Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe.
Face à la profusion des mots de passe, la tentation est forte d’en avoir une gestion trop simple. Mais une telle pratique serait dangereuse, car elle augmenterait considérablement les risques de compromettre la sécurité de vos accès.
Pour aider les internautes, le site cybermalveillance.gouv.fr édité par l’Etat vient de publier un fiche pratique présente les 10 principales règles à adopter pour bien gérer ses mots de passe. Elle présente de manière illustrée les bonnes pratiques à adopter pour assurer au mieux la sécurité de ses mots de passe.
Personnellement, j'utilise Dashlane. J'ai donc juste le mot de passe maître à retenir couplé à une Yubikey 4 ;)
Bonjour
J'ai du mal à comprendre la différence entre
a) un mot de passe unique pour tous les sites.
b) un mot de passe différent pour chaque site ET utiliser un gestionnaire de mot de passe, protégé par UN mot de passe.
Dans les deux cas, le crackage d'un seul mot de passe (unique tous sites ou celui du gestionnaire de mot de passe) et le loup est dans la bergerie.
Dominique
Ce n'est pas si simple déjà il faut absolument utiliser un mot de passe complexe et long pour Dashlane, mais surtout activé la double authentification pour avoir un contrôle avec une appli sur smartphone ou un token USB personnel.
Auquel cas le craquage ne peut pas donner l'accès à tout les mots de passe sauf a ce que le pirate contourne la seconde authentification. C'est le but du gestionnaire de mot de passe d'être suffisament sécurisé pour justement que cela ne soit pas aussi simple.
Bonjour , tout a fait d accord !!
règle 1: le poster sur son compte Facebook
mon compte ios lié à ma carte bleu d email:terrieuralain@free.fr n as jammais eu de problème avec le mot de passe: AZERTY.amain2012
et vous?
C'est trés trés trés différent !
Si ton mot de passe est stocké en clair par un site (si si on en voit encore) et que ce site est compromis, alors le pirate optient ton mot de passe qui ouvre aussi ta banque ton facebook etc...
Si tu utilise un gestionnaire de mots de passe tu donne ton mot de passe unique au gestionnaire et le gestionnaire envoi le bon mot de passe au site qui est un mot de passe unique...
Si ce mot de passe est compromis, le pirate ne pourra se connecter qu'a ce site mais pas a ta banque ;)
ça marche aussi pour le phishing ou un mot de passe unique il recupere un mot de passe utilisable partout alors qu'avec un gestionnaire de mot de passe 1) il refusera de transmettre le mot de passe, et si le pirate a été trés bon avec detournement dns et tout le mot de passe transmis ne marchera que sur un seul site...
Bref c'est beaucoup beaucoup beaucoup mieux ;)
Et pour blinder ton gestionnaire de mots de passe un bon mot de passe, et une double authentification comme dit plus haut...
Pour ceux qui ne veulent pas payer un tel service regardez du coté du bitwarden (ou si un peu plus bricoleur keepass)
Bonjour pour ma part j’ai utilisé pendant des années Dashlane ayant été un utilisateur des premières heures. Mais après avec le passage payant mensuel ou annuel pour les nouveaux membres, j’ai du changer afin de pouvoir protéger les autres membres de ma famille.
Maintenant j’utilise depuis bientôt 1 an : Safeincloud et je le trouve vraiment très très bien. Déjà la version ordinateur est gratuite, et le prix de l’application iOS ou androïd est très faible moins de 3€ pour un paiement unique à vie. Surtout que l’application est en solde 2 a 3 fois par an sur les stores ... et pour ceux qui ont peur, la base de données est stockée sur notre propre cloud au choix drive, onedrive ... et non dans le serveur de l’éditeur ...
donc je je le recommande et dommage que ce petit logiciel et développeur ne soit pas plus connu je trouve à côté des très gros comme dashlane, keepass .... qui ont des coûts assez important.
keepass est gratuit ;)
Effectivement c'est le principe mais c'est malheureusement lié à la trop grande simplicité de bien des systèmes de mots de passe, qui se contente d'un simple encodage.
