Edge 91, qui devrait sortir prochainement, inclura des changements bienvenus pour le gestionnaire de mots de passe.
Le navigateur affichera à côté de chaque mot une petite barre de santé pouvant comporter un maximum de trois traits. La jauge diminuera si le mot est réutilisé sur d’autres sites ou s’il fait partie d’une fuite de données chez le prestataire de service lié.
Intéressant également, on pourra classer la liste des mots de passe par valeur de santé, afin d’avoir en haut ceux ayant la plus faible. Cette liste pourra en outre être filtrée pour n’afficher que les mots de passe faibles, réutilisés ou ayant fuité.
Côté utilisateurs, on ne peut que se réjouir de la récente poussée des navigateurs sur ce terrain, car les gestionnaires de mots de passe étaient un peu statiques jusqu’à présent.
Les gestionnaires tiers comme BitWarden, Dashlane ou LastPass peuvent en revanche se faire du souci, car un nombre croissant d’utilisateurs vont se demander pourquoi aller voir ailleurs, surtout si des mastodontes comme Google et Microsoft s’y collent. Restera bien sûr l’indépendance du service, qui restera pour une partie du public un critère essentiel.
Commentaires (5)
#1
J’espère que ce sera facilement désactivable.
#2
Avec une boîte comme Microsoft, j’aimerai bien avoir en rouge police 24, une notice qui affiche explicitement que “non!”, mon mot de passe ne sortira pas de mon PC, qu’il ne sera pas communiqué à un tiers et que son hash non plus. Même pour des stats à la c..
J’avais loupé que le partage du mot de passe Wifi par Windows 10 avait été retiré (à l’époque ça confirmaient l’opinion que j’avais déjà d’eux). Tant mieux.
Mais, moins Microsoft connaît mes mots de passe mieux je m’en porte et moins il leurs fait subir de traitement mieux je m’en porte également.
Au moins Firefox on peut trouver assez facilement des indications sur comment c’est fait (eux non plus j’aime pas, mais au moins je peux me renseigner) et on peut le désactiver.
Pour Edge, l’article en lien ne donne pas plus d’info. Et l’anim avec un bouton pour activer/désactiver, n’est pas clair su ce qu’il active ou pas. Car une jauge sur la force d’un mot de passe n’a aucun besoin de prendre en compte des fuites de mot de passe. Ça peut être un plus. Mais il faut que ce soit clair pour l’utilisateur.
MS dés qu’ils peuvent mélanger un truc qui passe par leurs serveurs à un truc qui pourrai rester 100% local ils ne loupent pas l’occasion. Les autres font pareil. Mais eux ont plus de trucs à se faire pardonner.
J’imagine que si ça passait par haveibeenpwned, ça aurai été mentionné dans un des article.
#3
En fait Microsoft est asset ouvert là dessus, tout est expliqué de A à Z ici :
https://www.microsoft.com/en-us/research/blog/password-monitor-safeguarding-passwords-in-microsoft-edge/.
L’option est également totalement désactivable depuis l’UI !
Par contre j’avoue qu’ils pourraient communiquer de manière un peu plus ouverte.
Je crois que Chrome fait plus ou moins la même chose, ça va devenir un standard.
#3.1
Merci, si c’était facile à trouver à partir des articles, je n’ai pas été bon :( (OK, j’ai trouvé le lien, dans l’article en lien, dans l’article source, en lien dans celui de NI)
En tout cas, qu’ils expliquent un peu comment ça se passe c’est une très bonne chose. Mais j’espère que ce sera “facilement” accessible depuis Edge pour les utilisateurs que ça intéresse (le “learn more” que l’on voit dans l’anim ? Peut-être…).
Le post ne parle pas de la nouveauté évoqué dans l’article, mais juste de la partie style “haveibeenpwned”.
L’ennui c’est que ça ne me rassure pas du tout.
les mots de passe sont chiffrés chez eux. Mais ils ont la clé 
)
Au contraire.
Ils y parlent du “Chiffrement homomorphe”, en gros ça permet de faire des opération entre des choses chiffrées par le même secret, sans les déchiffrer.
Ça leur permet de dire que l’identifiant et le mot de passe de l’utilisateur ne sont jamais en clair chez-eux (sauf les 2 premier caractères de l’identifiant, aie! Apparemment pour “optimiser”).
Mais, si j’ai bien compris(leur 6éme paragraphe n’est pas hyper clair, je trouve, j’ai due m’aider de ça, et j’ai peut-être loupé un truc), ils oublient de préciser que (en résumé) la clé de chiffrement c’est eux qui la fournissent, via l’OPRF.
Alors juré, crachéparterre, le “Chiffrement homomorphe” leur permet de faire les comparaisons sans que le serveur de comparaison n’ai besoin de déchiffrer les secrets de l’utilisateur.
Mais s’ils veulent déchiffrer, il le peuvent, la clé est sur un autre de leurs serveur. Et ça , ça me suffit.
(Comme Mozilla depuis qu’ils ont changé leur système de synchro
Mais des gens comme Microsoft, qui on bien collaboré à alimenter les “collections” de la NSA, dixit les révélations de Snowden. Je ne leur donne pas un prétexte pour sortir mes mots de passes.
Les mots de passe ils restent sur le PC, chiffré avec “mon secret”. Ils sont communiqués uniquement aux sites pour lesquels ils ont été stockés. Et si “mon secret” ou le mot de passe sort de mon PC pour une autre raison, c’est que Microsoft me pirate.
J’ai lu ailleurs que ce n’était pas activé par défaut, c’est surprenant de leur part. Mais bienvenu.
Je ne dit pas que ce genre de fonction ne peut pas être “globalement” utile. Mais faite de cette façon, ça implique de faire confiance à Microsoft de ne pas faire quelque chose qu’ils peuvent faire sur leurs serveurs sans témoins, à part quelques employés.
Pour l’instant, je fait encore confiance au keystore de Firefox avec master password et surtout non-synchronisé par Sync (la plaie :( ).
Je part du principe que n’étant pas une cible particulière, je ne serai pas ciblé par un truc spécifique (qu’il vienne de Mozilla, Ubuntu, Microsoft, Google, ou d’un tiers), et que s’il y a un comportement générique malicieux, quelqu’un de plus malin que moi s’en apercevra, car ça fait pareil chez tout le monde.
Mais si le comportement de base devient : je balance tous les secrets par la fonction “téléphonMaisonJuréCrachéCestPourLeBienDelHumanitéOnFaitRienDeMalAvec;-)()”, qu’est ce que tu veux détecter côté client ?
Tout le monde se retrouve à la merci du moindre changement de loi, de politique commercial, d’humeur du PDG, ou d’un salarié avec suffisamment d’accès (mais pas tant que ça).
#4
Je ne confie mes mots de passe à aucun navigateur, quel qu’en soit l’éditeur, et ce n’est pas prêt de changer.