Suivez les discussions sur : Twitter Facebook RSS   Inscrivez-vous gratuitement à la newsletter : Newsletters   Utilisez la recherche :
PlanèteMembres  |  Mission

Forums de la communauté des investisseurs heureux

Discussions courtoises et réfléchies sur l’investissement patrimonial pour s’enrichir, générer une rente et atteindre l’indépendance financière

Invitation Vous n'êtes pas identifié : inscrivez-vous pour échanger et participer aux discussions de notre communauté !

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

#76 08/02/2021 22h43

Membre
Top 50 Réputation
Réputation :   522  

La sécurité informatique, c’est un peu comme la sécurité physique, et les deux comme l’histoire des deux compères poursuivis par un ours : l’idée n’est pas de courir plus vite que l’ours mais plus vite que son camarade.

Si vous avez un long mot de passe (pourquoi pas en utilisant la méthode des 4 ou 5 mots xkcd: Password Strength) pour votre compte e-mail, distinct de tous vos autres mots de passe, que vous ne cliquez pas sur n’importe quel lien qu’on vous envoie par e-mail et que vous utilisez un navigateur à jour, vous êtes déjà plus pénible à pirater que la majorité des utilisateurs.

Pour garder trace de vos mots de passe, la sécurité physique n’est pas inférieure à un service électronique ou numérique (donc piratable potentiellement via keylogger/rootkit qui intercepte ce qui passe sur USB). Bruce Schneier reconnaissait que garder ses mots de passe dans son portefeuille n’était pas une mauvaise solution (l’attaquant a besoin de vous tabasser pour l’obtenir). Garder un petit carnet au coffre n’est pas une idée absurde, et résout aussi élégamment les soucis liés à un décès inopiné (vos héritiers récupèrent l’accès à vos comptes en ligne en même temps que le reste du contenu du coffre).

TL;DR : C’est moins une question d’outils qu’un état d’esprit.


Parrain Stockopédia ✯ Mangia bene, caca forte, e non aver paura della morte.

Hors ligne Hors ligne

 

#77 08/02/2021 23h09

Membre
Réputation :   4  

un gestionnaire de mot de passe n’a pas vocation a être baladé , sauf s’il est en cloud , mais avec une authentification à 2 facteurs.

Ensuite, faire varier ses mots de passe d’un site à l’autre évite que le jour où il est "volé", l’attaquant n’accède au reste.. sans faire du brute force.

De plus, quand vous avez un gestionnaire de mot de passe, vous n’avez plus à vous soucier d’avoir un mot de passe différent sur chaque site, car l’outil génère un mot de passe aléatoire fort pour vous : vous n’avez même plus à le connaitre : une simple sélection sur le bon champ et votre mot de passe est renseigné : il vous suffit donc d’en connaitre un seul.

Hors ligne Hors ligne

 

#78 09/02/2021 01h29

Membre
Réputation :   44  

Ok, mais alors pour l’accès à mes sites je deviens totalement dépendant de cet outil, je n’aimerais pas cela du tout.

Hors ligne Hors ligne

 

[+1]    #79 09/02/2021 09h32

Membre
Réputation :   19  

C’est pour cela que beaucoup de puristes préfèrent la solution Keepass , c’est une solution libre (donc pas dépendant d’un éditeur), hors-ligne (donc pas dépendant d’un site) mais qu’on peut quand même synchroniser via le cloud si on veut l’avoir sur plusieurs appareil (si le cloud choisi est indisponible, vous aurez quand même accès à vos mot de passe, mais juste plus de synchro pour les derniers mots de passe créés).

Pour ce qui est du risque entre un mot de passe maitre vs un mot de passe identique :
- Le mot de passe maitre n’est entré que sur un seul site, voir aucun dans le cas d’une solution hors ligne, il a donc peu de chance d’être compromis
- Le mot de passe identique sur tous les sites est entré sur tous les sites, donc beaucoup de chance que l’un d’entre eux soit compromis un jour ou l’autre, et donc plus de chance que tous vs comptes soient compromis.

De plus le niveau de sécurité de votre gestionnaire de mot de passe sera plus élevé que celui de la majorité des sites que vous fréquentez (qui sont donc plus susceptibles individuellement d’être compromis en plus d’être plus nombreux)

Hors ligne Hors ligne

 

#80 09/02/2021 16h15

Membre
Réputation :   13  

J’utilise aussi Keepass, avec les extensions Kee dans Firefox et ChromeIPass dans Chrome pour l’autocomplétion des identifiants.
En plus du mot de passe maître, j’utilise un fichier .key qui fait office de second facteur.

La base de données Keepass (fichier .kdbx) est sauvegardée dans le cloud sur Dropbox avec l’extension KeeAnywhere.
Mais le fichier .key n’est jamais partagé sur le cloud et reste en local, ce qui assure une sécurité suffisante de ma base de données Keepass.

Sur Android j’utilise l’application KeePassDX qui permet d’accéder à la base de données.

KeePass est la première solution de stockage de mots de passe qui a été certifiée par l’Agence nationale de la sécurité des systèmes d’information (mais une version assez ancienne, ce qui ne garantit pas que sa sécurité ne se soit pas dégradée depuis) :
KeePass Version 2.10 Portable | Agence nationale de la sécurité des systèmes d’information

Hors ligne Hors ligne

 

#81 09/02/2021 16h33

Membre
Réputation :   23  

Deb67, le 08/02/2021 a écrit :

Pourrait-on m’expliquer la logique consistant à déconseiller un mot de passe commun à beaucoup de sites, et ensuite à conseiller un regroupement des mots de passe sous un même mot de passe maître ?
Il est clair que la révélation de ce dernier est au moins aussi grave que le comportement déconseillé au départ !

Il y a une logique pratique derrière. Il est plus simple pour l’utilisateur de retenir un seul mot de passe, fut-il long de 15 lettres/chiffres symboles, que 200 mots de passes à la difficulté disparate (parfois nulle pour certains).
Bien évidemment, tous ces sites vont vous recommander fortement d’avoir un mot de passe maître fort, suffisamment en tout cas pour ne pas être brut-forcé. C’est sûr que si un mdp maître repose sur du [email protected] ou @z€rtyuiop on est mal barré….

Par ailleurs, plusieurs logiciels proposent à la place du MDP maitre, soit du 2FA (authentification deux facteurs), soit de la biométrique sur smartphone (reconnaissance faciale/digitale)

Dernière modification par Rodin (09/02/2021 16h35)


La vie est une course, premier dans les starters - RS4 gris nardo, shifter pro, contre-sens.

Hors ligne Hors ligne

 

Information Nouveau venu dans cette longue discussion ?
Flèche Consultez une sélection des messages les plus réputés en cliquant ici.

Pied de page des forums

Parrains Faites-vous parrainer
Apprendre le bonheur