Il ne faut pas oublier que le Master password n’est pas suffisant pour accéder à 1password : il faut également la clef secrète, ou utiliser un appareil ayant déjà été utilisé pour accéder au compte concerné.
Secure notes dans la fiche de connexion et 2FA géré directement, donc dispo sur tous les devices…
1 « J'aime »
Un keylogger changera rien : faut un accès à la machine, avec remote & co. Si on en arrive là, le hack couche aussi avec ta femme et élève tes gosses sans que tu le saches… 
Non, j’insiste : faut un accès physique au soft (et le log de la version Web nécessite aussi la clé ID en plus du master password). C’est pas pour rien que c’est justement le meilleur compromis UX / sécurité.
Oui c’est exactement ce que je dis: si l’attaquant prend le contrôle d’un machine sur laquelle tu as ton 1P, c’est mort.
Si ton conserves tes accès 2FA (token et recovery codes) ailleurs*, il sera bloqué dès qu’il se trouvera face à la mire de login d’un des services auquel il tente d’accéder (Steam, Email,…).
Ce n’est pas équivalent.
*: c’est le 2 dans « 2FA » 
Non mais ya du 2Fa sur 1password même, en plus du Master password et de la clé secrète, il faut juste avoir une version teams et un compte Duo (gratuit) ou les versions au-dessus. En réalité la version teams coûte à peine plus cher que LastPass premium.
Alors Steam mauvais exemple vu que ces boulets c’est pas du vrai 2FA (merci de m’expliquer le nom… :x ) et donc leur app de chie updatée tous les siècles est obligatoire. Enfin en tout cas ils ne proposent aucune alternative. C’est super chiant.
Et encore une fois, à part être un mec visé par la Chine parce que t’es ingé XXL à la NASA (et encore), votre scénario est complètement pété. Déjà, l’accès remote à la machine, faudra m’expliquer le vecteur du hack. Vous êtes encore sous Windows XP ? Avec Win 10 et macOS, c’est quasi impossible sans vraiment le faire exprès, installer le truc soi-même. Donc full remote avec accès à l’app, bien ok, montrez-moi.
Oui oui, on peut toujours faire « mieux », y’a juste un moment faut se rappeler que personne ne s’intéresse à vos trucs. Ces outils stoppent le hack d’opportunités, nos OS font le reste.
Je ne sais pas ce qui est arrivé à Nashan, je sais pas ce qu’il a foutu avec sa machine, sur quels sites il traine, quel niveau de sécu il laissait activé, etc. Je sais ce qu’il est possible de faire en 2020 avec nos machines / OS et outils. On est plus à l’époque de l’open bar XP + flash (le lol). Sans parler des gens qui savent UN PEU config un réseau et surveiller ce qui s’y passe.
Si on fait la synthèse: ta sécurité repose sur le fait que ni ton PC, ni 1P ne sera jamais conpromis. Ça se défend.
Stocker tes éléments de 2FA ailleurs c’est une couche de sécu en plus. Tu peux juger qu’elle est inutile mais pas dire que c’est la même chose avec et sans.
Mauvais exemple puisque justement le mec a bien pris le controle de mon PC par une faute accidentelle de ma part, mais il s’est retrouvé coincé à la porte de 1password.
J’ai bien flippé puisqu’il avait quand meme accès à toutes les sessions que je maintenais ouvertes par mauvaise habitudes (donc surtout amazon gmail).
1 « J'aime »
J’ai jamais dit que c’était la même chose. Je dis que c’est comme aller te coucher avec ton casque de moto. Ta maison peut te tomber sur la gueule. Mais quand même, tu te fais chier pour rien ASSEZ SOUVENT si tu fais ça…
La proba pour qu’un OS (avec une installation de base en plus) moderne, soit compromis de la sorte nécessite OBLIGATOIREMENT un énorme connerie de la part de l’utilisateur, voire plusieurs. 99% des saloperies online n’ont rien à voir avec des hacks remotes (qui nécessitent des interventions humaines). Donc faut être HACKÉ, ET spécifiquement visé. Oui, ça fait beaucoup.
Pour la faire plus clair, je refuse de rentrer dans le délire parano autour de ça. Et éduquer les gens de cette façon, c’est la meilleure façon pour qu’ils continuent d’utiliser leur méthode du mot de passe unique « parce que c’est trop chiant ton truc » (et ils n’ont pas tort : c’est chiant).
