Publié dans Logiciel

14

Firefox 76 devrait mieux protéger les mots de passe sur macOS et Windows

Firefox 76 devrait mieux protéger les mots de passe sur macOS et Windows

Le navigateur prépare pour sa future version une amélioration bienvenue, destinée à protéger les mots de passe sur une machine dont la session serait ouverte et l’utilisateur absent.

Pour être exact, Firefox sait déjà ajouter un mot de passe pour contrôler l’accès à ceux enregistrés au cours de la navigation. Mais comme souvent avec la sécurité, il s’agit d’une option, et peu d’internautes modifient les réglages de leur navigateur.

Firefox 76 devrait donc avoir un nouveau comportement par défaut. Si aucun mot de passe n’a été spécifiquement renseigné par l’utilisateur, le navigateur réclamera celui de la session système. L’authentification sera validée pour cinq minutes, après quoi le mot de passe sera de nouveau réclamé si besoin.

Le mécanisme, en test dans la branche Nightly, reprend la méthode d’authentification définie sur le système. Un code PIN dans Windows 10 par exemple, si l’utilisateur l’a créé pour ne plus avoir à renseigner le mot de passe complet. Même chose avec un MacBook Pro récent équipé d’un lecteur d’empreintes digitales.

Il sera possible de désactiver cette protection supplémentaire.

14

Tiens, en parlant de ça :

La Section 702 de la loi sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act – FISA)

Aux USA, la surveillance des communications d’étrangers sans mandat (FISA) fait débat

Aller FISSA au Sénat

15:40 DroitSécu 2
logo apple en devanture de boutique

Apple autorise puis supprime un émulateur Game Boy sur iOS

Quel est ce phoque ?

14:09 Soft 15
Logo d'Android 14

Android 15 bêta : Wallet par défaut, sécurité des réseaux mobiles et Wi-Fi, bugs sur le NFC

Ce n’est PAS une révolution

11:15 Soft 6
Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

14

Fermer

Commentaires (14)


Vu ce matin c’est emmerdant quand on utilise rarement le passe système.


J’espère qu’il en profiteront pour retravailler le mécanisme de “master password” actuel : une fenêtre dégeu qui pop dans un coin, parfois derrière les autres, qu’on peut fermer mais auquel cas elle repop toutes les ?? mins … c’est un peu archaïque.


As-tu mieux à proposer ?



Sinon, pour la news, est-ce que ça veut dire que les mots de passe seront stockés chiffrés, même sans avoir configuré de master password ? (actuellement, il me semble que sans master password, ils sont en clair dans le répertoire utilisateur)








Gamble a écrit :



As-tu mieux à proposer ?



 

Une modale au premier plan, intégrée à la fenêtre du navigateur, une case « ne plus demander », un chargement initial en même temps que le navigateur (et pas 2 min après).

Ou alors via un bouton à droite de la barre de navigation, comme pour la gestion du compte, des fav, des extensions, etc., ou encore à « l’intérieur » de la barre de navigation, comme pour la gestion des mdp des sites.



Modifié le 16/02/2024 à 12h19

Historique des modifications :

Posté le 27/03/2020 à 11h19








KaraMan a écrit :



L’extension Master Password+  faisait ça (et permettait même de verrouiller l’accès au contenu du navigateur en plus du verrouillage du gestionnaire de mot de passe), mais n’a pas pu être portée avec “nouveau” mode de fonctionnement des extensions.

Par contre, c’est relativement correct sous Fx (même si je suis très satisfait qu’il y ait un délais de validité du mot de passe). Sous Thunderbird, c’est l’enfer : la demande du MdP Maître se fait de façon sauvage au démarrage de TB, de façon individuelle pour tous les comptes, et au moment de la connexion aux serveurs (donc autant de fenêtres que de compte, y compris les comptes de synchro de contacts, par exemple). Forcément, ça freeze quelques secondes, ça met les requêtes IMAP en timeout… bref, c’est nawak.







J’ai aussi un Master password et plusieurs comptes sur Thunderbird, et je n’ai qu’une demande de mdp dès la connexion au premier serveur mail.



L’extension Master Password+  faisait ça (et permettait même de verrouiller l’accès au contenu du navigateur en plus du verrouillage du gestionnaire de mot de passe), mais n’a pas pu être portée avec “nouveau” mode de fonctionnement des extensions.

