Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Dropbox met fin à son gestionnaire de mots de passe

Le 30 juillet à 11h15

Dans un effort de recentrage sur ses produits principaux, Dropbox annonce que son gestionnaire de mots de passe sera bientôt déconnecté.

Le calendrier présenté est assez serré. Le 28 août, Dropbox Passwords passera ainsi en lecture seule, que ce soit pour l’application mobile ou l’extension de navigateur. Il sera donc toujours possible d’utiliser le service, mais pas d’y ajouter de nouvelles données. Ensuite, le 11 septembre, l’application mobile cessera de fonctionner. Enfin, le 28 octobre, ce sera au tour de l’extension de navigateur. À compter de cette date, Dropbox Passwords ne pourra plus être utilisé.

Logo de Dropbox

L’éditeur indique qu’à la même date, toutes les données des clients « seront supprimées de manière permanente et sécurisée » de ses serveurs. La fonction de surveillance du dark web sera également coupée. Elle était notamment utilisée pour envoyer des notifications quand des identifiants étaient repérés dans des jeux de données.

Il est conseillé par l’entreprise d’exporter ses données vers un autre gestionnaire de mots de passe, via un fichier CSV, avant le 28 octobre. La marche à suivre est indiquée dans l’annonce.

Le 30 juillet à 11h15

Commentaires (55)

votre avatar
C'est un peu violent omme fermeture : ils pourraient couper les accès aux mots de passe, sauf aux exports, pendant une période, le temps que les utilisateurs qui ne sont pas au courant de la fermeture s'en rendent compte, sinon j'imagine même pas le bazar sans nom pour récupérer tous les comptes...
votre avatar
Ca fait quand même 2 mois pour migrer, dont un mois ou il reste fonctionnel. Et les utilisateurs devraient recevoir l'annonce, c'est déjà pas mal.
votre avatar
Je trouve que vu l’enjeu c’est pas fou.

Y’a peut être que 5, 10 ou 100 utilisateurs dans le tas sur des milliers qui ne seront pas devant leur ordinateur jusqu’à fin novembre car en voyage, ou dans le coma, ou dans un pays en guerre sans connexion ou …

Mais pour ces quelques utilisateurs la sentence sera la perte de TOUS leurs accès à TOUS leurs comptes en ligne. C’est violent.

Le minimum serait de gérer la fermeture sur plus longtemps, avec un monitoring de qui exporte ses données ou pas et pourquoi pas d’envoyer un backup par mail aux personnes qui n’ont rien exporté le jour de la fermeture.
votre avatar
Après s'ils misent uniquement sur Dropbox pour sauvegarder leurs mots de passe c'est qu'ils cherchent les ennuies quand même
votre avatar
Pour un backup de backup ça peut faire l'affaire.
Mais en système principal je suis d'accord, c'est donner le bâton pour se faire battre.
Déjà je comprends pas de prendre un service tiers pour un truc aussi sensible que la gestion des mdps. Il y a tellement d'outils qui tournent en local et sont faciles à synchroniser !
votre avatar
Je ne connais quand même pas beaucoup de gens qui utilisent un gestionnaire de mot de passe et qui n'ont pas de smartphone, même en voyage ou en guerre... C'est un peu chercher la petite bête... Idem pour le coma, 2 mois de coma le gestionnaire de mot de passe c'est le dernier de tes soucis, et s'il reste 8 mois dans le coma ?...

Et potentiellement, si c'est si rapide, ça peu aussi être pour des raisons autres, comme la sécurité.
votre avatar
Le bouton j'ai oublié mon mot de passe marche très bien tu sais ;)

Le seul truc utile à sauvegarder c'est le mot de passe mail, (et surtout s'assurer qu'il soit accessible sans MFA le jour où ton smartphone est HS par ex) tout le reste de mon point de vue est jetable...
votre avatar
Et si tu ne vois pas passer le mail et que tu ne fais qu'utiliser l'extension, comment vas-tu savoir que ton compte vas bientôt être supprimé ?
votre avatar
Tu pense qu'il n'y aura qu'un mail ? Peut être, mais pour moi ça ne change rien. Ça reste des 'si'.

Et si tu ne vois pas passer les 3 mails de relance et que tu utilises que l'extension depuis 6 mois ? Bah ça ne changera pas grand chose.

