Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La gestion des mots de passe pour accéder au Web,
Un tutoriel de Tanaka59

Le , par chrtophe

0PARTAGES

9  2 
Bonsoir,

Je vous présente un tutoriel de Tanaka59 sur :



Celui-ci vous présentera les différentes méthodes d'authentification disponibles.

Qu’en pensez-vous ?
Selon vous, y a-t-il une solution meilleure que d’autres ?
Que pensez-vous des substituts au mot de passe traditionnel ?
Quelle solution voyez-vous dans le futur ?

Bonne lecture

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Aesahetr
Membre à l'essai https://www.developpez.com
Le 16/09/2019 à 9:34
Quelques mélanges entre crypter et chiffrer. Crypter ne veut rien dire en français dans un contexte sécurité/chiffrement.
Plus de détails là : https://chiffrer.info/

Les erreurs relevées :
"Le tout crypté est chiffré sur le poste utilisateur."
"il faudra crypter et chiffrer "
"tout en cryptant et chiffrant"
"dans un fichier crypté et chiffré"

+ quelques fautes de français.

Le tuto est sympas et fait un premier tour intéressant sur la gestion des mots de passe.
Attention cependant avec la transformation des lettres en chiffre/symbole à la p@ssw0rd.
Si on est capable de faire ce changement, les pirates aussi. Leurs dictionnaires sont remplis des mots et leurs différentes transformations.
Ça ne les ralentira pas plus que ça.
3  0 
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 16/09/2019 à 20:46
Tout d'abord, il me semble intéressant de noter que les mots de passe ne servent pas que pour les accès WEB.
Certes, mais l'article est orienté vers les mots de passe Web comme le précise son titre.

§2.1, il est écrit: Ici le logiciel gère une sorte de base de données locale des mots de passe de l’utilisateur. Le tout crypté est chiffré sur le poste utilisateur.

Ce qui est faux pour la grande majorité des utilisateurs (pas de "master password", les mots de passe sont dans ce cas sauvegardé en clair… il suffit d'aller dans les préférences pour le voir (bouton "afficher les mots de passe"
Ça c'est le choix de l'utilisateur, si il ne met pas de mot de passe, la base est en clair. C'est sûr qu'un utilisateur de base va pas le savoir, la plupart ne savent même pas accéder aux mots de passe enregistrés. Sur Chrome, je crois que c'est lié au compte utilisateur, on n'y accède pas aussi simplement qu'avec Firefox en recopiant le profil (là je parle sans mot de passe maitre) Reste à voir ensuite la solidité de la base cryptée de cette base.

Pour la carte à puce, elle est utilisée assez récemment avec les ordis, mais de toute façon la carte à puce est d'une fiabilité relative.

le trafic d’onde « RFID » peut être écouté Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…).
Cela n’empêchera pas les recopies de carte, les fraudes dans ce cas seront surtout au niveau bancaire. (paiement sans contact notamment).
13.56Mz ça semble être 1m.

Je n'aimes pas les gestionnaires de mots passe externes, car si compromis, c'est tous les mots de passe qui le sont. Ça déporte la responsabilité à un tiers. Ca peut être un avantage ou un inconvénient. L'article présente justement un cas avéré de piratage d'un gestionnaire de mot de passe.

L'authentification à deux facteurs permet une meilleure sécurité, peut être problématique en cas de perte ou vol du téléphone par exemple (ou tout simplement plus de batterie). Ça reste un bon compromis et relativement simple à mettre en place.

Quant à l'authentification biométrique, je me rappelle d'un disque devenu inaccessible car ne reconnaissant pas l'empreinte (mais c'était au début de ceux-ci et je garanti pas que l'utilisateur est fait consciencieusement le relevé d'empreintes), par contre ça peut éviter de saisir le mot de passe comme sur les iphones, il reste possible de saisir le mot de passe.

J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.

Pour conclure, je trouve cet article médiocre pour ne pas dire très mauvais!
Tenez compte du fait qu'il est tout public.

Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ?
Tu ne saisis pas ton mot de passe, vu que c'est le gestionnaire qui l'affiche, donc il ne sera pas récupérable par keylogger, ce qui n'empechera pas celui-ci de récupérer d'autres trucs.
3  0 
Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 17/09/2019 à 19:32
Citation Envoyé par bcag2 Voir le message
Connaissez-vous la portée de lecture de la RFID 13,56Mhz (la plus utilisée dans le grand public à part les télépéages), il faut souvent effleurer le lecteur (portée de quelques millimètres…). Avoir une portée de plusieurs centimètres nécessite des lecteurs bien plus gros (par exemple carré de 8cm ×8cm !)
Vous seriez surpris de ce que peux contenir un "backpack" d'un agent de police en civil... comme un lecteur de pass Navigo par exemple. La portée ne dépend pas que de la fréquence, ça dépend avant tout de la puissance du signal, et la puissance admissible du récepteur (avant de cramer).

