Sécurité, Gestionnaire de mot de passe

Bonjour,

J’utilise bitwarden, j’ai exporté tous mes mots de passe de Google et je les ai réinjectés dans bitwarden, je me suis inscrit sur une centaine de sites et donc dans mon gestionnaire il y a une centaine de mots de passe, la plupart comporte le mot de passe 1 2 3 4, je veux dire quelque chose aussi inconscient, et donc j’ai environ 70 mots de passe krakable en une seconde à changer, j’ai demandé habituellement si je peux le faire en une seule étape, en activant une option, plutôt que d’avoir à faire environ 300 clique pour que l’application me génère environ 70 nouveaux mot de passe pour mes 70 sites enregistrer dans bitwarden et qui ont tous un mot de passe flingué

Mais ils m’ont dit qu’ils ne dispose pas de cette option, en clair ce sont des supers développeurs jusqu’à un certain niveau seulement,

(je suis un sale gosse de riche élevé dans l’opulence et je suis habitué à ce que tout soit gratuit donc forcément quand j’ai sous la main un super logiciel gratuit et que les développeurs me disent ne sais pas faire ça me frustre)

Et je me dis c’est quand même bizarre que des supers développeurs qui peuvent faire un logiciel sécurisé non pas pensé à cette option, qu’est-ce que vous en pensez ?

Bref est-ce que vous connaissez un logiciel de gestion de mot de passe mieux qui pourrait me faire ça ?

Ou est-ce que vous pourriez me proposer une méthode, option, qui pourrait m’éviter des clics dans tous les sens et de perdre une heure à changer mes mots de passe ?

Merci

Cyril

Hello,

Changer tous les mots de passe, genre sur les sites concernés et pas uniquement dans l’application ?

Aucune application ne fait ça pour la simple raison que les développeurs, ces feignasses, n’ont pas codés d’API - enfin le truc pour mettre à jour le mot de passe - sur les sites sur lesquels tu te connectes.
C’est d’ailleurs pour ça que pas mal propose une connexion via Facebook, Google, etc…

Si Bitwarden (ou autre, comme Keypass) doivent implémenter ce genre de fonctionnalité, c’est possible mais c’est hyper spécifique à chaque plateforme : tu n’as qu’à tester de changer tes mots de passe sur tes différents comptes pour t’en rendre compte.

+1, permette de le faire sur quasiment n’importe quel site, c’est mission impossible.

LastPass propose la possibilité de le faire, mais c’est limité à une poignée de services très populaires, et comme même sur ces services, y a rarement une API propre pour le faire, ça casse souvent parce que le service modifie un peu la façon de faire. Et ça n’est disponible que dans la version premium.

Pas uniquement dans l’application ? Si je parle de uniquement dans l’application, on a du mal se comprendre étant donné que ce que je disais c’est que j’ai exporter tous mes mots de passe de Google pour les transporter dans bitwarden

Oui c’est un peu la réponse que j’attendais, je veux dire oui je me doutais que c’était possible en payant

Mais tu me dis que même si je paye ce n’est pas forcément gagné, ça ne marche pas si bien que ça ?

bonjour et merci de vos réponses,

Évidemment tel un naïf et un peu neuneu j’avais tendance à mettre le même mot de passe partout sauf sur les sites vraiment important, bref il y a quelques mots de passe que j’ai changé sur des sites sensibles
Mais il y a beaucoup de de sites qui sont enregistrés dans bitwarden et qui ont les mêmes mots de passe

Pour les utilisateurs de bitwarden,
Est-ce qu’il n’y a pas une option : un un clic pour repérer tous les mots de passe qui ont fuité et que je dois changer ?