Euh ils ont prévenus, si toi tu ne fais pas ta part parce que tu ne lis pas où mal tes mails, c'est plus leur faute.
votre avatar
Pourquoi tu parles d'utiliser l'extension depuis 6 mois ? Ça change quelque chose ?

Pour moi, le souci, c'est de désactiver le service et EN MÊME TEMPS de tput supprimer. La désactivation du service, c'est quelque chose qui se voit forcément : ça peut servir de signal d'alarme pour les personnes qui n'ont pas vus passer la communication.

Après, peut-être que tous les clients logiciels du service (dont l'extension l'extension) affichent un gros message immancable, ce qui règle aussi le problème.

Pour un service aussi central, supprimer définitivement toutes les données sans assurer le coup me semble un brin bourrin. ^^
votre avatar
https://cryptoast.fr/cryptomonnaies-algerie-promulgue-interdiction-complete-cryptos/

En voila du violent.... :)
votre avatar
certes, mais prendre un compte drop box c'est comme tendre un bâton pour se faire battre.
j'aurais eu envie de dire "bien fait", si j'étais un tant soit peu méchant, ou juste lucide:santa_flock:
votre avatar
Jamais voulu utiliser le gestionnaire de mot de passe, mais pour ce qui est de sa fonction principale, il faut reconnaître que Dropbox reste au dessus du lot. Ça tombe en marche, jamais le moindre soucis, je n'ai jamais vu une autre solution de drive aussi fiable. Mais je cherche toujours si quelqu'un connaît :)
votre avatar
Dropbox, à moins que cela ait changé, leur CLUF annonce qu'ils peuvent faire ce qu'ils veulent des fichiers :( J'ai utilisé pendant des années Onedrive sur Win et Mac, je ne me rappelle pas avoir eu de soucis. Depuis un an je suis passé sur Proton Drive et je n'ai eu aucun souci.
votre avatar
Je sais, je dois en sortir aussi.
Par contre j'en cherche un qui puisse comme dropbox m'uploader automatiquement les photos prises sur les smartphones.
votre avatar
Avec kDrive d'infomaniak c'est possible 😉
votre avatar
infomaniak le fait

m…e grillé, j'tape pas assez vite
votre avatar
Sans edit, tu as posté en sachant que tu étais grillé :mdr2:
votre avatar
Ben, non.

Y a écrit "modifié à 15h10".

Le poste qui l'a 'grillé' a été posté à 15h08.

C'est cohérent.

Ils ont posté à peu près en même temps, chacun, un message initial à 15h08 (éventuellement 15h09 pour 8j7uf95z3) puis le 2e poste a été édité à 15h10 pour signifier qu'il avait été devancé.
votre avatar
Ah oui le modifié a changé de place non ? Ou bien j'ai bu trop de café :byebye:
votre avatar
Les app mobiles de NAS Qnap ou Synology le font.
votre avatar
Oui j'ai vu cela, ce n'etaot pas le cas quand j'avais testé (il y a fort longtemps).
Bon du coup je déplace mon drive de dropbox à mon Syno... en même temps l'abonnement expire dans 2 mois, ca me laisse le temps de tout bien verifier :)
votre avatar
Pcloud le fait aussi.
votre avatar
Perso je les ai quitté parce que j'essaye de me libérer des US et j'ai mis Pcloud à la place
ça fonctionne extrèmement bien pour ce que je fais et c'est très rapide
votre avatar
J'utilise spideroak depuis plus de 10 ans. Je l'avais choisi pour deux raison, la première étant la disponibilité de l'outil sous linux et la deuxième raison la possibilité de synchroniser autant de dossiers que je le souhaite et en même assurer le back-up d'autres dossiers sans synchronisation. Enfin, je peux l'utiliser sur autant d'ordinateurs que je le souhaite.
Sur la période j'ai eu deux opérations de maintenance qui ont duré plus longtemps qu'anticipé sinon aucun problème.
Et le prix est tout à fait compétitif.
votre avatar
J´utilise Jottacloud depuis une dizaine d´années, ça fonctionne parfaitement bien.

Et il gère aussi les photos faites sur le smartphone.
votre avatar
regarde ses mails

Ouf, toujours pas d'arrêt de service pour mon fichier keepassxc :yes:
votre avatar
J'utilise également KeepassXC, ça marche, mais il faut bien avouer que c'est pas aussi fluide dans l'utilisation que bitwarden par exemple.