Citation Envoyé par tanaka59 Voir le message
Tiens justement on reparle de LastPass : https://www.developpez.net/forums/d2.../#post11134761 ... Preuve est que les gestionnaires de mots de passes sont des vraies passoires en terme de sécurité
Comme je le précise dans l'article, les gestionnaires de mdp "libres" sont nettement moins sujets à ces problèmes. De même que la presque totalité des solutions libres qui ont une forte activité /sollicitation (comparativement aux concurrents propriétaires).
Le principaux atouts du gestionnaire, c'est de :
1) pouvoir les stocker de manière plus fiable que le font M. et Mme Michu (en claire sur un bloc-note, excel, un papier dans un tiroir... et qui s’appelle "mes mots de passes"
2) permettre de s'affranchir des problèmes /capacités de mémorisation, et par incidence, a) utiliser des mdp bien plus forts, b) ET DIFFÉRENTS !
3) présenter une immunité contre certaines techniques

Citation Envoyé par bcag2 Voir le message
Enfin pour le tableau §9, je suppose que c'est l'inverse de la légende
Citation Envoyé par tanaka59 Voir le message
Que voulez vous dire par l'inverse ? (0= pas de risque , 1=risque) . Au plus le score de risque est élevé au plus la techno est faiblarde ...
Je confirme, il y a une incohérence de convention, prenons la première ligne :
Le tableau présente un score de "faiblesse" (score de "risque" serait plus approprié), plus il est élevé, plus il est mauvais.
La première case est verte avec un 0, les autres sont rouges avec un 1, le score est élevé. Or la légende indique que "1" signifie "risque inexistant".
Je ne comprend pas ce qui motive cette aversion pour les gestionnaires de mdp locaux, c'est comme si seul leurs défauts étaient pris en compte.

Citation Envoyé par chrtophe Voir le message
J'ai vu des travaux pour utiliser les veines pour la reconnaissance biométrique, apparemment c'est comme les empreintes digitales, unique.
Oui, mais attention, cette techno scanne à quelques millimètres de profondeur seulement, les réseaux capillaires, et si vos doigts sont trop froid... vos tentatives seront "veines".

Citation Envoyé par tanaka59 Voir le message
C'est bon à savoir , je voyais pas une subtilité pareil entre ces 2 termes.
NB: en français, "crypté" signifie que c'est mis en crypte : une infrastructure où l'on place des cadavres... ^^'

Citation Envoyé par tanaka59 Voir le message
Des pirates d’Europe de l'Est ou des Chinois qui siphonnent un site web germanophone, utiliser un mot de passe en allemand sera plus risqué que le mec qui est hispanophone ... Les tentatives en allemand pour casser le mot de passe en espagnol seront ... veines .
Oui, pour l'emploi d'une autre langue... mais plus important, le but recherché est de s'éloigner des conventions (en France on parle français, un dossier de finances est nommé "*finnance*", etc.)?
On évitera donc l'anglais et la langue géographique, pour une langue plus rarement employé... exemple, dans la marine française, à une époque, on employait des bretons de souche pour les communications chiffrés (ou non d’ailleurs), car quand bien même le code était cassé, les chances que l'adversaire emploi un breton "non français" était infinitésimal, et les chances de pouvoir le traduire sans, d'autant.

En définitive, j'ai bien apprécié l'article, c'est une bonne ébauche que je peux présenter tel quelle à bien des personnes.
Mon seul regret, c'est le titre qui parle de gestion, alors qu'en définitive il est question de sélection. Je m'attendais donc à un éventail sur les gestionnaire.
Au vu de l'usage croissant des gestionnaires (notamment ceux des navigateurs), je pense qu'il serait utile d'y inclure une partie dédié. Ne serait-ce que pour démystifier certains mythes, et rappeler certains atouts.
3  0 
Avatar de tanaka59
Membre expert https://www.developpez.com
Le 13/09/2019 à 21:29
Bonsoir ,

Je vous propose ici de débattre sur les mots de passes .

Au passage merci aux admins Malick , chrtophe et ceux ayant participé pour la rédaction de l'article
2  0 
Avatar de tourlourou
Modérateur https://www.developpez.com
Le 16/09/2019 à 9:32
Bonjour, et merci pour l'article.

