Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Apple : un projet open source pour améliorer les gestionnaires de mots de passe

Apple : un projet open source pour améliorer les gestionnaires de mots de passe

Le 08 juin 2020 à 08h38

Disponible sur GitHub en licence MIT, ce projet vise à améliorer les gestionnaires, selon trois axes principaux.

D’abord les gestionnaires eux-mêmes, dans l’idée que la coopération entre les éditeurs mènera à un renforcement des solutions de chacun. Ensuite, permettre un gain de confiance de la part des utilisateurs. 

Enfin, et surtout, améliorer la communication entre les sites web et les gestionnaires de mots de passe, qui pose encore problème aujourd’hui. De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.

Les problèmes ne sont jamais bien graves, car il est toujours possible de récupérer les données dans son compte. Mais le remplissage automatique est une fonction appréciable, et on a tendance à pester rapidement contre les sites ne le prenant pas en charge.

Plus embêtante, l’impossibilité pour le gestionnaire de détecter une nouvelle connexion à un site et donc d’en retenir l’identifiant et le mot de passe.

Idéalement, le projet permettrait à terme d’améliorer les relations entre les deux « parties », de sorte par exemple que les caractéristiques maximales d’un mot de passe puissent être exposées, afin que les gestionnaires proposent automatiquement la séquence aléatoire la plus forte possible. Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.

Le projet veut aboutir notamment à une base de données contenant des informations sur « qui propose quoi », les sites partageant un même type de connexion, des exemples de bonnes pratiques, etc.

Le 08 juin 2020 à 08h38

Commentaires (29)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.



la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^

votre avatar







hellmut a écrit :



la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^





Tout à fait, mais quand tu vois que nos chères banques françaises aiment nous obliger à choisir un mot de passe uniquement numérique et relativement court à travers leur faux clavier numérique, tu te dis qu’il y a encore du travail de “formation”…


votre avatar



De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.

avec keepass, quasiment aucun problème !

votre avatar

C’est chouette, ils s’attaquent même aux URLs de changement de mot de passe !

votre avatar

Sauf qu’au bout de X échecs (dépendant des banques), l’accès au compte est verrouillé. Dans le cas présent, un bruteforce ça marche pas terrible.



Une politique de sécurité c’est un ensemble de paramètres. La complexité du mot de passe en fait partie, tout comme le nombre de tentatives infructueuses autorisées, la durée de validité, la ressemblance avec les précédents, etc. Et c’est un ensemble de leviers à ajuster intelligemment en prenant en compte la sécurisation des accès versus la complexité d’utilisation.

Un système d’information trop complexe à utiliser pour ses clients entraînera une faille de sécu immédiate en la présence du post-it sur l’écran.

votre avatar

>Une politique de sécurité c’est un ensemble de paramètres



J’en suis conscient mais contraindre un utilisateur à choisir un mot de passe très faible ne peut être un choix judicieux même si il y a une politique de sécurité par limitation de tentative ou autres. Cela complexifie grandement et inutilement l’effort à faire dans le cas d’un piratage où il est alors beaucoup plus facile brut-forcer les mots de passe.

 

>la ressemblance avec les précédents



oups, grosse boulette dans ce que tu dis. Ta politique de sécurité ne doit pouvoir que comparer à des précédents mots de passe (en les comparants chiffrés) mais si tu est capable de comparer la ressemblance, c’est que tu stockes les mots de passe en clair, ce qui est la pire des pratiques…

votre avatar







SebGF a écrit :



Une politique de sécurité c’est un ensemble de paramètres. La complexité du mot de passe en fait partie, tout comme le nombre de tentatives infructueuses autorisées, la durée de validité, la ressemblance avec les précédents, etc. 






Et le login.


Mon login pour la connexion au site de ma banque est imprimé sur tous mes relevés de compte. Il est même utilisé par le personnel de la banque pour paramétrer mon compte. Donc la porte principale est bien gardée avec des miradors, mais il existe un soupirail…  Des fois, j’ai peur. 


votre avatar

Le login n’est pas une donnée de sécurité. Pour la majorité des sites, ça sera ton adresse mail, voire le pseudo publiquement visible sur les forums.

votre avatar

Carrément, une spec commune pour pouvoir faire des rotations automatiques et périodiques, ça serait top

votre avatar







cosmocat a écrit :



Tout à fait, mais quand tu vois que nos chères banques françaises aiment nous obliger à choisir un mot de passe uniquement numérique et relativement court à travers leur faux clavier numérique, tu te dis qu’il y a encore du travail de “formation”…





Le site Ameli également, mot de passe composé uniquement de chiffres avec un max de 13.