J'ajoute aussi les problèmes d'intégration avec Snap sous Ubuntu c'est casse pied pour M Tout le monde.
votre avatar
Pas de problème en ce qui me concerne sur l'intégration avec Vivaldi et l'extension peu importe l'OS (Manjaro, MacOS, Windows). L'appli n'est pas installée en Snap mais depuis les repos OS. Et la synchro du fichier via kDrive est parfaitement bien gérée.

C'est plutôt sur smartphone où l'intégration est une plaie (le MagicKeyboard qu'il faut à chaque fois aller chercher), mais là je pense que c'est plus lié à l'ergonomie de merde de ces systèmes.
votre avatar
Disons que c'est bien si on a envi de se faire chi en pensant que c'est plus sécurisé parce que c'est maison... Mais je respect cela, j'en suis friand :D.
Mais clairement, c'est pas aussi simple, c'est contraignant, et pas plus sûr. Juste une question de choix ! Personnelement, j'ai arrêté et je suis parti sur la simplicité.

Un Bitwarden n'est pas près de disparaitre, c'est juste un choix bizarre de mettre ses MDP dans un gestionnaire Dropbox, tout comme je ne les mettrais pas chez un cozycloud, un ProtonPass ou n'importe qu'elle suite qui n'est pas dédiée.
votre avatar
J'utilise depuis longtemps celui intégré à ma solution antivirus ( ESET ) et j'en suis très content.
Mais comme tous mes jeux tournent maintenant très bien sous linux, je vais abandonner windows et passer sur Mint et à la version linux d'eset. Je vais donc perdre le gestionnaire de mot de passe et le firewall logiciel ( pour lui pas grave maintenant que j'ai un firewall matériel :D ). Du coup j'hésite grandement entre le gestionnaire de Proton et KeepassXC, que je connais bien et que j'ai installé dans la famille après les avoir passés sous linux aussi ^^. Pour le moment je penche légèrement pour Proton, il a aussi une version linux, mais surtout parce que ça sera utilisé sur mon pc fixe, sur le pc portable, la tablette et le tel. Mais mon choix définitif n'est pas encore fait
votre avatar
C'est quand même dingue d'avoir besoin de ce type d'outils alors qu'une stratégie de mots de passe avec plusieurs invariants (incluant des caractères spéciaux/chiffres) selon le type d'accès (e-commerce, messagerie, machine à soi... banque, ah bin non en fait cf la suite!) et une partie variable selon le service précis (qui peut dériver de son nom, genre 1ère lettre de chaque syllabe, avec éventuellement des substitutions ou décalage alphabétique) pour assurer l'unicité...

J'ai vraiment pour principe de pouvoir me contenter du contenu de ma tête pour mes accès. Le gros problème pour moi c'est surtout les branleurs de RSSI de banques qui obligent à un PIN: A croire qu'ils sont incapables de comprendre qu'on n'est pas limité au clavier d'un DAB sur son PC/smartphone. En prime, à longueur donnée, bonjour la réduction de combinaisons de 10 chiffres vs alphabet complet (minuscules et majuscules)+chiffres+caractères spéciaux usuels (qu'on aura via tout type de clavier, au moins 20).

On va dire un rapport (26*2+10+20)^8/10^8 pour typiquement 8 caractères imposés (car ils imposent aussi la longueur, qui ne fait pas partie de l'inconnue!). Ça fait un rapport de ~2M au bénéfice mot de passe vs PIN!!!

Avec un tel système, pas étonnant qu'ils imposent la double authentification... On est en plein dans la sécurité-spectacle (et business).
votre avatar
J'avais pensé à recommander une stratégie similaire à des usagers lambda mais l'open bar sur les données françaises depuis un an m'a refroidi, car il suffirait de construire une compilation de toutes les bases fuitées pour que la stratégie se révèle et ce serait alors un désastre bien pire que de leur dire de les marquer sur un carnet car le petit malin aura accès même aux sites non-recensés, tandis que l'usager n'ira pas les changer pour autant car croyant faussement que ça marche.
votre avatar
La majorité des bases ne stockent pas les mots de passe en clair. Il y en a encore qui le font certes, et de temps en temps se font pirater, mais ça reste à mon avis trop marginal pour pouvoir deviner automatiquement ce genre de stratégie de mot de passe, et ça va en diminuant.

Après si on est vraiment une cible suffisamment VIP pour que quelqu'un fasse tout le boulot pour nous attaquer personnellement, c'est qu'il y a une bonne raison et je pense qu'on la connaît et qu'on doit alors prendre des précautions particulières dans ce domaine. Mais personne ne va se bouger comme ça pour un mec lambda.

