Comme chaque année, le Password Day a pour but de sensibiliser les internautes sur l’importance de bien choisir leurs mots de passe et sur la protection de leurs comptes. Depuis la création de l’événement par Intel en 2013, les pratiques en la matière ont bien changé : démocratisation des gestionnaires dédiés, authentification multi-facteurs… Cependant, des défis restent toujours présents. Petit tour d’horizon des problématiques qui concernent l’authentification en 2022 et des solutions à disposition.
J’ai testé une tonne de gestionnaires de mots de passe, pour moi le meilleur rapport qualité/features/prix/sécurité est pour Bitwarden.
La version gratuite est largement suffisante pour 99% du publique. Perso je paie (10€/an), mais c’est plus pour supporter le projet que pour les features.
L’appli est dispo sur le web, sur mac, windiws, linux, ios, android, et même en ligne de commande.
Absolument … Bitwarden ou KeepassXC
Idem, bitwarden est même dispo en conteneur docker, je l ai installé en version gratuite sur mon nas !
+1.
Et une bonne raison de payer, outre le fait que c’est vraiment pas cher pour supporter le développement, c’est qu’avec la version payant il y a un générateur TOTP pour gérer l’authentification à deux facteurs, ce qui est un gros plus, et la possibilité d’utiliser une clé physique pour sécuriser l’accès à Bitwarden.
Que se passe t’il si le gestionnaire disposait d’une backdoor ?
Tous les mots de passe qu’il stocke seraient compromis.
D’où l’intérêt d’utiliser un gestionnaire open source, comme Bitwarden. Il y a suffisamment de gens qui sont allés regarder le code pour qu’on puisse être assez rassuré sur le risque d’existence d’une backdoor.
Keepass pour moi.
Keepass qui avait d’ailleurs été audité par l’ANSSI en version 2.10 portable.
Si jamais, je doit passer sur un truc « connecté », ce serait sur Bitwarden, mais auto-hébergé.
Hors de question pour moi de stocker des mots de passe sur une machine distante.
Cela fait quelques années que je suis sur Dashlane et j’en suis très satisfait.
Il me semble me rappeler que lorsque je l’ai pris, ils m’avaient dit qu’ils ne stockaient pas mes mots de passes. Donc pas intérêt à oublier le mot de passe maître.
Ils les stockent bien. C’est pour ça que tu y as accès de n’importe où en te connectant à ton compte Dashlane.
Mais effectivement, c’est en théorie presque comme s’ils ne les stockaient pas : ils sont stockés chiffrés et à aucun moment la clé de chiffrement (qui est dérivée du mot de passe maître, ou aléatoire et conservée chiffrée avec une clé secondaire dérivée du mot de passe maître) ne transite sur leurs serveurs, donc en théorie ils n’ont absolument aucun moyen d’accéder à tes mots de passe. C’est ce qu’on appelle le « zero-knowledge ».
Les principaux risques par rapport à un stockage 100% local comme avec Keepass ou un Bitwarden auto-hébergé, c’est s’il y a une faille ou une backdoor dans l’algorithme de chiffrement utilisé ou si quelqu’un vole les données chiffrées et parvient à faire un brute-force sur le mot de passe maître (donc il faut un mot de passe maître suffisamment costaud pour ça, faut pas se reposer sur le fait qu’au niveau de l’accès au service ils ont une protection anti brute-force).
Faut surtout que les sites sachent être humbles. Trop de sites peu importants se prennent pour plus importants que des banques.
La complexité du mot de passe exigé doit correspondent au niveau d’importance des infos stockées. Il faut interdire d’exiger des mots de passe complexe s’il n’y a pas d’infos bancaires.
A condition de compiler sois même les sources