Dans la pratique un site bien fait avec une clef de "salage" aléatoire de bonne qualité, et un algorithme qui l'ajoute au mot de passe (pas une simple concaténation), avoir uniquement la base de données ne permet pas d'obtenir le mot de passe, car il manquera un élément externe à la base de données.
Malheureusement bien de sites ne sont que peu protégé et je suis quand même autrement pus inquiet de voir la faible qualité des mots de passe de certains sites bancaires (6 chiffres) ce qui est plutôt affolant même si ca n'utilise pas un identifiant personnel comme l'email.
Il y a une différence fondamentale : le mot de passe de ton gestionnaire de mot de passe sert à protéger ou générer une clé de chiffrement, qui chiffre la base de mots de passe. À moins d'une faille dans l'algorithme de chiffrement ou de dérivation de clé utilisé, seule une attaque par force brute peut permettre de trouver ce mot de passe. Et cette attaque nécessite en outre d'avoir accès à ta base chiffrée.
Les mots de passe que tu utilises sur les sites, tu n'as par contre absolument aucune idée du niveau de sécurité avec lequel ils sont stockés. Beaucoup de sites les stockent encore avec un simple hash SHA-256 non salé ou pire, MD5. Des solutions de hash qui sont aujourd'hui très vulnérables. Pire, il y a même encore aujourd'hui des sites qui stockent des mots de passe en clair ou avec un chiffrement réversible (ce qui revient à la même chose qu'un stockage en clair dès lors que le serveur est compromis).
En outre, le mot de passe d'un site transite sur le réseau à chaque fois que tu te connectes (et même si la transmission est chiffrée, le mot de passe est rarement hashé localement avant l'envoi, donc un attaquant peut le récupérer s'il a compromis le serveur ou s'il a réussi à monter une attaque "man in the middle"), alors que le mot de passe d'un gestionnaire de mots de passe reste généralement en local.
Du coup, les mots de passe des sites sont beaucoup plus exposés que le mot de passe de ton gestionnaire de mot de passe.
Un bon test à faire quand tu t'inscris sur un nouveau site, c'est d'utiliser la fonction "mot de passe oublié". Si plutôt que de t'envoyer un nouveau mot de passe ou un lien de réinitialisation il te renvoie ton mot de passe original, c'est que le niveau de sécurité du site est digne des années 90... (attention, l'inverse n'est pas vrai, le fait qu'il te donne un nouveau mot de passe ou un lien de réinitialisation n'est pas la garantie d'un niveau élevé de sécurité)
Un site qui stock les mots de passe... j’hallucine
Aucun site ne devrait faire ça, toutes les bases sans exception peuvent être compromises...
donc un site ne stock que des clés de hachage (SHA-256, SHA-512...) comme ça personne, pas même le webmaster ne les connait.
Keepass EST LA REFERENCE MONDIALE en matière de gestion de mot de passe.
Il est utlisé par les administrateurs dans le monde entier, et a été approuvé par les autorités allemandes et frnaçaises notamment. Il a été audité de multiples fois.
Comme il est opensource, le risque de présence d'une porte dérobée est faible.
Je vous incite à lire attentivement la notice d'utilisation car la condition sine qua non est qu'il doit être bien
paramétré
Mes conseils :
- Choisir une chiffrement par double clés : une clé amovible sous forme de petit fichier qui sera déposé sur une clé USB, et un mot de passe léger de type PIN CODE
La protection est donc assurée à titre principal par la clé amovible.