Faudrait que je vérifie si cette aberration est toujours d’actualité .


votre avatar

Quand on change un mot de passe, le précédent est généralement demandé. A partir de là, le système est capable de contrôler si le nouveau est trop proche du précédent. Inutile de stocker en clair pour cela.



C’est ce que font la plupart des OS sur lesquels ce contrôle est actif. Exemple avec le module pam_cracklib de Linux.



J’aurais du dire “avec le précédent” pour éviter de prêter à confusion. Même si Windows, par exemple, est capable de contrôler l’ancienneté sans pour autant avoir besoin de stocker le password en clair.

votre avatar

idem pas de soucis avec lastpass

votre avatar

Perso j’ai installé Dashlane depuis deux ans, no soucis depuis&nbsp;<img data-src=" />

votre avatar

Aussi long que ton numéro INSEE (alias n° sécu)!!!

OK, ce numéro est composé de 15 chiffres mais on demande raremenr les deux derniers qui ne sont qu’une clé d’intégrité.

votre avatar

Ils sont passés à un “vrai” mot de passe alphanumérique (il y a quelques mois à peu près), et heureusement tout changement oblige désormais à respecter les règles classiques de robustesse



fun fact : après avoir modifié mon code par un vrai mot de passe robuste, il fallait que je mette à jour ce mot de passe sur le service Digiposte (c’est pratique, car vu qu’Ameli ne te laisse l’accès qu’à tes 6 derniers relevés, au moins ils sont récupérés et gardés dans un coffre fort perso). Sauf que… ils ont un Javascript qui vérifie préalablement que le code et purement numérique (pas encore à jour avec la nouvelle policy), donc du coup ça m’a pété la récupération par Digiposte



Ils m’ont confirmé qu’ils étaient au courant du problème, mais sans préciser de délai de résolution…

votre avatar

J’en ai profité pour changer mon mot de passe sur&nbsp; améli.

Ils ont visiblement corrigé le problème.

votre avatar







cosmocat a écrit :



J’en suis conscient mais contraindre un utilisateur à choisir un mot de passe très faible ne peut être un choix judicieux même si il y a une politique de sécurité par limitation de tentative ou autres. Cela complexifie grandement et inutilement l’effort à faire dans le cas d’un piratage où il est alors beaucoup plus facile brut-forcer les mots de passe.








    Ma banque est passé de 4 chiffres à 8 chiffres minimum, c'est un progrès même si ce n'est pas encore ça mais d'un autre côté et d'expérience, quand on laisse le choix à l'utilisateur il choisit souvent un mot de passe encore plus faible que ça.          


    &nbsp;          


    Beaucoup aurait mis ici 6 sinon 4 chiffres si on offrait un choix.          







    Après il m'arrive de les inciter à jouer sur l'entropie, ie une phrase  simple "racine" avec des caractères dépendant d'un élement du site. Genre TKOCthemeilleursurNXI++, un mélange de langue et les 3 dernières lettres tirés du site, les symboles si possible avec. Facile à retenir, un souci si quelqu'un réalise la construction mais sauf à être dans le cercle fermé de la cible c'est assez tendu. Hélas on est encore trop souvent coincé par des restrictions datant du siècle dernier.          


    &nbsp;          


    UPlay par exemple a un jour brutalement rétrogradé de 32 maximum à 16 maximum (il y a 5 ans je crois). Ce qui m'a posé problème car mon code était de 20 caractères et je copiais/collais depuis Keepass dans un input qui ne checkait pas, il m'a fallu plusieurs essais pour réaliser l'erreur. L'exemple cité avant ne passerait pas (23...).

votre avatar







SebGF a écrit :



J’aurais du dire “avec le précédent” pour éviter de prêter à confusion. Même si Windows, par exemple, est capable de contrôler l’ancienneté sans pour autant avoir besoin de stocker le password en clair.





Windows (comme les autres OS) n’est pas capable de trouver une ressemblance avec un ancien mot de passe (autre que celui que l’on est en train de renouveler) .