Par contre, c’est relativement correct sous Fx (même si je suis très satisfait qu’il y ait un délais de validité du mot de passe). Sous Thunderbird, c’est l’enfer : la demande du MdP Maître se fait de façon sauvage au démarrage de TB, de façon individuelle pour tous les comptes, et au moment de la connexion aux serveurs (donc autant de fenêtres que de compte, y compris les comptes de synchro de contacts, par exemple). Forcément, ça freeze quelques secondes, ça met les requêtes IMAP en timeout… bref, c’est nawak.


Tu seras bien plus emmerdé lorsque tous tes mots de passe seront dans la nature…



Et « utiliser rarement le mot de passe système » c’est possible ?

Autant sous linux, avoir un uptime de plusieurs mois, ça ne me pose pas de problèmes (et même là je dois utiliser mon mot de passe régulièrement), mais sous win ou mac <img data-src=" />.

Ou bien tu as activé la connexion automatique au démarrage <img data-src=" />.











Arkeen a écrit :



Une modale au premier plan, intégrée à la fenêtre du navigateur, une case « ne plus demander », un chargement initial en même temps que le navigateur (et pas 2 min après).

Ou alors via un bouton à droite de la barre de navigation, comme pour la gestion du compte, des fav, des extensions, etc., ou encore à « l’intérieur » de la barre de navigation, comme pour la gestion des mdp des sites.





Je suis d’accord que cette fenêtre est mal gérée car rien n’indique si c’est une fenêtre de Firefox ou d’un autre programme…

Mais sinon, je n’ai pas les autres problèmes que tu indique : elle s’affiche au milieu de l’écran et seulement au moment où Firefox en a besoin.



Plusieurs personne utilise mon ordi, pas envie qu’ils me bloque en faisant une erreur ou de leurs données le passe.



Cela le fait avec chrome aussi.


Aujourd’hui tous les OS proposent des possibilités de multi-utilisateurs, non ? En tout cas Windows et Linux. Comme ça chacun·e son profil Firefox, son papier peint, ses favoris, son historique.



Je trouve ça plus sain.


Je le sais, traine des sous-doués qui fouteront le bordel.


+1, j’utilisais une extension qui demandait un master au lancement, et TB ne s’ouvrait pas tant qu’on n’avait pas fait la bonne saisie. Mais elle n’est plus supportée. Aujourd’hui c’est le bazar, les comptes s’ouvrent, on voit tout le contenu, puis le mdp est demandé plusieurs secondes après… On a le temps de bien lire, voire de supprimer les messages. C’est incompréhensible qu’il n’y ait pas plus de sécurité sur un tel outil. Je l’utilise car je n’ai pas trouvé mieux (Evolution ne me convient pas), aussi par fidélité à Mozilla, mais il serait temps que TB évolue à un autre rythme.








Gamble a écrit :



actuellement, il me semble que sans master password, ils sont en clair dans le répertoire utilisateur







C’est sûr ça ?? Si on utilise un compte Firefox Sync/lockwise, qui sauvegarde donc les MdP, ça se comporte comment ?



Je crois que c’est chiffré, mais tu as la clé juste à coté. Il suffit de copier 2 fichiers et tu as tous les mots de passe de Firefox. Personnellement les mots de passe sont géré via KeepassXC. J’ai 2 ou 3 mots de passe sauvegardé par firefox pour des trucs sans aucune importance…








benjarobin a écrit :



Je crois que c’est chiffré, mais tu as la clé juste à coté. Il suffit de copier 2 fichiers et tu as tous les mots de passe de Firefox. Personnellement les mots de passe sont géré via KeepassXC. J’ai 2 ou 3 mots de passe sauvegardé par firefox pour des trucs sans aucune importance…





OK, merci. J’utilise keepass et Firefox. L’avantage de Firefox, c’est que tout est rempli automatiquement. Et pas besoin de rentrer mon mot de passe long comme mon bras que j’ai mis pour me logger dans Keepass (la flemme. J’aimerais que Keepass soit loggé dès l’ouverture de Windows, ce serait plus pratique. J’ai essayé des trucs, comme le log via le mot de passe de session mais ça ne fonctionne pas)