- définir un délai automatique de fermeture de la base par exemple 240 s
Lorsque l'on travaille on connecte la clé USB contenant la clé amovible
Pour ouvrir la base on tape le PIN Code
On peut donc se servir de Keepass pour se connecter à sa messagerie. puis automatiquement la base va se refermer au bout du délai indiqué. 5 minutes après on a besoin à nouveau de Keepass pour se connecter à un site Web, et dans ce cas le mot de passe PIN Code me sert à ouvrir facilement et rapidement la base (sans la clé amovible, l'opération de réouverture serait pénible vu qu'il faut un mot de passe maitre assez complexe, ici le principe ets que le mot de passe maitre c'ets la clé amovible, le PIN CODE ets juste un petit mot de passe additionnelle pour ouvrir la base rapidement à la volée)
Si je m'éloigne du PC, ou lorsque je sais ne plus avoir besoin de Keepass, je déconnecte la clé USB qui contient la clé, dans ce cas il sera impossible d'ouvrir la base. Bine évidement, une règle de base :
NE JAMAIS STOCKER LA BASE KEEPASS ET LA CLE DE CHIFFREMENT AMOVIBLE AU MËME ENDROIT.
BASE EST CLE AMOVIBLE DOIVE ETRE SUR DES SUPPORTS DIFFERENTS
Vous pouvez donc laissez votre base Keepass sur votre PC, la clé amovible elle sera sur une clé USB externe.
Si votre PC est volé, la base Keepass sera indéchiffrable sans la clé amovible
Vous pouvez aussi déposer votre base Keepass en cloud via OneDrive, Google Drive, Dropbox...
C'est ce que je fais, ainsi je peux utliser une base Keepass unifiée sur tous mes appareils.
Le logiciel Keepass possède des algorithmes qui facilitent la synchronisation. Vous êtes alerté par exemple si la base est ouverte simultanément par un autre utlisateur et le logiciel vous demandera si voous choisssez d'écraser les modifications ou de fusionner
DONC DASHLANE et autres systèmes payants est inutile.
D'autre part Keepass est l'un des rares gestionnaires basé sur l'AES 256, Norton, Kasperksy... c'est l'AES128 qui est considéré comme "cassable" par les agences gouvernementales.
Keepass possède un système de plugin pour :
- ajouter des algorithmes de chiffrement
- faciliter l'autosaisie dans les navigateurs
Pour les mots de passe non critiques comme les identifiants de forum... j'utilise le gestionnaire d emot de apsse intégré aux navigateurs, de ce fait je n'ai aps à connecter ma clé USB dès lors que je fais des choses non critiques.
Bien entendu j'alimente la base des exclusions pour interdire au navigateur de retenir le mot de passe pour les sites critiques et je surveille régulièrement la abse de mot de apsse interne au navigateur pour vérifier que je n'ai pas enreghistré un mot de passe critique accidentellement.
A Kenny33 : keepass est gratuit ;)
oui je suis d’accord mais sauf erreur de ma part, il n’y a aucune application mobile officielle que cela soit android ou iOS, que des applications tierces. Donc déjà cela réduit la facilité d’accès à monsieur tout le monde. Ok sur le site officiel, il y a des liens vers les stores vers les applications tierces recommandé mais tellement aussi d’applications illicites voulant juste profiter du nom .... je ne pense pas que monsieur tout le monde prenne le soin de vérifier sur le site officiel avant de pendre une application mobile tierce.
Et apres peut être que moi, mais depuis des années, je regarde keepass de loin, et je ne sais pas l’interface ne m’attire pas même si cela semble s’être bien amélioré depuis que j’avais regardé la dernière fois.
Quand j’aurai du temps, je verrai a tester Keepass, mais n’hésite pas aussi à regarder Safeincloud, gratuit aussi sur PC et Mac ;)
Utiliser un gestionnaire de mot de passe .. Lol donc on a nous dit d'un côté un mot de passe différent de chaque site, et de l'autre un seul et unique logiciel qui aurait tous les mots de passe...
Vive la France et l'administration qui dit n'importe quoi !
Excellent !
Ach!lle