Disponible sur GitHub en licence MIT, ce projet vise à améliorer les gestionnaires, selon trois axes principaux.
D’abord les gestionnaires eux-mêmes, dans l’idée que la coopération entre les éditeurs mènera à un renforcement des solutions de chacun. Ensuite, permettre un gain de confiance de la part des utilisateurs.
Enfin, et surtout, améliorer la communication entre les sites web et les gestionnaires de mots de passe, qui pose encore problème aujourd’hui. De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.
Les problèmes ne sont jamais bien graves, car il est toujours possible de récupérer les données dans son compte. Mais le remplissage automatique est une fonction appréciable, et on a tendance à pester rapidement contre les sites ne le prenant pas en charge.
Plus embêtante, l’impossibilité pour le gestionnaire de détecter une nouvelle connexion à un site et donc d’en retenir l’identifiant et le mot de passe.
Idéalement, le projet permettrait à terme d’améliorer les relations entre les deux « parties », de sorte par exemple que les caractéristiques maximales d’un mot de passe puissent être exposées, afin que les gestionnaires proposent automatiquement la séquence aléatoire la plus forte possible. Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.
Le projet veut aboutir notamment à une base de données contenant des informations sur « qui propose quoi », les sites partageant un même type de connexion, des exemples de bonnes pratiques, etc.
Commentaires (29)
#1
Ce qui évite également le cas frustrant d’un mot de passe généré trop fort pour le site visé.
la notion de mot de passe trop fort, déjà, ne devrait pas exister. ^^
#2
#3
De nombreux sites web utilisent des formulaires spéciaux dont les champs ne sont pas reconnus, empêchant des solutions comme BitWarden, Dashlane ou LastPass de la détecter.
avec keepass, quasiment aucun problème !
#4
C’est chouette, ils s’attaquent même aux URLs de changement de mot de passe !
#5
Sauf qu’au bout de X échecs (dépendant des banques), l’accès au compte est verrouillé. Dans le cas présent, un bruteforce ça marche pas terrible.
Une politique de sécurité c’est un ensemble de paramètres. La complexité du mot de passe en fait partie, tout comme le nombre de tentatives infructueuses autorisées, la durée de validité, la ressemblance avec les précédents, etc. Et c’est un ensemble de leviers à ajuster intelligemment en prenant en compte la sécurisation des accès versus la complexité d’utilisation.
Un système d’information trop complexe à utiliser pour ses clients entraînera une faille de sécu immédiate en la présence du post-it sur l’écran.
#6
>Une politique de sécurité c’est un ensemble de paramètres
J’en suis conscient mais contraindre un utilisateur à choisir un mot de passe très faible ne peut être un choix judicieux même si il y a une politique de sécurité par limitation de tentative ou autres. Cela complexifie grandement et inutilement l’effort à faire dans le cas d’un piratage où il est alors beaucoup plus facile brut-forcer les mots de passe.
>la ressemblance avec les précédents
oups, grosse boulette dans ce que tu dis. Ta politique de sécurité ne doit pouvoir que comparer à des précédents mots de passe (en les comparants chiffrés) mais si tu est capable de comparer la ressemblance, c’est que tu stockes les mots de passe en clair, ce qui est la pire des pratiques…
#7
#8
Le login n’est pas une donnée de sécurité. Pour la majorité des sites, ça sera ton adresse mail, voire le pseudo publiquement visible sur les forums.
#9
Carrément, une spec commune pour pouvoir faire des rotations automatiques et périodiques, ça serait top
#10
#11
Quand on change un mot de passe, le précédent est généralement demandé. A partir de là, le système est capable de contrôler si le nouveau est trop proche du précédent. Inutile de stocker en clair pour cela.
C’est ce que font la plupart des OS sur lesquels ce contrôle est actif. Exemple avec le module pam_cracklib de Linux.
J’aurais du dire “avec le précédent” pour éviter de prêter à confusion. Même si Windows, par exemple, est capable de contrôler l’ancienneté sans pour autant avoir besoin de stocker le password en clair.
#12
idem pas de soucis avec lastpass
#13
Perso j’ai installé Dashlane depuis deux ans, no soucis depuis 
" />
#14
Aussi long que ton numéro INSEE (alias n° sécu)!!!
OK, ce numéro est composé de 15 chiffres mais on demande raremenr les deux derniers qui ne sont qu’une clé d’intégrité.
#15
Ils sont passés à un “vrai” mot de passe alphanumérique (il y a quelques mois à peu près), et heureusement tout changement oblige désormais à respecter les règles classiques de robustesse
fun fact : après avoir modifié mon code par un vrai mot de passe robuste, il fallait que je mette à jour ce mot de passe sur le service Digiposte (c’est pratique, car vu qu’Ameli ne te laisse l’accès qu’à tes 6 derniers relevés, au moins ils sont récupérés et gardés dans un coffre fort perso). Sauf que… ils ont un Javascript qui vérifie préalablement que le code et purement numérique (pas encore à jour avec la nouvelle policy), donc du coup ça m’a pété la récupération par Digiposte
Ils m’ont confirmé qu’ils étaient au courant du problème, mais sans préciser de délai de résolution…
#16
J’en ai profité pour changer mon mot de passe sur améli.
Ils ont visiblement corrigé le problème.
#17
#18
#19
Perso je commence à migrer vers mon instance bitwarden_rs, j’aime assez la solution, reste à espérer que tout soit bien robuste niveau faille. :)
#20
#21
Oui effectivement mes souvenirs étaient déformés.
" />
#22
#23
t’es au courant que la longueur du hash stocké est indépendante de la taille du mot de passe, quand même? ^^
#24
Avant il faut pouvoir mettre les 1 To de mot de passes dans le champs mot de passe. Ma machine manque un peu de RAM pour ça
" />.
#25
#26
#27
Merci du retour, j’ai changé le mien.
" />
Et je viens de voir que les impôts aussi on changé leur politique de mots de passe:
“ Pour des raisons de sécurité, il doit être composé de 12 à 128 caractères, comprenant au moins une lettre (majuscule ou miniscule) et un chiffre.
Il peut comporter les caractères spéciaux suivants: !
# $ % & * + - / ? ^_ ‘. { | }
Vous pouvez utiliser un gestionnaire de mots de passe pour le mémoriser.””
Par contre, il n’est pas possible d’utiliser les accents (é, è, ê, à â). Mais que fait l’Académie Française??
Je me demande si les services liés à France Connect n’ont pas fait gros level up au niveau de la sécurité des mots de passe (prochaine étape permettre la validation double facteur avec WebAuth ??).
#28
#29
pour entrer dans un système, il y a 36 façons de faire. On peut tenter la grande porte, passer par la fenêtre de la cuisine ou le soupirail, … (liste non exhaustive). Si on tente de passer par la grande porte, il est nécessaire d’avoir un login et un mot de passe. Si on a le login, la moitié du boulot est fait.