Gestionnaires de mots de passe - comparatif 2020

J’ai pas dit qu’ils allaient vérifier, simplement que c’est de la fraude.

Mais tu ne risques probablement rien, juste de finir dans le même cercle des enfers que les gens qui n’ont pas payé leur license WinRAR. :wink:

6 « J'aime »

Si jamais tu trouves sur l’extrait des conditions d’usage qui dit qu’un particulier n’a pas le droit de se servir du truc pour stocker ses mdp pro, je suis preneur. Aussi bien sur lastpass que 1pwd.

Et du coup j’étends ma question ici : qui a un gestionnaire de pwd dont il ne sert pas dans un contexte pro ?

(genre chai pas pour accéder à sa fiche de paie online, ou les 1000 pwd différents des localhost:port…)

Huum je suis pas sur que ca soit aussi précis. Tu n’as pas le droit d’utiliser lastpass ou 1pwd pour faire QUE du pro avec un abo perso. Si c’est ton abo perso dans lequel tu mets quelques passwd pro, bah… tu veux faire quoi? une balle dans le g’nou? :smiley:

Attends tu mélanges des passwords pro et perso dans le même outil ? :astonished:

Yep, my point exactly… mais je suis quand même curieux.

Dans les faits la demande de la boîte c’est d’arrêter d’utiliser un seul et même password partout, pas forcément que dans le domaine pro. Ils sensibilisent à l’usage du truc… rien de plus (tant qu’ils mettent rien en place officiellement en mode « entreprise » anyway, personne oblige qui que ce soit à en utiliser un)

Et vu le nb de collègues qui me disent « moi j’utilise le truc de google ça marche très bien depuis des années » de toute façon le combat est perdu d’avance ici…

Oui, j’ai plusieurs vault. Je vois pas en quoi c’est problématique :confused:

3 « J'aime »

Bah c’est pas si choquant que ca, ici il n’y a pas de solution entreprise et il doit y avoir que 4-5 personnes qui savent ce que c’est qu’un trousseau numerique.
Et EN VRAI, je préfère largement que mes users utilisent leur trousseau perso pour gérer les 3 mots de passe du taf qu’ils ont plutôt que de noter ca sur un post-it :rage:

En vrai, c’est mieux que rien hein. Mais tellement. Surtout que le truc est quand même pas trop mal sécurisé avec du 2FA un peu partout, donc même s’il y a mieux, je valide a 100% l’utilisation du bidule google.
En gros, et c’est mon avis perso, uniquement niveau sécurité (simplicité d’utilisation, c’est autre chose) :
1password/keepass > dashlane >>>>>>> google > lastpass >>>>>>>>>>>>>>>>>>>>>>>>>> rien.

Oui remarque, à force de ne bosser que sur des PC locké derrière des proxy violents on oublie qu’il y a d’autres manières de fonctionner.

Et surtout n’oublier pas d’activer la 2FA !
Ça vient de me sauver mon compte Google à l’instant.
Un gars du Portugal vient de se connecter avec mon mail et mon mdp youhou.

Il les a eut comment ?

Aucune idée, mais 1password me dit bien que mon mot de passe est compromis. Ce qui n’était pas le cas avant.
The Power of Watchtower !

1 « J'aime »

Tant qu’on parle de gestionnaire de mot de passe en entreprise:
Chez nous, pour augmenter la sécurité, on a un projet d’utiliser le CAS d’apereo https://www.apereo.org/projects/cas

Pas de F2A, on aura un mot de passe unique pour windows (ldap), messagerie, intranet avec récupération de mot de passe sur adresse perso que l’on va devoir fournir.
La messagerie et l’intranet seront accessibles depuis le net (hébergé chez nous)
Et à l’avenir tous nos logiciels seront « cassifié » pour ne plus avoir d’autre mot de passe. Y compris finance, rh , ou autre logiciel sensible , ect…

ouch, sans F2A ? C’est une super mauvaise idée …

Sur le principe, je suis d’accord, mais tu peux pas imposer a tout le monde d’avoir un smartphone pour faire du 2FA, et dans mon taf, j’arriverais jamais a imposer un téléphone mobile par utilisateur.
J’aimerais mettre en place le 2FA pour office 365 et bah… peut pas. Faut que je vois si je peux pas l’activer pour les utilisateurs sensibles ayant un mobile perso, mais la dernière fois que j’avais regardé, tout le monde passe en 2FA - ou personne :sob:

Si c’est que du local, c’est pas forcement choquant, ça a un sens pour simplifier la vie des utilisateurs avec un seul mot de passe unique. Mais si tu fais un accès externe direct (sans vpn), là c’est effectivement très risqué… :astonished:

bin t’es pas obliger d’avoir un mobile. Tu peux filer une carte de generation de code, comme ca se faisait y’a 20 ans :slight_smile:
Ce qu’il faut c’est equiper les gens, c’est tout. Mot de passe seul pour acceder à tous, ouvert sur le net, c’est juste suicidaire …

Pour l’outil utilisé dans la boite de @Miqualke je sais pas, mais office 365 ne propose que des solutions a base de téléphone portable (peut etre aussi telephone fixe mais bon :roll_eyes: ) :
https://support.microsoft.com/en-us/office/set-up-your-microsoft-365-sign-in-for-multi-factor-authentication-ace1d096-61e5-449b-a875-58eb3d74de14
Si tu as d’autres solutions @Ben, je suis preneur :slight_smile:

Normalement, Office ça passe par un compte Microsoft, et le compte Microsoft autorise le 2FA via applications tierces.

Alors ce n’est pas mon domaine donc je ne connais la complexité du truc que de loin mais chez nous on fait une auth SSO SAML pour O365 et du coup la partie auth de l’utilisateur est chez nous et peut demander nos 2FA.

Huum je vois, tu as mis un outil genre 1password comme authenticator app, du coup?
Je vois qu’on peut le changer individuellement sur office 365, faut juste que je vérifie si je peux reset le truc via l’admin si une fausse manip’ est faite… :confounded:

C’est pas prévu, sauf si on peut facilement relier AD a l’auth azure, quand je serais passé a AD2016 ou 2019. Mais bon, ca va raler que les mots de passe sont trop compliqué donc :dizzy_face:

Oki, bon, j’étais resté sur la doc MS que j’avais lu et j’avais compris que ca ne pouvait marcher que sur mobile, SMS ou authenticator microsoft - ce qui nécessite un smartphone.
Je vais voir ce que je peux faire en passant par un authenticator autre qui serait sur pc :wink:

Merci a tous :slight_smile:

1 « J'aime »

Dans ma boite on peut setup le 2FA via appel sur un numéro de téléphone (Un serveur d’appel et te demande d’appuyer sur #)