Il peut juste savoir qu’un mot de passe a déjà été utilisé (sauvegarde du hash des n derniers mot de passe)


votre avatar

Perso je commence à migrer vers mon instance bitwarden_rs, j’aime assez la solution, reste à espérer que tout soit bien robuste niveau faille. :)

votre avatar







Soriatane a écrit :



Aussi long que ton numéro INSEE (alias n° sécu)!!!

OK, ce numéro est composé de 15 chiffres mais on demande raremenr les deux derniers qui ne sont qu’une clé d’intégrité.





Effectivement, j’avais pas fait ce rapprochement. Me demande si des gens ont fait le classique Admin/Admin avec le NIR <img data-src=" />

&nbsp;





GVGreg a écrit :



Ils sont passés à un “vrai” mot de passe alphanumérique (il y a quelques mois à peu près), et heureusement tout changement oblige désormais à respecter les règles classiques de robustesse



fun fact : après avoir modifié mon code par un vrai mot de passe robuste, il fallait que je mette à jour ce mot de passe sur le service Digiposte (c’est pratique, car vu qu’Ameli ne te laisse l’accès qu’à tes 6 derniers relevés, au moins ils sont récupérés et gardés dans un coffre fort perso). Sauf que… ils ont un Javascript qui vérifie préalablement que le code et purement numérique (pas encore à jour avec la nouvelle policy), donc du coup ça m’a pété la récupération par Digiposte



Ils m’ont confirmé qu’ils étaient au courant du problème, mais sans préciser de délai de résolution…





Merci pour l’info, m’en vais mettre un vrai mot de passe <img data-src=" />



Super le fun fact <img data-src=" />


votre avatar

Oui effectivement mes souvenirs étaient déformés. <img data-src=" />

votre avatar







hellmut a écrit :



la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^





Oui je trouve ça scandaleux qu’aucun site ne supporte mon mot de passe fort de 1 TO.


votre avatar

t’es au courant que la longueur du hash stocké est indépendante de la taille du mot de passe, quand même? ^^

votre avatar

Avant il faut pouvoir mettre les 1 To de mot de passes dans le champs mot de passe. Ma machine manque un peu de RAM pour ça <img data-src=" />.

votre avatar

<img data-src=" />

votre avatar







Salamandar a écrit :



Le login n’est pas une donnée de sécurité. Pour la majorité des sites, ça sera ton adresse mail, voire le pseudo publiquement visible sur les forums.





Relis mon post. je ne parle pas des sites en général, mais de celui d’une banque. Si mon compte sur NI était piraté, je me demande bien ce qu’un pirate en ferait. Si mon compte sur le site de ma banque était piraté, tout le monde sait ce que le pirate en ferait. J’aimerais donc que mon login sur le site de ma banque ne soit pas trop facile à connaître.


votre avatar

Merci du retour, j’ai changé le mien.



Et je viens de voir que les impôts aussi on changé leur politique de mots de passe:

“ Pour des raisons de sécurité, il doit être composé de 12 à 128 caractères, comprenant au moins une lettre (majuscule ou miniscule) et un chiffre.

Il peut comporter les caractères spéciaux suivants: !

# $ % &amp; * + - / ? ^_ ‘. { | }

Vous pouvez utiliser un gestionnaire de mots de passe pour le mémoriser.””



Par contre, il n’est pas possible d’utiliser les accents (é, è, ê, à â). Mais que fait l’Académie Française?? <img data-src=" />



Je me demande si les services liés à France Connect n’ont pas fait gros level up au niveau de la sécurité des mots de passe (prochaine étape permettre la validation double facteur avec WebAuth ??).

votre avatar







transit facilité a écrit :



tout le monde sait ce que le pirate en ferait





Bin, peut-être, mais je ne vois pas le rapport avec ton identifiant.

Si le site de ta banque est piraté, login connu ou pas, ça ne changera rien. La liste des logins est très probablement contenue dans une base de données du site.

Je me connecterais au site de ma banque avec mon numéro INSEE que ça ne changerait rien.



Je te rappelle aussi que le code de ta CB est aussi envoyé par courrier papier. Personnellement, ça m’inquiète autrement plus que mon identifiant…


votre avatar

pour entrer dans un système, il y a 36 façons de faire. On peut tenter la grande porte, passer par la fenêtre de la cuisine ou le soupirail, … (liste non exhaustive). Si on tente de passer par la grande porte, il est nécessaire d’avoir un login et un mot de passe. Si on a le login, la moitié du boulot est fait.

Apple : un projet open source pour améliorer les gestionnaires de mots de passe

Fermer