Je veux dire avec ce logiciel en face de chaque ligne (correspondant au site sur lesquels je suis enregistré) il y a un bouton qui me permet de savoir si le mot de passe a fuité ou pas,
Et je voulais donc savoir si il y a un moyen pour que bitwarden me disent en un seul coup quels sont les mots de passe qui ont fêté et donc quels sont ceux que je dois changer ?
(Est-ce qu’il y a une option pour savoir en un clic ? Je veux dire pour me parler 70 clic étant donné qu’il y a 70 mot de passe enregistré dans le logiciel ou application, je ne sais pas comment il faut dire)

Et enfin je voulais vous parler de l’open source ?
Bitwarden est open source donc est-ce que c’est mieux ?
Est-ce qu’il est donc mieux que les autres ?
Est-ce qu’il est donc plus sécurisé ?

C’est ça. Même en payant, la fonctionnalité reste limitée à quelques sites et services connus, et peut facilement être « cassée » lorsqu’un service fait évoluer son interface.

Parce qu’il n’y a pas de norme prévue pour ça, sur la plupart des sites et service, le seul moyen pour le gestionnaire de mot de passe de changer le mot de passe, c’est de simuler la séquence d’actions utilisateur nécessaire pour accéder au formulaire de changement de mot de passe et effectuer le changement (et sur certains sites ce n’est même pas possible de le simuler, par exemple parce qu’ils envoient un lien ou un code par mail ou SMS pour valider le changement).

Oui, sur la version « web » du coffre fort.

rapport-bitwarden992×496 27.9 KB

L’avantage de l’open-source pour un logiciel lié à la sécurité, c’est que le code peut être audité par de nombreux intervenants externes et totalement indépendants des développeurs, ce qui minimise le risque de failles et de backdoor.

D’un autre côté, l’inconvénient c’est que ça peut aussi aider un malveillant à trouver des failles… Mais on peut quand même se dire que si un malfaisant trouve une faille, y a de bonnes chances qu’un bienveillant la trouve aussi et la signale pour la faire corriger (et là encore, le fait que quiconque puisse vérifier le correctif, ça aide à garantir qu’il corrige vraiment la faille, sans en introduire de nouvelle).

Et bien pour commencer merci beaucoup de ces réponses très détaillées

J’avais écrit pour leur demander s’il y a un moyen de changer et renouveler automatiquement les mots de passe ils m’ont dit que non,
Donc j’ai pensé que si ça existait sur leur version payante il me l’aurait dit, mais j’ai tout de même posé la question ici car je voulais savoir ce que vous en pensiez et surtout si ça existe sur un autre logiciel

Et sinon qu’est-ce que tu penses de authy?

Il y a des réfractaires au gestionnaire de mot de passe mais un gestionnaire de mot de passe couplé à une double authentification ça devrait le faire ?

Est-ce qu’on peut ajouter une sécurité à cette combinaison ?

Merci du screenshot, pour être sûr de te comprendre, la version web c’est la version en ligne , pas l’appli que tu installes sur le PC ni Android ?
Pas moyen de le faire partir de là, les app?

Et enfin en ce qui concerne l’open source, tout d’abord merci de m’avoir répondu et ensuite en conclusion tu serais plutôt pour ou contre ?

Merci Cyril

Attention, je parle de Last Pass là, dans Bitwarden la fonctionnalité n’existe pas du tout, même dans la version payante.

Sur le principe, je suis 100% favorable à ça. J’active la double authentification dès que c’est possible, et le TOTP est la solution la plus simple et universelle pour ça.

Après, je connais pas Authy en particulier. Pour ma part, j’utilise WinAuth sur mon PC et Free OTP sur mon smartphone, en plus de Bitwarden. J’envisage de migrer de Free OTP à Aegis sur le smartphone, parce qu’il a une fonction de backup, contrairement à Free OTP qui doit être entièrement reconfiguré en cas de changement de smartphone.

Ajouter, généralement non. Par contre tu as parfois des alternatives au TOTP pour le second facteur. Par exemple certains services permettent d’utiliser une clé physique U2F, ce qui est plus sûr que le TOTP.

Oui, la version web c’est la version en ligne.

Ce n’est pas possible directement depuis les applications Android ou Windows (et probablement pas non plus Mac et Linux) ou les extensions de navigateurs, mais elles ont toute dans leur menu un lien vers la version web.

