DetunizedGravity a écrit :



La probabilité que tous tes mots de passe soient perdus ou corrompus au même moment lorsque tu n’utilises pas un gestionnaire de mot de passe n’est PAS nulle, aussi faible soit-elle. Cet argument, en l’absence de tout élément quantitatif pour appuyer la comparaison, n’apporte rien au débat.







Bah si, elle l’est, puisque je n’ai pas de vulnérabilité qui permette de corrompre tous les mots de passe. Évidemment je mets de côté la mort ou tout état de santé incompatible, ce n’était pas trop le sujet et tu admettras que ce problème de santé existe indépendamment du fait d’avoir un gestionnaire.





Conclusion: je peux vivre avec ça. C’est toujours mieux que répéter partout les quelques mots de passe pourris que peut retenir ma mémoire à la fiabilité douteuse. :-)





Ah oui oui c’est très difficile de retenir deux ou trois bases de mots de passe avec des moyens mémo-techniques ou des calculs pour les variations suivant les sites. Comme c’est très difficile de retenir un grand nombre de termes spécifiques, les états américains, ou les départements français.



Perso quand je me retrouve devant un tel défi je me rappelle que lorsque j’étais plus jeune, je connaissais plus de 150 pokémon.





Ah et l’argument Mme Michu est complètement inverse de ce que tu dis. Au contraire, Mme Michu va avoir tendance à mettre tout son argent dans une seule et même banque (deux, à la limite, pour les paranos qui séparent comptes courant et épargne dans des banques distinctes). L’intérêt étant justement d’avoir un interlocuteur unique, un seul code PIN à retenir, un seul jeu d’identifiant pour les services en ligne, le moins de frais possibles lors des transferts de fond de compte à compte, etc. C’est exactement le même raisonnement qui mène au gestionnaire de mot de passe: réduire la complexité, réduire la surface d’exposition, réduire le risque.





Encore une fois, tu parles de solution plus pratique mais pas de solution plus sécurisée. Rien ne dit que Mme Michu fait cette confusion, d’ailleurs.



Leynas.

sksbir a écrit :



Ton analogie est fausse : Le gestionnaire de mots de passes n’est pas comparable à un carnet enfermé dans un tiroir fermé à clé. Parce qu’un tiroir fermé à clé, ça s’ouvre d’un coup de hache… Comparons donc plutot ça  à un trousseau de clés qu’on a stocké dans un ( bon ) coffre-fort, où chaque clé n’ouvre qu’une seule porte de ta maison.

Même si tu vois tout le trousseau clés au moment où tu ouvres le coffre, tu ne détaches qu’une seule clé pour ouvrir la porte que tu veux ouvrir ( et tu la remets tout de suite dans le coffre..l’analogie a ses limites )







On s’en fout d’où tu mets ton carnet, il pourrait dans un coffre à la banque que ça ne changerait rien au fait que tu peux perdre tout en même temps. Si je défonce ton coffre-fort, tu perds tout d’un coup. Si je te pique ton trousseau, et qu’il y a les clés pour toutes les portes, je peux ouvrir toutes les portes.







gokudomatic a écrit :



Il faut aussi savoir qu’en ce qui concerne les gestionnaires locaux dont le fichier est sur le cloud, il est possible d’utiliser un fichier comme clé de déchiffrage complémentaire. Et alors savoir le mot de passe ne suffit plus. Il faut aussi se procurer le fichier clé.







Donc si on te vole un ordinateur sur lequel il y a ton fichier clé, tous tes mots de passe sont potentiellement corrompus.



Leynas.

gokudomatic a écrit :



Effectivement. Tu peux par contre faire des copies du fichier clé et du fichier trousseau  avec moins de risque que simplement un trousseau. En fait, tant que le cambrioleur n’a pas les 2 fichiers ou ne sait pas qu’il faut tel fichier clé, la protection est totale, à condition de ne pas perdre lesdits fichiers. Imagine donc un exemple concret. Je mets mon trousseau sur google drive sous un identifiant et ma clé sous dropbox sous un autre identifiant dont je suis certain qu’il n’y a pas de connexion entre les deux identifiants, je suis protégé. Et pourtant j’utilise le cloud plein de trous de sécurité.







Dans ton exemple, tu gardes une copie des fichiers sur ton ordinateur ou pas ? Même si ça n’a que peu d’importance, c’est plus un mot de passe qui protège tous les autres, mais deux (puisque si le gars a ton dropbox et ton drive on peut admettre que la dernière protection saute aussi), ce qui est mieux mais toujours plus vulnérable que de ne pas utiliser ce système.



Sinon, tant que ceux qui voudraient me nuire ne savent pas que mon mot de passe c’est “pikachu”, la protection est totale.



Bref, j’arrête de répondre aux questions de complexité, le conteneur unique de mots de passe implique une dépendance vis à vis de ceux-ci, donc une vulnérabilité si le conteneur est perdu ou corrompu.



Leynas.