Et comme il l'a dit, on peut avoir plusieurs stratégies suivant la sensibilité du compte. Parce qu'honnêtement, pour 90 à 95% des comptes on n'en a rien à fiche de la sécurité car il n'y a aucun intérêt à les pirater. On s'en tape que quelqu'un puisse commander sur un site à notre place, ou toute autre opération ne pouvant apporter aucun intérêt à l'attaquant. Avant encore ça servait à éviter de pouvoir accéder aux données personnelles stockées sur le compte, mais maintenant que les pirates se servent directement dans les bases, le mot de passe ne les protège plus.

Et pour les comptes qui ont des stratégies inutilement contraignantes (règles de contenu du mot de passe non standard, changements fréquents avec blocage des précédents, nombre d'essais ridiculement bas), et qu'on n'utilise pas trop souvent, on peut carrément laisser tomber le mot de passe et faire "mot de passe oublié" à chaque fois. Je ne sais pas si les admins ont des stats sur l'utilisation de cette fonction mais il y a des sites où elle doit être très élevée.
votre avatar
C'est quand même dingue d'avoir besoin de ce type d'outils alors qu'une stratégie de mots de passe avec plusieurs invariants (incluant des caractères spéciaux/chiffres) selon le type d'accès (e-commerce, messagerie, machine à soi... banque, ah bin non en fait cf la suite!) et une partie variable selon le service précis (qui peut dériver de son nom, genre 1ère lettre de chaque syllabe, avec éventuellement des substitutions ou décalage alphabétique) pour assurer l'unicité...
Ca va te protéger contre un certain type d'attaque (les fuites de données) "à l'aveugle", mais pas d'une attaque ciblée. La détection d'un invariant se verra très vite, et permettra même de configurer les outils pour craquer les mots de passe pour utiliser cet invariant.
Le gros problème pour moi c'est surtout les branleurs de RSSI de banques qui obligent à un PIN: A croire qu'ils sont incapables de comprendre qu'on n'est pas limité au clavier d'un DAB sur son PC/smartphone.
Tu noteras que les "branleurs de RSSI de banques" imposent en général la saisie du PIN avec la souris, et pas le clavier. Il y a une raison à cela : éviter les keylogger. De plus, le nombre de tentative est très restreint avant blocage du compte. Et avec la double authentification, ce n'est vraiment plus un problème.

A noter aussi que dans pas mal de banque (pas toutes toutefois), l'identifiant est un numéro qui n'est pas forcément le numéro de compte, et qui est choisi par la banque. Et cet identifiant, s'il n'est pas secret comme peut l'être un mot de passe, il n'en reste pas moins "confidentiel".

Au passage, cette pratique sur les codes courts couplés avec un identifiant confidentiel faisaient partie des recommandations de la CNIL et de l'ANSSI jusqu'à assez récemment, au même titre que de forcer le renouvellement des mots de passe. Les deux pratiques ont été retirées (la première, parce que pas suffisamment sécurisée, la seconde, car les mots de passe avaient tendance à être marquée sur un post-it sur le bord de l'écran ou sous le clavier, affaiblissant ainsi l'utilité du changement).
Avec un tel système, pas étonnant qu'ils imposent la double authentification... On est en plein dans la sécurité-spectacle (et business).
La double authentification est une obligation européenne. Mais bon...
votre avatar
les "branleurs de RSSI de banques" imposent en général la saisie du PIN avec la souris, et pas le clavier. Il y a une raison à cela : éviter les keylogger.
Il y avait une raison. Maintenant les keylogger prennent des images du clavier virtuel et voient où l'utilisateur clique, ce qui permet avec un peu d'OCR de récupérer les codes.
De plus, le nombre de tentative est très restreint avant blocage du compte.
Ça, une fois qu'on connaît le code grace au keylogger à OCR, ce n'est pas gênant. C'est par contre efficace contre le brute force.
votre avatar
Il y avait une raison. Maintenant les keylogger prennent des images du clavier virtuel et voient où l'utilisateur clique, ce qui permet avec un peu d'OCR de récupérer les codes.
Ca reste d'actualité. Il est vrai qu'il existe des logiciels espions plus avancés que des keylogger qui peuvent faire ça, mais dans ce cas, ce ne sont plus de simple keylogger ;)