Plutôt pour. J’ai tendance de manière générale à privilégier l’open source, sauf quand vraiment l’ergonomie ou les fonctionnalités sont en retrait par rapport à ce qui se fait en closed source.

Bonjour,

Je voudrais vous poser deux nouvelles questions pour bitwarden,

Pour commencer je voulais vous demander quelque chose en ce qui concerne le changement de mot de passe,

Est-ce que le seul moyen est de passer par le site sur lequel je veux changer le mot de passe ou est-ce que je peux le faire directement par bitwarden ? (Ce qui me ferait gagner beaucoup de temps)

J’ai exporté tous mes mots de passe là où ils étaient enregistrés dans chrome puis je les ai emportés dans le gestionnaire,

Et nombreux sont les sites qui sont enregistrés plusieurs fois avec la même adresse email et je pense les mêmes mots de passe,

Bref que les mots de passe soit les mêmes ou différents ça ne change pas grand-chose au problème, le problème est donc tu décides sont enregistrés plusieurs fois avec les mêmes adresse email, et je voudrais donc supprimer ces comptes en double,

Mais je ne vois pas de petites croix ou d’autres options pour supprimer ses comptes en double, est-ce que le seul moyen est de faire une exportation par Excel et de les supprimer sur cette feuille Excel puis de la réimporter dans le gestionnaire ?

Comme je le disais précédemment c’est moi qui avait honteusement enregistré et les mots de passe dans Chrome puis je les ai exportés puis importer ton histoire donne donc il est fort probable que ce « problème » de compte en double viennent de moi

En ce qui concerne les mots de passe que je n’ai pas encore changé et qui sont très très bateau,

Je veux dire comme un vrai neuneu inconscient, il y a plein de sites sur lesquels j’ai j’ai inscrit les mots de passe les plus bateaux du monde genre 1 2 3 4 5 6,

J’avais pensé que ce qui est primordial c’est de changer en premier lieu les mots de passe sur les sites censibles sur lesquels je suis inscrit mais je me demandais si il est nécessaire et surtout important de faire également le changement sur des sites insignifiants ?

Oui.

Dans le coffre Bitwarden, si tu cliques sur un élément en double pour l’ouvrir, tu auras en bas un bouton « Supprimer l’élément ».

À ce niveau, c’est toi qui voit. Si tu estimes que c’est pas gênant que quelqu’un se connecte à ton compte sur un site particulier, tu n’as pas besoin de mettre un mot de passe fort sur ce compte.

Bonjour.
Vous pouvez utiliser des logiciels alternatifs de gestion de mots de passe comme NordPass, KeePass, Dashlane.

Pourquoi est-ce qu’ils ont des fonctions meilleures que celle de bitwarden ?

Bonjour je viens de lire cet article, donc le chiffrement c’est pas la clef de l’anti piratage ?

Justement, les mots de passe stockés dans LastPass n’ont pas été piratés, car ils sont chiffrés.

Ceux dont le mot de passe maître LastPass est suffisamment fort peuvent dormir sur leurs deux oreilles, leurs bases de mots de passe ne seront pas décryptées de si tôt.

Ok j’ai lu trop rapidement et donc je n’avais pas bien compris, je croyais que last pass c’était fait hacker,
Donc qu’est-ce qu’ils disent dans leur article ?
Ils ont fait un article pour dire que les mots de passe que l’on stock dans leur coffre sont chiffrés ? Mais ça on le savait déjà ?

Et puis de toute façon le principe d’un coffre-fort numérique comme last pass et de chiffrer les mots de passe

Donc est-ce que tu peux m’expliquer ce qu’ils disent dans leur article

Merci

Les serveurs de LastPass ont bien été hackés.

Les pirates ont pu récupérer certaines données en clair, mais pas les bases de mots de passe des utilisateurs, qu’ils ont pu récupérer en version chiffrée (et ça c’est la nouvelle information, dans le précédent communique de LastPass sur ce hack, ils avaient dit ne pas avoir de preuve que les bases de mots de passe chiffrées ont été récupérées).