1. Tout n’est pas qu’une histoire de mot de passe, une identification se fait aussi généralement avec un login. Dédicace aux utilisateurs de CMS dont les comptes d’administration sont “admin” ou “root” et résolvent déjà une belle partie du problème pour ceux qui voudraient les attaquer. Autrement dit : ne pas avoir le même login partout est également une forme de protection ;
   
   
   
   
   
   1. Les gestionnaires de mots de passe c’est une blague. Vous vous ajoutez forcément une vulnérabilité, même si le fichier n’est pas accessible en réseau (et dans ce cas autant noter vos mots de passe dans un carnet que vous rangez dans un tiroir fermé à clé). Vous risquez d’un seul coup de perdre tous vos mots de passe ou de les voir corrompus. Ensuite parce que c’est une réinvention de l’eau tiède (carnet encore ou tout simplement une clé USB encryptée qui contiendrait les mots de passe) ;
      
   
   
   2. Il n’y a pas de méthode parfaite, ni de risque nul ;
      
      
      
      Conclusion : j’utilise globalement la méthode de deux ou trois bases que j’adapte en fonction des sites (sans parler des login parfois différents).
      
      
      
      Leynas.
   
   

Jean_Peuplus a écrit :



Faux car les mots de passe générés sont largement plus complexes que ce qu’un esprit humain est capable de mémoriser en * 100 (ça va vite un mot de passe par site)







N’importe quoi. C’est même tellement n’importe quoi que je fais une entorse à mon idée de pas répondre sur la complexité.



D’abord une chaîne de X caractères générée par n’importe quel algorithme n’est pas forcément plus complexe qu’une chaîne de X caractères qui a du sens pour un esprit humain. Une phrase dont certains caractères sont modifiés selon un schéma-type, par exemple :



Les carottes sont cuites -> £eS(aro77eS$on7(ui7eS



20 caractères, extrêmement facile à retenir vu qu’il y a en gros trois règles : première lettre de chaque mot en leet, tous les t sont des 7 et dernière lettre du mot en majuscule sauf si c’est un t. On peut même y rajouter une ponctuation genre un point-virgule entre chaque mot ou dire que le a est un à. Y a de la place pour moduler en fonction.



Et de toute façon un mot de passe n’est pas invulnérable donc bon…



Leynas.

TZDZ a écrit :



Très bien vu. Bon on constate qu’en pratique c’est faux (la preuve), mais c’est un détail.







La preuve ?



Leynas.

TZDZ a écrit :



Bah si Mme Michu savait qu’il ne fallait pas utiliser les mêmes identifiants/mdp, on n’aurait pas ce genre d’articles régulièrement. Je ne sais pas, ça me semble un peu évident.







Ah oui donc ça n’a strictement rien à voir avec ma phrase sur l’idée de mettre tout son argent au même endroit, donc ça ne contredit pas mon propos sur les gestionnaires de mots de passe.



Au demeurant, il ne faut pas confondre le fait de connaître une bonne pratique et le fait de l’appliquer. Si Mme Michu a souvent le même mot de passe, c’est pour des raisons pratiques totalement indépendantes de sa connaissance des bonnes pratiques en matière de sécurité.



Là où ça devient ennuyeux, c’est quand tu commences à croire que des solutions comme les gestionnaires de mots de passe sont des gains de sécurité alors qu’ils ne font réellement que t’apporter un confort.



Leynas.

Jean_Peuplus a écrit :



Personne n’a l’envie de se faire chier à gérer les mots de passe à l’ancienne, et ton exemple du carnet et tout sauf sûr également, à moins de vivre comme un ermite et d’avoir jamais personne chez soi.







À l’ancienne, les mémoriser tu veux dire ?

Comment dire… t’as loupé les différents commentaires des personnes qui disent clairement qu’elles mémorisent leurs mots de passe, éventuellement avec une base commune et des variations en fonction des sites ? (et que je ne suis donc pas seul à utiliser)



Sinon, pour le carnet, je n’ai jamais dit que c’était sécurisé.





L’idéal n’est pas permis, on se retranche donc sur des choses faisables, le gestionnaire de mot de passe est la solution choisie par beaucoup car elle a le meilleur compromis sécurité/facilité d’utilisation. En ayant un mot de passe maitre assez compliqué et long, jamais communiqué ni écrit ou que ce soit, on a une sécurité bien suffisante pour le péquin moyen qui n’a pas de données vraiment vitales à protéger.





Oui, c’est plus pratique, mais c’est aussi moins sécurisé que de ne pas avoir cette solution. Mettons deux cas très simples qui existent forcément avec ton gestionnaire de mots de passe :

A) Personne ne trouve ton mot de passe maître : tes différents mots de passe sont vulnérables un à un, la découverte de l’un d’entre eux n’impliquant pas la découverte des autres (autrement dit tu es aussi bien protégé que si tu n’avais pas de gestionnaire) ;

B) Quelqu’un trouve ton mot de passe (aussi compliqué soit-il) : tous les mots de passe contenus sont corrompus ;



Leynas.