Le truc, c'est que les keylogger c'est très simple à mettre en oeuvre au sein d'un OS. Car la fonctionnalité sur laquelle ils reposent est une fonctionnalité détournée qui peut être utilisée à des fins tout à fait légitimes (contrôle parental, raccourci, des outils comme TextExpander, etc.), et que la "charge virale" pour le réaliser est vraiment minuscule.
C'est par contre efficace contre le brute force.
Bien que non précisé dans mon commentaire initial, c'était effectivement l'idée derrière, pour pallier la faiblesse du code PIN par rapport à un mot de passe. Merci de la précision ;)
votre avatar
Tu noteras que les "branleurs de RSSI de banques" imposent en général la saisie du PIN avec la souris, et pas le clavier. Il y a une raison à cela : éviter les keylogger.

La raison principale que je vois à ça, c'est d'être sûr de bien exposer ton code à tout le monde quand tu es sur un écran 30 pouces. Alors qu'au clavier, ce serait limite trop discret, pas assez de prise de risque. Il faut vivre dangereusement !
votre avatar
Eh ouais...c'est tellement mieux que des petites etoiles. Et avec l'espion de win11 bonjour la pertinence du truc.
votre avatar
@fdorin
J'ai bien conscience du pb pour avoir utilisé des outils de bruteforce moi même. C'est pourquoi 1 invariant par type d'accès.
Maintenant comme dit par ailleurs la bonne pratique c'est de stocker un hash.
Idem pour le coup du clavier virtuel ce n'est pas une protection valable vs perte de combinaisons... qui amène double auth et on en revient a m'imposer ce que je m'efforce d'éviter : avoir besoin de plus que le contenu de ma tête.
Si l'Europe impose des emplatres sur jambe de bois de pin code c'est juste légiférer l'obligation a être con.
Un pin code n'a rien a foutre pour tout ce qui a un clavier complet.
votre avatar
Maintenant comme dit par ailleurs la bonne pratique c'est de stocker un hash.
Un hash, ça peut s'inverser par brute force, surtout si on connait l'invariant à la base.

S'il est vrai que la bonne pratique c'est de stocker un hash, on le vois bien que cette bonne pratique n'est, encore en 2025, pas suivi partout. Et ça, on ne peut rien y faire en tant qu'utilisateur, car c'est difficile de le savoir. Donc des mots de passe en clair, oui, il y en a...

Le seul cas où on peut savoir avec certitude que le mot de passe n'est pas haché, c'est si le mot de passe est renvoyé par e-mail en cas d'oublie.
Idem pour le coup du clavier virtuel ce n'est pas une protection valable vs perte de combinaisons... qui amène double auth
Merci de ne pas inverser les choses non plus. Ce n'est pas l'usage d'un code PIN qui a induit la mise en place de la double authentification, c'est la double authentification qui a permis l'usage du code PIN. C'est quand même différent.
Si l'Europe impose des emplatres sur jambe de bois de pin code c'est juste légiférer l'obligation a être con.
Précision : l'Europe n'impose pas le code PIN. L'Europe impose l'authentification multifactorielle.


[edit] Un petit rajout : l'usage d'un code PIN empêche aussi un utilisateur à réutiliser le même mot de passe qu'ailleurs. En cas de fuite de mot de passe d'une base de données tiers, les risques sont ainsi grandement limités. Car oui, la réutilisation d'un mot de passe est un énorme fléau, aujourd'hui encore.
votre avatar
@fdorin

Qui a entraîné quoi entre PIN et double-auth, sincèrement cela ne change rien à l'affaire: Un PIN n'est juste pas raisonnable (vs jeu de caractères complet+règles de complexité suffisantes), sans double auth. Donc intuitivement je disais que le manque d'entropie de l'un a entraîné la nécessité de l'autre mais vu que tout ceci nage en pleine absurdité cela pourrait en effet être l'inverse!

C'est tout le pb d'essayer de raisonner logiquement face à des gens qui ne savent visiblement même pas ce que ce mot veut dire (je parles pas de toi, mais des branleurs de RSSI bancaires et du législateur gérontocrate agonisant dont ils ont fatalement à un moment tenu la main).

Pour ma part, afin d'éviter de tomber dans les classiques types dates de naissance j'essaie au moins de baser mes PIN sur des motifs... ce que les claviers virtuels ordonnés au pif rendent également difficile si on n'a pas un clavier numérique a côté pour se remémorer via le motif la suite de chiffres à entrer!