Si tu veux rendre service aux gens, explique plutôt pourquoi bosser sur des trucs sensibles sur le wifi du starbuck et sans VPN, c’est un peu plus grave. 
Ce n’est pas une couche de sécu en plus si le « ailleurs » n’est pas aussi secure que 1password et c’est là tout le problème…
Avoir 1password et coller ses recovery code sur un endroit peu secure c’est un peu comme avoir une serrure 3 points avec une clef secure mais garder un double de la clef sous le pot de fleur…
Dans l’absolu tu as raison @Twin : coller le recovery code avec les mdp dans 1password c’est contreproductif et pour le 2FA, ce n’est plus VRAIMENT du 2FA…(et d’ailleurs attention au notification de SMS sur l’ordi: ça tue aussi l’intéret du 2FA par SMS qui est une merde par essence ceci dit)
Mais le soucis c’est que si tu le mets pas là: tu le mets où ? Perso j’ai carrément plus peur de me faire hacker ma dropbox (dont la sécurité est toute relative) ou mon NAS (l’admin c’est moi lol ) que de me faire fracturer 1password…
Donc je préfère encore les mettre là, puisque de toute façon si ils me pètent mon coffre 1p, ça va être open bar dans mon anus.
Faut quand meme prendre en compte que l’immense majorité des connards qui utilisent ces merdes se connectent via une jolie interface qui leurs donnent une liste de clients infectés: ils débarquent donc dans un lieu inconnus avec quelques logs et assez peu de temps pour agir. Généralement ils vont trifouiller pour voir ce qu’ils trouvent d’intéressant. Mais s’ils voient que tout est verrouillé avec en plus un soft qu’ils ne connaissent pas forcément (1password reste malgré tout assez confidentiel) ils vont vite passer au client suivant.
Donc après, il reste les mecs un peu plus velus, qui vont prendre le temps de logger la façon dont tu utilises ton ordi, et là oui, ils vont pouvoir chopper ton mdp et retourner ta sécu. Mais au doigt mouillé: je pense pas que ce soit une majorité (et concrètement je vois pas ce qu’ils auraient à gagner sauf comme dit Caf s’il y a un enjeu ciblé derrière). Et contre ça la seule parade je pense c’est le facteur physique: c’est pour ça que je m’intéressais à la solution de @ThinkBriK .(mais je me demande en quoi une bête clef USB ne pourrait pas faire la meme chose, au software près)
2 « J'aime »
Ben disons que c’est pour ça que j’utilise des clés physiques, on me hacke à distance mais il faudrait voler la clé que j’ai sur moi.
Idem, ces solutions sont un enfer parce que j’attends juste ton msg sur le jour où 1. tu vas la perdre 2. m’expiquer comment tu fais pour ton smartphone / tablette…
Never forget ➜ le mieux est l’ennemi du bien
(et c’est con hein, y’a des solutions hardware délicieusement lookée cyberpunk. Mais dans la vraie vie, c’est juste insupportable.)
Finalement ma question a déclenché une discussion intéressante, mais en fait je voulais juste savoir si un Zonien travaillait chez Discord et pourrait éventuellement virer ma 2FA…
Je sais, c’est naïf, mais qui ne tente rien n’a rien. 
2 « J'aime »
Les recovery codes ? Je les imprime, je les mets dans une enveloppe et je la planque.
Certes, si je me fait cambrioler par des voleurs très motivés (ou que ma maison brûle et mon mobile avec), je suis eu.
Ben j’en ai enregistré 2 dont une archivée. Et j’ai un tracker GPS sur l’autre (je m’aperçois que ça fait flippé de la vie mais c’est pour retrouver mes clés de bagnoles qui sont avec). Après je securise des trucs plus tendus en 2fA comme le compte avec droits admin du cloud de ma boîte.
1 « J'aime »
Pareil mais avec MS authentificator. Il sync aussi et capteur d’empreinte pour y accéder.
Ah tiens, oui, j’avais oublié cette sécurité.
Master password, mail ET Secret Key. Il te faut les trois pour débloquer un compte 1 Password sur une machine tierce. Comme ces deux derniers ne sont jamais réintroduits passée la première installation du soft, ça devient plus chaud à choper via un keylogger.
2 « J'aime »