Ils peuvent maintenant tenter des bruteforce pour casser le chiffrement de ces bases de mot de passe, mais :

• ce brute force ne peut se faire qu’individuellement sur chaque base,
• ce brute force n’est à ce jour clairement pas économiquement viable contre quiconque a un mot de passe maître LastPass avec un minimum de complexité (je ne sais pas quelle est la complexité minimale autorisée par LastPass, s’il y en a une, mais s’il y en a une, elle est sans aucun doute largement supérieure au seuil de viabilité économique du brute force).

Mon poste initial concernait bitwarden et maintenant je voudrais vous poser une seconde question en ce qui concerne authy ou plus exactement l’export de mes 2fa d’un appareil à un autre (de Windows à Android)

Donc dans les tutos les youtubeurs disent que la double authentification ne peut pas être synchronisé sur plusieurs appareils comme bitwarden, est-ce exact ?
Et ensuite ils disent que si je veux mettre mes 2fa sur deux appareils je dois faire l’exportation ou plus exactement exporter les 2FA qui sont sur mon ordinateur puis les importer dans mon second appareil

Dans mon exemple je n’ai que un seul 2fa sur Authy qui est sur mon ordinateur Windows,
Maintenant je voudrais installer authy sur ma tablette Android mais le souci c’est que si j’installe authy sur ma tablette alors je n’aurais pas le seul 2fa que j’ai installé sur le authy qui est sur mon ordinateur Windows (et c’est logique étant donné que il n’y a pas de mot de passe maître comme sur un gestionnaire de mot de passe)

Alors plutôt que d’exporter mon 2fa de mon ordinateur Windows pour l’importer sur authy que j’aurais installé sur ma tablette Android,
Je peux tout simplement demander à ma banque un second 2fa et j’installerai celui-ci sur ma tablette Windows ?

Est-ce que je me fais comprendre ?
Dis-moi si ça serait plus clair pour toi que je t’envoie un message vocal ?

De manière générale, rien n’interdit techniquement de synchroniser la 2FA entre plusieurs appareils, mais effectivement beaucoup d’applications 2FA ne le permettent pas

Bitwarden le fait très bien quand cette fonctionnalité est disponible (donc en version payante).

Authy à l’air de le faire aussi : Multiple Devices - Authy

L’absence de mot de passe maître n’empêche pas forcément la synchronisation, elle peut être authentifiée par d’autres moyens.

En règle générale, non. La plupart des services ne permettent plusieurs 2FA que s’ils sont de technologie différente (par un exemple un 2FA par clé physique, un autre par TOTP), il ne me semble pas en avoir rencontré qui proposent d’avoir deux TOTP à la fois.

Oui j’ai donc commencer à installer Authy sur Windows et sur celui-ci j’ai installé le 2fa de ma banque, puis j’ai installé authy sur ma tablette Android
Et je me connecte avec la même adresse email et donc le même ID mais je ne vois pas mon 2fa de ma banque,
Donc tu me dis que c’est normal ?
Mais je ne comprends pas pourquoi authy me demande d’ouvrir un compte et lorsque j’utilise ce même compte sur deux appareils différents je ne retrouve pas les 2fa,
Je me demande donc pourquoi est-ce que authy me demande d’ouvrir un compte ? Quel est l’intérêt

Ah non j’ai bitwarden en gratuit, j’ai installé l’application sur ma tablette Android et mon ordinateur Windows et bitwarden est bien synchroniser

Non j’ai dit une bêtise, j’avais oublié que authy m’avait demandé de créer un compte (avec un mot de passe maître), en revanche je ne comprends pas ce que tu veux dire

Est-ce que tu peux m’expliquer ce que tu veux dire, c’est quoi top?
Et aussi qu’est-ce que tu veux dire par technologie différente ? Est-ce que tu parles de Windows et Android ? Ça ce sont de technologie différente ? Et donc tu veux dire que parce que c’est Windows et Android je ne peux pas avoir mon 2fa synchroniser sur Windows et Android, par contre ça marcherait si j’avais deux Windows ?