Et comme il est impossible de faire des variantes fonction du service ou de se rappeler quel motif correspond à quoi (1ère lettre écrite en mode afficheur à segment? Trop facile!)... eh bien fatalement si côté mots de passe j'ai une stratégie qui assure l'unicité/ségrégation (selon la criticité des accès) pour les PIN ce n'est pas le cas: A l'impossible nul n'est tenu...
votre avatar
Un PIN n'est juste pas raisonnable (vs jeu de caractères complet+règles de complexité suffisantes), sans double auth.
Ca tombe bien, je n'ai jamais vu une banque proposer juste le PIN sans double authentification.
des branleurs de RSSI bancaires
Franchement, cette volonté de cracher sur les RSSI bancaires terni tout ton discours. Tu peux ne pas être d'accord avec la politique qu'ils ont choisi. J'ai essayé de t'expliquer que c'était pas forcément déconnant. Après on est d'accord, pas d'accord, chacun est libre de son choix.

Maintenant, et si tout n'est pas parfait dans le monde bancaire, ils ont quand même une bonne robustesse et ils ont d'ailleurs tout intérêt, puisqu'à défaut de pouvoir prouver la négligence de leurs clients, ils sont tenus pour responsable et doivent rembourser tout paiement indus (en tout cas, en France).

Et le fait que la très grande majorité des banques utilisent un système plus ou moins analogue n'est pas non plus anodin, et tend à montrer que le système n'a pas été mis en place par le premier branquignol venu et que si les différents acteurs du domaine ont convergé vers un système similaire, c'est qu'il doit y avoir une raison.

De plus, ton histoire de motif créé un faux sentiment de sécurité car ne te protège absolument pas contre une attaque qui serait ciblée contre toi, ou même une attaque qui recouperait tout simplement plusieurs bases de données qui auraient fuité.
votre avatar
La sécurité des banques ne repose pas que sur la technique, c'est trop souvent oublié par ceux qui disent que tel ou tel machin bancaire n'est pas sécurisé. Les problématiques de sécurité existaient déjà avant que la technologie soit accessible à tous, et les banques adaptent leur stratégie aux nouvelles problématiques à partir de cette expérience et non à la place.

Aussi, le bancaire n'a jamais visé une sécurité infaillible mais un taux de fraude contrôlé et soutenable, qu'ils arrivent à conserver depuis des décennies. On râle souvent sur les boîtes qui n'ont pas anticipé les conséquences de tel ou tel piratage, au niveau bancaire il n'y a jamais de piratage d'ampleur.

Si vous voulez du monétaire sécurisé entièrement par la technique, il y a les cryptos. Et quand ça se passe pas comme prévu, ça pardonne pas, c'est instantané et souvent tout disparaît (l'argent, les clients et le projet). Ne voyez ici qu'une constatation et non un jugement pour l'un ou l'autre.
votre avatar
@Inodemus
Le bancaire vise surtout à maintenir un niveau de fraude assurable... sachant que c'est eux qui vendent les assurances incluses dans les frais de gestion de compte!

Bref, on en reste à des PIN qui n'ont jamais eu de sens que sur un clavier numérique seul et limités à des DAB pour cartes avec des plafonds de paiement qui limitaient l'impact pour le client.
On a juste parfois (pas le cas des applis de double auth) été au delà des 4 chiffres, sachant pourtant parfaitement qu'il en avait été ainsi pour les cartes de paiement car les études d'alors avaient démontré qu'au delà les gens retenaient mal les suites de chiffres (ici en prime non choisies/sans pouvoir les raccrocher à rien, cf le nb d'années de naissance ou chiffres de mois/jour utilisés par au moins 80% des gens quand on ne leur impose rien) et faisaient bcp trop d'erreurs.

Depuis des décennies, les mots de passe sont le fondement des accès informatiques et on a juste accru les règles de complexité (taille, présence d'un nb de chiffres+caractères spéciaux). Si le bancaire fait son original en réduisant d'un facteur 2M (et on multiplie par 72 à chaque caractère ajouté au delà des 8 d'un PIN d'accès bancaire) les combinaisons c'est car il gagne de l'argent sur la fraude en plus de ruiner les stratégies de mémorisation du client (à part fdorin, qui doit bosser dans une banque?).

C'est la seule explication logique, si on élude la bétise et les habitudes historiques liés aux claviers de DAB/terminaux de paiement.