Quant au brute-force, il n'est pas applicable si le site bloque l'accès après quelques échecs, non ? On en revient donc à une faiblesse des mesures de sécurité des sites plutôt qu'à celle des mots de passe. Même si que les deux soient forts ne peut nuire !
2  0 
Avatar de Sebajuste
Membre actif https://www.developpez.com
Le 16/09/2019 à 16:28
J'ai lu un peu en diagonale, je l'avoue... mais ça manque un peu de cohérence.

Par exemple, concernant les gestionnaires de mots de passe chez un prestataire, il n'y a pas de risque de key logger ? Comment l'utilisateur est-il identifié alors s'il n'y a pas de mot de passe maitre ? Un certificat ? un token dans le navigateur ? Amais à ce moment là, il y a un risque de perte du certificat / token / autre en cas de perte / vol / destruction de la machine. Et ce n'est pas répertorié dans le tableau final....

Pour la part, j'utilise une base de données locale chiffrée (KeePass), dont le fichier est synchronisé avec un cloud en Europe.

Ainsi, les seuls risques sont :
- Risque d’accès frauduleux après piratage
- Risque de rançongiciel et keylogger (a la condition d'avoir également réussi à copier la BDD locale/distante pour le pirate)
2  0 
Avatar de eldran64
Membre extrêmement actif https://www.developpez.com
Le 18/09/2019 à 11:37
Pour ma part, je suis un fervent partisan des gestionnaires de mots de passe.

Ils permettent d'avoir des mots de passe unique pour les comptes auxquels on a accès, et ce, de manière simple.

De plus, ils ont l'avantage de recenser/lister tous les sites auxquels on a accès. Donc en cas de pépin, on peut les changer plus facilement.
2  0 
Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 18/09/2019 à 12:49
Citation Envoyé par NobodyIsPerfect Voir le message
car par exemple quand tu parles des alias d’e-mail comme solution cela n’a rien avoir avec le stockage des mots de passe (où je n’ai peut-être pas bien compris).
Les alias permettent d'envoyer et recevoir à partir d'une adresse sur laquelle il n'est pas possible de se "connecter" (à l'aide d'un mot de passe). Cela permet de choisir une politique de mot de passe plus durable, de sécuriser un peu plus sa boite mail.
2  0 
Avatar de Steinvikel
Membre émérite https://www.developpez.com
Le 20/09/2019 à 18:13
non, je vais faire un exemple.

Prenons un fournisseur de service hypothétique (www.dvp.com), chez lequel j'ai souscrit un service me permettant d’accéder à une adresse e-mail (steinvikel@dvp.com).
- steinvikel@dvp.com est mon adresse principale, pour y accéder, j'entre cette adresse et un mot de passe, j'accède alors à ma boite mail distante correspondante.
- J'y paramètre ensuite des alias : inscription@dvp.com, SAV@dvp.com, contact@dvp.com, poubelle@dvp.com, ephemere@dvp.com... 30 comme cela.
- Lorsque quelqu'un reçoit un mail semblant provenir de SAV@dvp.com, il envoi ça réponse à la même adresse.
Cette réponse arrive chez le fournisseur de service qui attribue l'adresse SAV@dvp.com à l'adresse steinvikel@dvp.com, il y redirige donc le mail sur la boite mail de ce dernier pour y être stocké (d'où l'analogie avec la domiciliation --> 1 local, plusieurs adresses physiques).
- Lorsque je veux accéder aux mails de SAV@dvp.com, il n'existe pas de boite mail dédié à cette adresse, je me connecte uniquement à steinvikel@dvp.com.

Si un jour cette adresse est pollué, j'ai juste à supprimer l'alias dans mes paramètres, et configurer un nouvel alias si besoin.
Si un attaquant souhaite tenter de s'y connecter, il ne pourra pas, car l'adresse n'est pas une boite mail, ce n'est qu'un "alias", un lien qui "pointe vers".

J'espère que l'exemple est limpide, il l'est pour moi. ^^'
2  0 
Avatar de ttf77
Membre à l'essai https://www.developpez.com
Le 16/09/2019 à 10:24
Bonjour,
Je reste (encore) adepte d'une solution centralisée (Bitwarden pour mon cas) pour l'effet cumulatif et historique des mdps générés et usités depuis plus de dix ans. (plus de 500 entrées dans le coffre).
Par contre, j'ai découvert récemment Lesspass ( https://lesspass.com ).
A lire: https://blog.lesspass.com/lesspass-c...e-9f1201fffda5
Cordialement.
1  0