UDON LiN
Published in

UDON LiN

Les coffres à mots de passe

Comment sécuriser et partager, sans prises de tête…

En fin d’article, les 2 sites pour regarder si ton “email” est compromis ou pas!

2021–03 ajouté PasswdSafe merci Jean-Pierre Melard, 2021–02 ++ajouts dont Bitwarden, et les Browser SAFE + Bonnes pratiques en mode “multi-profils”, 2020–09–13 avec Lesspass, merci Korben et surtout merci à Guillaume

Ne serait-ce qu’en se faisant voler l’appareil! C’est juste CADO BONUS, tu me piques ma machine, je te file tous mes mots de passe, sur tous les sites… Il ne va pas te rester beaucoup de temps pour tous les reprendre et aller y changer de suite tous tes mots de passe, à condition de les retrouver, sur une copie de sauvegarde?

Ajouté 2021–02–12 — Logiciel libre

Services “en ligne” offert pour 2 utilisateurs (famille et freelance)

Les solutions explorées en 2015

Sauf celui de sa messagerie. Mais active quand même le 2FA sur tous tes webmails et réseaux sociaux ! (Identification double facteur, avec une validation par SMS). Non, ce n’est pas optionnel, tu dois le faire ! Venir se faire aider http://intergen.ch :)

Je sais plus qui me l’avait recommandé:

Idem EnPass, le stockage se fait crypté sur le Cloud (ou pas) de ton choix.

Je recommande PasswdSafe. Plusieurs raison à cela :
-open source (donc vérifiable)
-existe sur toutes les plateformes (Android, IOS, Windows, MacOS, Linux, etc...)
-fichier centralisé et crypté
À mon sens le plus efficient pour cette utilisation.

Si vous utilisez d’autres solutions, merci de compléter ici-même vos alternatives et avis :)

Non vus lors de ce UDON de novembre 2015

Update 2020–09, merci Manuel Dorne (Korben)

Buttercup

Voici les détails: Testé en 2017

Update 2021–03, de gratuit à 10F life price pour la version mobile, cela a bien changé!

Il ne sert pas à stocker les mots de passe, mais à crypter tes fichiers, dont celui avec les mots de passe… Oui, car stocker tes mots de passe, dans un fichier Excel, ce n’est vraiment pas une bonne idée, même avec un mot de passe pour l’ouvrir!

1password

Avantage, celui-ci ne serait pas assujetti au “Patriot act”…

(2021–02 add)

Les navigateurs (browser) comme coffre à mots de passe?

Les navigateurs “SAFE” coffres à mot de passe?

Soyons clairs, même avec le “petit verrou” qui redemande ton code avant d’exposer en clair les mots de passe, tous les mots de passe stockés dans tes navigateurs, de toutes les marques, vont exposer tes mots de passe au premier hacker qui aura compromis ta machine. Mais c’est tout aussi vrai pour tes “vrais coffres” à mots de passe, si tu ne les “verrouilles pas” après chaque usage, car c’est plus facile de les laisser “ouvert” pour éviter de retaper le pass-phrase à chaque besoin! Mais bon, s’il a mis un “keylogger”, c’est peut-être mieux de ne pas le retaper, ton pass-phrase, finalement!… En fait, ton PC compromis, c’est mort…

Donc première chose à protéger sérieusement, ta machine! VirusToral.com avant d’installer 1 truc…

Non! Le fait que le code de ces programmes est libre en lecture par tout le monde, ne veut pas dire que c’est moins sécurisé, car tout le monde peut y “découvrir” ou même “insérer” des brèches plus facilement. Seuls les ignorants numériques pensent cela, c’est en fait exactement l’inverse. C’est une fausse croyance!

Et il est devenu assez performant, depuis que Microsoft a intégré Chromium la partie “open source” publiée par Google de Chrome, réutilisé par moulte navigateurs comme Opera, Brave, et bien d’autres…

Toutefois cette opération n’est pas automatique, et tu dois aller vérifier manuellement! 😒

Ici, il n’y a pas de brèches détectées, sur les 11 logins enregistrés (je n’ai pas donné mes identifiants critiques à Google & donc NSA probable, ici il annonce simplement 4 mots de passe “faibles” (trop courts) Mais c’est déjà un bon warning

Peut-on avoir confiance en Microsoft et Google? Cela dépend pour quoi! Pour tenter d’éviter que des cybercriminels accèdent à tes données, oui, ils vont essayer. Mais je ne fais confiance ni en Microsoft, ni en Google, pour ne pas exposer mes données à la NSA, sur la moindre requête. Mais cela ne m’empêche pas de les utiliser et de les exploiter, sauf pour mes clients qui ne souhaitent pas prendre le risque d’exposer leurs données à la NSA…

Les services où tu disposes d’un compte, c’est une information commercialisable!

SSO ou pas?

Single Sign On! Comment tout gérer avec un seul mot de passe, un seul login:

Le SSO, c’est réutiliser un login/mot de passe existant, pour ne pas en redemander un autre!

En vrai, tu as très intérêt à le faire,

même sans faire du SSO avec! 🤞

C’est très pratique, car si un des sites est compromis, il n’est pas censé avoir le mot de passe. Et au pire, tu le changes une fois sur ton profil social (Google ou Microsoft, ou Facebook…) et tous les sites sont “re”-sécurisés…

Mais bon, comme tu avais laissé activé par défaut l’exploitation de tes historiques de navigation, c’est une information que tu leurs partageais déjà.

Service gratuit, enfin, presque, c’est en échange de la totalité de tous tes contacts Google!

Airtable c’est trop bien, et c’est gratuit, mais cela pompe la totalité de tous tes contacts! Pourquoi donc crois-tu que Facebook ait racheté 42$ par profil tous les utilisateurs de WhatsApp? Allez-y les quiches, filez-leur la totalité de vos contacts!

Combinaisons gagnantes

La gestion des multiples profils dans les navigateurs Microsoft Edge à gauche, et Google Chrome à droite

Ce n’est pas simplement pratique pour passer de Pierre à Paul, puis à Françoise, sur le même ordinateur (ce qui n’est pas une bonne idée, mieux vaut faire des sessions différentes). C’est fait pour changer “ta facade numérique” et organiser ton travail et tes favoris d’un “monde” à un autre.

Des outils utiles

L’outil ne donne pas la taille de “sa base”? Bon honnêtement, il va falloir regarder plus sérieux, plus loin… Car j’ai des emails compromis (et mot de passe changé), non détectés par Mélanie.

En fait, tu dois douter de tout package d’installation téléchargé, y compris venant d’un fournisseur connu. Il peut se faire “hacker”! Tu vérifies avant d’installer!

Vérification si ton email est compromis et en vente, ou pas…

Est-ce que tu commences à comprendre pourquoi on te répète de ne pas mettre le même mot de passe “partout” ??? Avec un coffre à mots de passe, tu génères un mot “complexe” à décoder, et ce n’est du coup pas grave s’il est “découvert”.

Update 2021–02–12 — une base plus grande que HaveIBeenPwned?

Collections de fuites…

Attention: En aucune façon cet article ne sera exhaustif sur des failles, ou brèches reconnues.

--

--

Usage Des Outils Numériques (Léman Innovation numérique) pour un partage entre les usagers des outils informatiques, par thématique. Des Meetup essentiellement, mais pas seulement ? http://UDON.Tech4Good.ch

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Pascal Kotté

Réducteur de fractures numériques, éthicien digital, Suisse romande.