Maintenant, c'est sûr, on peut utiliser le type d'outil object de l'article: Mais on perds le côté suffisant d'avoir juste sa tête avec soi et il faut avoir confiance, cf:
x.com Twitter
votre avatar
@fdorin
Bin je ne vais pas dire merci, non plus, au fait de ruiner mes stratégies pour un truc totalement stupide, moins robuste et qui ramène 30 ans en arrière sur tout ce a un clavier alphanumérique et non numérique seul.

Que tout le secteur fasse pareil n'est pas un critère invalidant mon constat (ratio de combinaisons d'au moins 2M, en se limitant aux 8 chiffres et sans possibilité réaliste d'imposer au delà car plus personne ne retiendra, contrairement à un MdP): Se retrouver à mettre le même PIN car la limitation des symboles utilisables limite de facto toute stratégie de mémorisation/différentiation, c'est vraiment naze. Là aucun recoupement à faire et qq bases à choper et leurs hashs à craquer. Et comme l'appli de double auth réclame aussi un PIN, on en revient à un code d'accès unique.

A la limite, la double auth obligatoire pourquoi pas même si je trouve regrettable d'imposer d'avoir un smartphone. Mais pour l'accès primaire que ces ânes dégagent ces PIN totalement crétins!
votre avatar
Bin je ne vais pas dire merci, non plus, au fait de ruiner mes stratégies pour un truc totalement stupide
Perso je lis "mon dieu, le monde ne tourne pas autour de ma personne, au secours !!".

C'est d'autant plus paradoxale de dénoncer les limites du PIN (sans contextualisation comme vous le faite), et de l'autre côté d'utiliser une pratique pas du tout sécurisée qui abaisse drastiquement le niveau de sécurité de vos mots de passe à un niveau encore moindre qu'un PIN...

Fin de discussion.
votre avatar
Arf! Bonjour l'inversion de réalité qui me fait répondre tout de même une dernière fois...

D'une je ne pense pas être le seul que cette connerie à rapport 2 millions (au moins) indispose car les gens avec qui j'ai eu l'occasion de discuter avouent assez vite qu'ils en sont à devoir utiliser quasi systématiquement la procédure de réinit quand ils veulent accéder à leurs comptes en ligne... et ont, de guerre lasse, en général dû arrêter de regarder leurs comptes d'un PC (limitant cet usage à des trucs plus lourd genre gestion contrats/épargne) alors que c'était pourtant plus confortable pour lire des tableaux, devant se taper cela sur le smartphone via l'appli de la banque... qui débloque généralement l'accès d'un PIN à cette fois seulement 4 chiffres (mais limite d'essais forte, qd même, qui ramène à la sécurité d'un code CB datant des années 80 mais les possibilités de nuire sont alors très supérieures à un plafond de paiement CB) et sans double auth, puisque c'est leur appli à eux hyper sûre (tournant dans l'immense majorité des cas sur un os mobile à l'abandon depuis des mois/années)!

=> En résumé on nage (avant de couler) dans le n'importe quoi complet et il ne faut pas avoir bcp de bon sens pour soutenir l'inverse.
votre avatar
=> En résumé on nage (avant de couler) dans le n'importe quoi complet et il ne faut pas avoir bcp de bon sens pour soutenir l'inverse.
Tiens, une inversion de réalité (pour reprendre vos propos)...accompagné à nouveau d'insultes...

Fin de discussion.
votre avatar
"Attention chérie, ça va couper !"
votre avatar
lol
Dès l'ouverture du service, je ne croyais pas que c'était fait pour durer.
votre avatar
Ils auraient du stocker les mots de passe dans l'espace perso comme ça pas besoin de serveur dédié. Il y a justement des gestionnaires de mots de passe qui utilisent Dropbox.
votre avatar
J'utilise Bitwarden en auto-hébergé pour toute la famille et c'est parfait.
votre avatar
Oui Bitwarden est très bien mais l'autohébergement est clairement le point faible, ça ne se fait pas en déposant simplement un fichier sur dropbox ou un ftp comme certains concurrents.
votre avatar
Est-ce qu’il sont au courant eux-même? Je me demande car j’ai changé mon mot de passe Dropbox hier et j’ai eu un popup de pub m’encourageant à utiliser leur gestionnaire de mots de passe... :reflechis:

Dropbox met fin à son gestionnaire de mots de passe

Fermer