De mémoire, c’était un truc du genre remplir automatiquement un formulaire masqué et collecter les identifiants.
Ça vient de cette étude de 2017. C’était il y a 4 ans, les gestionnaires de mots de passe ont progressé depuis (pas d’autofill si pas d’https, pas d’autofill dans des iframes, cross-domain, etc). Le seul moyen pour utiliser cette vulnérabilité c’est d’hacker le site en question et là autofill ou pas ça ne changera pas grand chose.
1 « J'aime »
Tout va bien du coup !
Un truc chiant que je remarque après quelques tests, c’est l’impossibilité pour Bitwarden d’enregistrer des modifications de mot de passe. C’est d’ailleurs un problème en cours depuis février dernier. Le thread est même épinglé, ça à l’air d’être un problème insoluble.
C’est largement suffisant pour le discréditer…
2 « J'aime »
J’ai rencontré ce problème sur assez peu de sites. C’est à peu près comme dans Kee (extension firefox de Keepass), certains sites n’ont pas les identifiants enregistrés automatiquement. Dans le cas de Bitwarden, c’est pas vraiment dramatique dans le sens où ajouter manuellement un couple login/pass pour un site, ça se fait en 3 clics.
J’ai aussi rencontré quelques rares sites où le remplissage auto ne fonctionne pas et où je dois faire 2 copier-coller pour me logger.
Les autres gestionnaires de mots de passe ont commencé à utiliser un système similaire à la « secret key » utilisé par 1password ? C’est une mesure de sécurité supplémentaire qui me semble très intéressante chez eux et assez peu reprise.
Sujet connexe puisque c’est un outil pour créer des alias d’email à la volée, comme la combinaison 1password/fastmail :
Je me permets de poser ma question ici car ça me semble pertinent avec le sujet et j’en ai pas trouvé propre à ça en cherchant dans le forum : vous avez une application à conseiller pour la double authentification (Google et Microsoft exclus de mon côté)? 
Ouaih, 1password.
Bitwarden
J’utilise FreeOTP+ sur Android et Authenticator sur ma montre Pebble.
J’utilise FreeOTP sur mon android aussi … mais pas la version + , dont je vois pas la feature + 
De mémoire, FreeOTP n’est plus maintenu et FreeOTP+ est une fork.
Oups, oublié de préciser que je suis sur iOS et va falloir que je creuse comment ça se passe sur 1Password, merci tout le monde 
J’utilise Authy suite à une review je sais plus où qui disait qu’il était bien.
1 « J'aime »
2 petits liens pratiques :
1 « J'aime »
@cedric Tu aurais un lien magique pour faire passer mes OTP de Microsoft Authenticator iOS à 1Password ?
Non 
Tiens je suis en train de me demander un truc, comment on gère l’OTP du gestionnaire de mot de passe si l’OTP est dedans ? On doit garder une autre app d’OTP à côté ? Ou choisir une autre méthode ? 
Faut l’avoir sur plusieurs supports
Bon, je redescend pas mal de ma hype sur Bitwarden : c’est vraiment clunky as fuck. Entre les manips à rallonge pour créer un nouvel identifiant, la prise en compte erratique des changements de mots de passe et le nombre de clic pour sélectionner un identifiant précis quand on en a plusieurs pour un même site, j’abandonne. En plus, 1Password vient tout juste de sortir sa v8 avec une refonte vraiment cool (et un putain de dark mode !), ça a achevé de me décider 
3 « J'aime »