Forum Clubic

Commentaires : Même dans les grandes entreprises du Fortune 500, le mot de passe le plus utilisé est "password"

Si les discours au sujet de la sécurité informatique se multiplient ces dernières années, il semblerait que cela n’ait finalement que très peu d’impact auprès des plus grosses sociétés.

Ce n’ est pas très surprenant…personne ne a envie de se palucher des mots de passe tordus avec des caractères spéciaux et des majuscules… Surtout au boulot ! Surtout que chaque appli ou site y va de ses critères,y a aucun mot de passe qu on ne peut caser partout. Il y a vraiment besoin de balayer ce truc archaïque qu est le mot de passe qui fait perdre du temps a tout le monde et de passer à autre chose de façon généralisée…empreintes, rétine…

1 J'aime

Au final les systèmes de gestionnaire marchent plutôt bien, mais y’a encore des points d’accrocs :

  • Certaines UI ne chargent pas le mot de passe enregistrés correctement
  • Si le service change de nom (donc de domaine) l’information n’est pas automatiquement répercutée…

Mais on peut pas dire que ça avance dans le mauvais sens, la sauvegarde est synchronisée entre les devices et même les 2FA modernes (empreinte ou device authentifiée par exemple) sont quand même vachement plus confortables que les méthodes SMS ou les emails en termes de temps d’accès et de confort d’utilisation.

En entreprise, j’avoue que la solution LDAP permet de rendre les choses quand même plus simples… Tu peux mettre un mot de passe complexe, tu le renouvelles régulièrement, mais t’en as qu’un à retenir sur tous les outils.
Le seul souci c’est de se rappeler ce qui est connecté à l’annuaire ou pas… et quand tu bosses avec plein d’outils en SaaS c’est parfois galère :slight_smile:

Bitwarden est top en gratuit et convient à la majorité des usagers.

Perso j’utilise mSecure (paiement unique, apps sur tous les OS).

empreintes, rétines, etc sont juste une lecture d’un facteur biometrique, préalablement enregistré afin de autoriser un gestionnaire de mot de passe faire les saisies à notre place (comme sur le téléphone, au final en arrière plan, c’est toujours un bon vieux mot de passe qui deverrouille, et que l’on est finalement content de pouvoir taper quand la lecture d’empreinte ne marche plus !).

Si le biometrique remplaçait directement tout, Imaginez : une empreinte ou rétine ne peut être changée, si une copie est réussie…usurpation à vie de vos comptes.

Tiens, ça fesait longtemps que je n’avais pas pu dire tout la mal des systèmes d’authentification basés sur le partage d’un secret.

Les systèmes que je tente de promouvoir, même s’ils ne reposent pas sur le partage d’un secret, ils reposent quand même sur un secret, donc s’il est possible de le deviner, ces systèmes d’authentification restent vulnérables.

Cependant ces systèmes sont robuste à une fuite de données du réseau ou des serveurs du vérificateur.

Il s’agit des authentifications par preuve nul de divulgation de connaissances.

Dans ces systèmes l’utilisateur enregistre une information qui découle du secret. Lors de l’authentification, le vérificateur propose un challenge à l’utilisateur qui va le convaincre qu’il connait le secret dont découle ce qu’il a enregistré.

Un exemple impraticable (impossible de mémoriser le secret et coûteux en calcul) serait d’utiliser un système de chiffrage asymétrique.
L’utilisateur dépose sa clef public à l’enregistrement auprès du vérificateur. A l’authentification, le vérificateur demande à l’utilisateur de déchiffrer un message aléatoire, chiffré avec la clé public de l’utilisateur. Comme l’utilisateur connait la clé de déchiffrage il pourra donner la bonne réponse.

Utilise Firefox et c’est gratuit, inclus avec çà marche sur tous les supports aussi.
On enregistre un compte Firefox au départ et tout est synchronisé partout, tout le temps
Pourquoi payer ou encore installer un truc en plus ?

J’utilises Firefox sur Win10, mais c’est moins performant que Safari sur iOS/iPadOS.

Est-ce que Firefox Lockwise va justement te proposer de remplir le login/mdp automatiquement comme Bitwarden et les autres? Je sais qu’avant il ne proposait pas non plus un générateur de mot de passe comme les autres.

Purée au lieu d’utiliser password ils pourraient utiliser motdepasse pour changer un peu quoi !

Zont vraiment pas d’imagination !

:grin:

Je ne connais pas « les autres » ni Bitwarden (encore plus inconnu que les autres)

Lockwise te propose des mots de passe complexes.

Je ne comprend pas comment Firefox pourrait être moins performant que Safari sur IOS/ipadOS puisque c’est le moteur Webkit de Safari qui est utilisé. Apple impose son moteur de rendu.
Il n’y a que les fonctions « Firefox » qui sont ajouté.
Perso je ne vois aucune différence. J’utilise les 2 sur mon iphone et ipad

  1. aaron431

C’est juste un exemple ? Ou vraiment ce mot de passe précis est ultra répandu ? Il y a un truc qui m’échappe là…

Pourrais-tu donner un exemple concret s’il te plaît ?

Merci

C’est techniquement possible mais le problème est: que faire quand tu es sur un terminal non équipé du lecteur biométrique adéquat? Empêcher la personne de se connecter?
Par ailleurs il y a le problème de où est stocké ton empreinte biométrique: Actuellement je peux me connecter à ma banque avec mon empreinte digitale sur mon téléphone, et avec un scan facial sur mon pc (windows hello). Mais ces deux empreintes ne sont pas stockées chez la banque, ni chez google et microsoft: Elles sont sur mon téléphone et mon ordinateur.
Si je devais utiliser ces empreintes biométriques obligatoirement, il faudrait qu’elles soient stockées ailleurs (chez la banque par exemple, pour qu’elle puisse vérifier que c’est bien moi quand j’ajoute un nouvel appareil)

Pour des mots de passes simple à retenir il suffit de faire des phrases de la vie de tout les jours. Ex. : « Fait_Chier_Ce_CoVid_19 » ^^

Ok je me lance.

Voici un système basé sur les chaînes de hash proposé par le Chercheur Leslie Lamport.

Tu choisis un secret, tu y accolles le nom du site et un numéro d’ordre, c’est à dire 1. Donc tu as qqc du genre « secret!clubic.com!1 ». Cette information n’ira jamais sur le réseau. C’est MP.

Avec une fonction de hash cryptographique, h(), par exemple sha256, tu calcules h(MP) = H1 ensuite tu calcules h(H1) = H2 et tu recommences jusqu’à avoir H500.

Sur le site tu enregistres H500 au moment de créer ton compte. Donc le serveur qui t’authentifie, ne sait rien de ton secret même en connaissant la convention pour former MP.

Maintenant, tu veux te connecter au serveur. Pour cela il te demande de prouver que tu connais MP en lui fournissant H499. Comme tu connais MP tu peux le recalculer et l’envoyer. Le serveur reçoit ta réponse R et calcule h® que tu viens de lui envoyer. S’il trouve H500, c’est que tu lui as envoyé H499 et donc que tu connais le secret. Donc il t’authentifie et enregistre H499. Et ainsi de suite à chaque authentification jusqu’à te demandé H1.

A ce moment il faut un nouveau MP par exemple en changeant le numéro d’ordre de 1 à 2 puis enregistrer le H500 du nouveau MP.

Voilà le principe.

1 J'aime