Forum Clubic

Commentaires : Le mot de passe à usage unique : c'est pratique, mais ça a ses limites

L’Alliance FIDO, qui reconnaît l’utilité du mot de passe à usage unique, s’inquiète du modèle même du password, pas à l’abri du piratage.

Il faudrait déjà arrêter de nous demander des mots de passe dignes du FBI sur tous les sites. Si la plupart des sites étaient moins gourmands en données personnelles, ce serait pas utile.

C’est une dérive qui fait que les gens finissent par avoir un mot de passe unique pour tous les sites qu’ils visitent. Pour la banque ok, pour les mails ok, pour les impots ok, pour des sites à services sensibles c’est tout à fait logique, mais pour des sites de news, de divertissement… aucun intérêt à avoir des authentification si fortes.

il en résulte que quand on va sur un site lambda, on finit par y mettre le même mot de passe que sa banque. Parce que retenir autant de mots de passe compliqués qu’il y a de sites, c’est compliqué. Et la plupart des gens vont aller au plus simple et ne pas se tourner vers des solutions techniques qu’ils ne connaissent pas ou ne maitrisent pas

3 J'aime

J’ai des compte jetable pour les sites qui demande un compte sans grand intérêt comme sur clubic.
Donc le mot de passe est aléatoire, je l’ai pas sauvegarder, je ne le connais pas, l’email est un email temporaire. Donc quand le token viendra a expiration (ce qui est vachement long) bien je referais un nouveau compte.

Eh les mecs vous n avez jamais entendu parler de Bitwarden ???
J’ai un mdp différent sur 32 caractères pour chaque site. J en connais aucun et c est normal puisque je ne les saisis jamais, ni sur mon ordi ni sur mon téléphone. Et en plus c est gratos.
Pour moi les pb de mdp c est la préhistoire de l informatique :grin:

6 J'aime

Pareil, sauf que moi c’est Keepass. Des mots de passe très longs, et quand c’est possible, authentification a deux facteurs avec Authy. Seulement voilà… les sites permettant la double authentification sont rares

C’est compliqué, oui, en effet.
Même avec une méthode de génération comme je me l’était fabriqué il y a quelques années, ça devient chaud, surtout quand certains sites ne permettent pas d’utiliser certains caractères ou en limitent le nombre (spéciale dédicace aux sites des banques whistle ).

Sauf que « le plus simple », en matière de sécurité c’est souvent catastrophique (genre, plus aucune sécurité quoi) …

Quoi que l’on en dise, l’informatique reste un outil et son utilisation impose des contraintes.
Bref, tout cela pour dire qu’utiliser un gestionnaire de mots de passe est à la portée de beaucoup de monde (ou sinon, il est encore possible d’utiliser un carnet ane ).

1 J'aime

Vous êtes hors sujet là. Le sujet n’est pas votre mot de passe pour les sites, mais l’utilisation d’authentificateur comme Google Auth pour la double authentification.
Ils recommandent l’utilisation de clefs de sécurité par exemple.

Pour ma part j’en ai plusieurs que j’utilise pour la connexion à des sites persos ou serveurs distants. Par contre, il est toujours regrettable après plusieurs années qu’une majeurs parties de sites suggérant la double authentification ne le proposent pas plus. Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.
Et même du côté des gestionnaires de mot de passe, ce n’est pas par défaut. BitWarden commence à l’intégrer, mais ce n’est pas encore ça. Dashlane ne permet plus de l’utiliser sur ordinateur du fait de l’obligation de passer par leur plugin de navigateur qui reste incomplet au possible. Keepass lui le permet pleinement.

Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.

Si j’ai bien compris cette phrase, je partage une info utile: en général, quand un site propose le 2FA via une app, qu’il te propose(/impose) d’utiliser Google Authenticator, ou MS Authenticator, ou Authy, en fait tu peux toujours utiliser l’application de ton choix. C’est le même protocole entre les apps, et elles peuvent toutes scanner le QR Code fourni par le site en question.

J’utilise et recommande Authy qui se synchronise sur plusieurs appareils si on le souhaite (on peut bloquer la fonctionnalité), là où Google Auth ou MS Authenticator te laissent penser qu’une fois que tu as scanné ton QR Code, c’est fini, tu es obligé d’utiliser cette app sur ce téléphone

1 J'aime

De plus, Authy permet d’ajouter autant de compte que l’on veut (lorsque j’avais testé Google Auth, ce n’était pas le cas je crois). Testé depuis des années, excellent.

Sinon, Bitwarden pour les sites pas trop risqués, et Keepass comme coffre-fort « de la dernière chance » (sites bancaires et autres). C’est probablement le plus sécurisé, intelligent, paramétrable et … gratuit. Une aubaine !

Oui par plus simple, ce que je veux dire, c’est que si par exemple Clubic et Pornhub (c’est pour un ami) ne me laissent pas utiliser « azerty123 » comme mot de passe, ce que je peux comprendre, et que l’un me dit il faut 8 caractères et 1 majuscule, l’autre me dit il faut 10 caractères, 1 majuscule, 1 caractère spécial… ben je vais finir par mettre pour les 2 le mot de passe sécurisé que j’ai pour ma banque et qui correspond aux 2 critères.

C’est pas bien, mais c’est finalement la solution de simplicité car j’aurais qu’un seul mot de passe à retenir. Et c’est souvent la démarche pour l’utilisateur lambda parce que la majorité des gens n’a pas envie de se prendre la tête, même si on est d’accord, on devrait.

Alors qu’au final, me faire piquer mon compte Clubic, ça m’est égal, j’ai rien de valeur dessus, à titre totalement personnel, je pourrais mettre 1234 comme mot de passe (mais j’ai bien conscience que la sécurité d’un site va plus loin que mon unique besoin).

Mais ce que je veux dire par là, c’est qu’on est dans le cas de toute chose qui ne fonctionne pas, c’est que l’homme doit s’adapter à la machine et pas l’inverse ^^

Le pire dans tout ça c’est que des sites sans importance demandent minuscules, majuscules, chiffres, caractères spéciaux alors que la banque c’est uniquement des chiffres à cause du clavier virtuel.
Comme quoi un mot de passe complexe n’est pas nécessaire.

Ma phrase allait plutôt dans le sens ou ils ne proposaient souvent que l’usage d’une application pour le second facteur. Mais sinon oui, je savais que c’était la même chose.
Jamais essayé Authy, je suis allé sur celui de MS, mais faudrait que je l’essai.