ca me fait rire, mais en cas d’incendie ou d’innondation, t’es dans la merde avec ce genre de solution :smiley:

Alors, si ma memoire est bonne, mon mot de passe c’est « LivreBrulé1LivreBrulé2LivreBrulé3 »… « Ha bah non » « si j’avais su, j’aurais retenu mon mot de passe plutot que de m’en faire des trucs alambiqués a la mort moi le noeud »

1 « J'aime »

J’allais dire la même chose de la solution de @Ben :wink:

On peut pas penser a tout \o/

oui enfin ça fait quand même une sacrée dose de pas de bol pour que ma maison prenne feu et que je perde la mémoire en même temps :slight_smile:
Faut savoir tracer une frontière entre la prudence et la paranoïa :wink:

₍ᐢ•ﻌ•ᐢ₎

C’est pas une question de bol c’est lié , toute situation stressante joue sur ta memoire …

https://www.google.fr/search?q=stress+et+trou+de+memoire&oq=stress+et+trou+de+memoire+&aqs=chrome..69i57.4781j0j7&sourceid=chrome&ie=UTF-8

oui enfin tout les sinistrés ne deviennent pas amnésique … Et si je retrouve pas mon mot de passe pendant 2 jours, je survirai :slight_smile: