ADSL-BC

[Patchouli]

Salut,

Bien souvent, je lis des articles affirmant qu'il faut avoir des mots de passe les plus complexes possibles (logique) et que, pour les retenir, il est recommandé d'utiliser lastpass ou autre du même genre.

Ne trouvez-vous pas qu'il est dangereux de mettre tout ses codes dans le même panier?

[EFEL]

Cela me paraît évident.

[M512]

Mais quelle est l'alternative ? Avoir 40 mots de passe complexes, distincts ET faciles à retenir ?

Une autre approche est d'utiliser un token (très fréquent dans les entreprises et l'accès aux pc banking). Google Authenticator (pour Google 2-step authentication) est très pratique aussi et empêche un inconnu d'accéder au compte même s'il connait le mot de passe, mais cela reste l'exception.

Quelques conseils de Bruce Schneier : https://www.schneier.com/blog/archives/ ... dvice.html

[snakeseater]

Moi j'utilise Keepass, je ne connais même pas mon mot de passe facebook par exemple, mais celui-ci fait 20 caractères (majuscules, minuscules et lettres mélangées). Je mémorise un seul mot de passe ( celui-ci encore plus corsé avec en plus des caractères spéciaux) et un petit pluggin pour mon navigateur et je me connecte aux sites automatiquement que le programme est ouvert.


Le problème aussi de beaucoup de gens actuellement c'est qu'ils sont abonnés sur pleins de sites, mais TOUJOURS avec le même mot de passe et souvent avec des mot de passe trop simples comme le nom de leur chien, marque de voiture préférée, date de naissance..

[ben57]

Dans les conseils référencés plus haut je trouve celui concernant le changement fréguent de mot de passe dangereux. Je m'occupe de la sécurité de l'information dans une entreprise et cette mesure fait débat chaque année quand il s'agit de mettre à jour notre password policy. Si on la couple avec l'interdiction d'utiliser les 8 derniers mots de passes c'est un enfer

Les mots de passes doivent être fort et donc sont relativement complexe à retenir. Un changement trop régulier de mot de passe favorise à mon avis l'écriture sur post-it. En plus, pour éviter un effort de mémorisation trop intense les utilisatuers risquent de faire des changements trop mineur.

Par exemple, si le mot de passe est toto1 ( cest pour l'exemple) il deviendra toto2 puis toto4 .... Qu'est ce que ça apporte au niveau sécurité ?

Je ne dis pas qu'il faut rester 10 ans avec les même mots de passe mais une durée d'un an voir un peu plus, s'il est suffisamment fort, s'il est utilisé dans un environnement sain ( ordi sans virus, sans keylogger ) me parait raisonnable.

En tout cas on a tendance à faire de moins en moins confiance au mot de passe et se tourner vers des solutions d'authentification à double facteur ( Token, SMS) ce qui du coup permet de faire un peu plus confiance à ces gestionnaires de mot de passe

[Dindon]

Moi j'utilise Keepass, je ne connais même pas mon mot de passe facebook par exemple, mais celui-ci fait 20 caractères (majuscules, minuscules et lettres mélangées). Je mémorise un seul mot de passe ( celui-ci encore plus corsé avec en plus des caractères spéciaux) et un petit pluggin pour mon navigateur et je me connecte aux sites automatiquement que le programme est ouvert.


Le problème aussi de beaucoup de gens actuellement c'est qu'ils sont abonnés sur pleins de sites, mais TOUJOURS avec le même mot de passe et souvent avec des mot de passe trop simples comme le nom de leur chien, marque de voiture préférée, date de naissance..

J'utilise aussi Keepass. très pratique.
Tu utilises quoi comme plugin pour l'ouverture auto des sites?
J'ai bien essayé avec ce qui est déjà prévu dans keepass, mais bien souvent, ça ne fonctionne pas.

[pascuol]

Dans les conseils référencés plus haut je trouve celui concernant le changement fréguent de mot de passe dangereux. Je m'occupe de la sécurité de l'information dans une entreprise et cette mesure fait débat chaque année quand il s'agit de mettre à jour notre password policy. Si on la couple avec l'interdiction d'utiliser les 8 derniers mots de passes c'est un enfer

Les mots de passes doivent être fort et donc sont relativement complexe à retenir. Un changement trop régulier de mot de passe favorise à mon avis l'écriture sur post-it. En plus, pour éviter un effort de mémorisation trop intense les utilisatuers risquent de faire des changements trop mineur.

Par exemple, si le mot de passe est toto1 ( cest pour l'exemple) il deviendra toto2 puis toto4 .... Qu'est ce que ça apporte au niveau sécurité ?

Je ne dis pas qu'il faut rester 10 ans avec les même mots de passe mais une durée d'un an voir un peu plus, s'il est suffisamment fort, s'il est utilisé dans un environnement sain ( ordi sans virus, sans keylogger ) me parait raisonnable.

En tout cas on a tendance à faire de moins en moins confiance au mot de passe et se tourner vers des solutions d'authentification à double facteur ( Token, SMS) ce qui du coup permet de faire un peu plus confiance à ces gestionnaires de mot de passe

clairement les politiques de mot de passe en entreprise sont très souvent exagérées..
En général, on est dans un réseau interne, protégé par de gros parfeu, avec des collègues connus, un sécurité physique à l'entrée (portique avec badge, garde, etc..) et il faut changer de mot de passe tous les mois, pas dans les 5 à 10 derniers, avoir au moins une minuscule, une MAJUSCULE, un chiffre et un caracteres speciale..
Faudrait arreter la paranoia un jour.. ou mettre des systeme moins lourds pour l'utilisateur..

par contre ta carte de banque tu ne peux mettre qu'un code pin de 4 chiffres..

Franchement en 2013, je ne comprends pas pourquoi il n'existe pas des solutions standards du style CI + PIN, fingerprint + PIN, badge RFID + PIN, voir au pire une donnée biométric (qqch que tu ne peux pas preter) + une donnée mémorisée (qqch que seul toi connais) + un badge d'authentification (qqch de physique qui peut contenir une clé complexe pour le cryptage, propre a une entreprise, difficilement copiable).

[Pierre.]

clairement les politiques de mot de passe en entreprise sont très souvent exagérées..
En général, on est dans un réseau interne, protégé par de gros parfeu, avec des collègues connus, un sécurité physique à l'entrée (portique avec badge, garde, etc..) et il faut changer de mot de passe tous les mois, pas dans les 5 à 10 derniers, avoir au moins une minuscule, une MAJUSCULE, un chiffre et un caracteres speciale..
Faudrait arreter la paranoia un jour.. ou mettre des systeme moins lourds pour l'utilisateur..

par contre ta carte de banque tu ne peux mettre qu'un code pin de 4 chiffres..

Franchement en 2013, je ne comprends pas pourquoi il n'existe pas des solutions standards du style CI + PIN, fingerprint + PIN, badge RFID + PIN, voir au pire une donnée biométric (qqch que tu ne peux pas preter) + une donnée mémorisée (qqch que seul toi connais) + un badge d'authentification (qqch de physique qui peut contenir une clé complexe pour le cryptage, propre a une entreprise, difficilement copiable).

Je ne suis pas du tout d'accord; la protection du réseau interne d'une entreprise est quelque chose qu'il ne faut absolument pas négliger. La plupart des données dérobées aux entreprises ne sont pas du fait de hackers qui pénètrent de réseau d'une société mais plutôt du faits d'employés peux scrupuleux, négligeant ou abusés.

Obliger les utilisateurs à choisir un mot de passe relativement fort et le faire expirer un mot de passe tous les 3 mois en interdisant de répéter les 4 ou 5 derniers mots de passe ou les mots de passe trop similaires ne me semble pas être quelque chose d'insurmontable. C'est vrai que c'est pas très user friendly et que ca reste bien plus vulnérable qu'un système à double authentication mais modifier une policy reste bon marché pour l'entreprise comparé aux solutions que tu proposes et pas forcément contraignant.

Les données biométriques, c'est bien mais c'est hyper réglementé, une entreprise ne peut pas ca comme elle veut. Pas mal d'utilisateurs seront réticents à cette solution et le coût est assez élevé.

Le badge c'est bien mais on peut le perdre et l'oublier. Souvent il faut l'insérer dans une machine pour pouvoir se logger et si tu utilises plusieurs machines, c'est pas de bol... Et pour les machines virtuelles c'est pas forcément la meilleure solution... bref là aussi ca coûte cher...

Dans tout les cas, il y aura des machines qui ne seront pas équipées de lecteur (biometrique, badge, ...) et donc il faudra gérer des exceptions.

De plus toutes ces mesures ne dispensent nullement un mot de passe fort. Les identifications en 2 étapes sont bien entendu beaucoup plus sécurisantes mais elles ne sont pas plus user friendly et pas forcément super adaptées pour un employé qui veut se connecter à son poste de travail au sein de son entreprise.

[max]

j'utilise cette technique, quand le champs de mot de passe n'est pas limité en nombre de caractère. Sinon les id en deux étapes quand elles sont disponibles.

http://xkcd.com/936/

[Bingo]

J'utilise aussi Keepass. très pratique.
Tu utilises quoi comme plugin pour l'ouverture auto des sites?
J'ai bien essayé avec ce qui est déjà prévu dans keepass, mais bien souvent, ça ne fonctionne pas.

Idem. Je vois qu'il y plusieurs plugins, mais je ne sais pas lequel choisir. J'ai essayé lastapss, mais sa méthode de reconnaissance des URL est vraiment nulle.

[snakeseater]

J'utilise aussi Keepass. très pratique.
Tu utilises quoi comme plugin pour l'ouverture auto des sites?
J'ai bien essayé avec ce qui est déjà prévu dans keepass, mais bien souvent, ça ne fonctionne pas.

Idem. Je vois qu'il y plusieurs plugins, mais je ne sais pas lequel choisir. J'ai essayé lastapss, mais sa méthode de reconnaissance des URL est vraiment nulle.

Personnellement j'utilise le plugin Keefox. Je n'en ai pas tester d'autres a vrai dire.

[Bingo]

J'ai testé Keefox, ça marche plutôt bien. Merci !

[Dindon]

Je vais tester ça aussi. Mais il fait l'inverse, il va chercher les passwords dans keepsas.
Je cherchais plutôt à lancer un site via le keepass avec autocompletation dans le site.
En fait y'a méthode avec kérosène est encore mieux.
Après bien sur, ça ne gère que Firefox. Si je veux lancer une appli avec le Login et pass, j'aimerais utiliser l'url que je renseigne dans le keepass aussi.
Je l'ai vu fonctionné nickel, mais ce n'était pas le mien et je ne sais pas exactement comment il faisait.

[Bingo]

Je cherchais plutôt à lancer un site via le keepass avec autocompletation dans le site.

Chez moi ça fait ça "de base". Soit je clique sur l'URL dans Keepass, soit je fais Ctrl+U. Dans les deux cas le site s'ouvre et je suis logué.
L'avantage avec Keefox c'est que les champs sont remplis via l'API de Firefox et pas en simulant des appuis de touches, ce qui évite le risque d'envoyer par erreur son login/pass dans un formulaire qui n'a rien à voir.

[Dindon]

Je cherchais plutôt à lancer un site via le keepass avec autocompletation dans le site.

Chez moi ça fait ça "de base". Soit je clique sur l'URL dans Keepass, soit je fais Ctrl+U. Dans les deux cas le site s'ouvre et je suis logué.
L'avantage avec Keefox c'est que les champs sont remplis via l'API de Firefox et pas en simulant des appuis de touches, ce qui évite le risque d'envoyer par erreur son login/pass dans un formulaire qui n'a rien à voir.

Moi aussi, mais ça ne fonctionne pas pour tous les site semble-t-il

[n1ck0]

Salut,

Bien souvent, je lis des articles affirmant qu'il faut avoir des mots de passe les plus complexes possibles (logique) et que, pour les retenir, il est recommandé d'utiliser lastpass ou autre du même genre.

Ne trouvez-vous pas qu'il est dangereux de mettre tout ses codes dans le même panier?

à part si tu utilises un gestionnaire attrape nigaud qui utilise un chiffrage reconnu mais obsolète ou maison comme certains en font...ou que tu as un keylogger sur ta machine c'est tout à fait sécioure.

[Jupilerman]

Moi j'utilise un bête fichier texte dans une archive cryptée.
1 seul mot de passe (à 36 caractères) à retenir pour ouvrir l'archive et un bête copier collé des mdp vers le login dans le navigateur.
Ça prend un peu de temps mais c'est plus simple et plus sécurisant qu'un logiciel dont je ne connais ni l'auteur ni les intentions.

[Dindon]

Je pense que keepass , 1password, sont assez connu, on peut faire confiance.

[homer.s]

J'ai testé Keefox, ça marche plutôt bien. Merci !

Je connaissais pas, mais très utile.

Merci

[Dindon]

J'ai testé Keefox, ça marche plutôt bien. Merci !

Je connaissais pas, mais très utile.

Merci

Il va chercher les infos dans ton keepass? Il a fallu renseigner le mot de passe Keepass dans l'extension Keefox je suppose?