Mot de passe compromis

Que faire ?

Le problème exposé dans ce sujet a été résolu.

Bonjour,
Je ne sais pas si vous en avez entendu parler, mais l'hébergeur gratuit 000webhost a été piraté. 13 millions de comptes touchés, et c'est d'autant plus frustrant que les mots de passe étaient stockés en clair dans leur base de données. Honteux. Deux jours plus tard, Steam Guard bloque une connexion à mon compte venant d'Afrique du Sud… :(

Donc je voudeais que cela ne se reproduise plus. Je veux dire, j'ai trois "jeux" de mots de passe et on en a compromis un des trois :(
Donc quelles mesures faut-il prendre ? Les gestionnaires de mots de passe, peut-on leur faire confiance ?

Merci d'avance.

+0 -0

Ça dépend des gestionnaires de mots de passe. Certains sont hébergés en local. Y en avait un sur ZdS qui était allé vérifier le gestionnaire de mots de passe Firefox en lisant le code, et il avait dit qu'il était sûr (à partir du moment où on protégeait les mots de passe avec une phrase clef).

Il y a aussi certains gestionnaires qui peuvent exploiter un serveur privé (je crois), donc là la sécurité dépend de toi.

+0 -0

Salut,

Donc je voudeais que cela ne se reproduise plus. Je veux dire, j'ai trois "jeux" de mots de passe et on en a compromis un des trois :(

Par jeux de mots de passe, tu veux dire des mots de passes quasi identiques que tu utilises sur des sites différents ? Oublie ça tout de suite, un mot de passe utile, c'est un mot de passe fort et complètement unique par site.

Donc quelles mesures faut-il prendre ? Les gestionnaires de mots de passe, peut-on leur faire confiance ?

Les gestionnaires de mots de passes sont fait pour ça. J'utilise LastPass, mais n'importe quel gestionnaire du marché fait probablement autant l'affaire. Résultat, mes mots de passes sont des suites de 30 à 35 caractères aléatoires que je ne connais même pas, accessible de partout puisque disponible sur leurs serveurs (cryptés évidemment, et les donnés circulent sous forme cryptées puisque le chiffrement se fait en local), et protégés en plus par un second facteur matériel (en l'occurrence une Yubikey). Ce dernier point fait que j'aurais plus tendance à conseiller d'éviter les gestionnaires des navigateurs. Il n'y a pas ou peu de possibilité de mettre un second facteur d'authentification… Pour la question de la confiance, si les concepteurs étaient des escrocs qui en profitent pour piquer les mdp des utilisateurs, ça se saurait assez vite je pense. Et d'un point de vue pragmatique, j'ai plus confiance en une situation où j'ai des mdp forts de partout, stockés sous forme cryptée et avec un risque quasi-nul de se le faire tous voler d'un coup plutôt qu'une situation avec des mots de passes faibles et semblables de partout et contenu dans ma mémoire nettement plus faillible qu'un disque dur.

Il y a des choix à faire. On n'est pas non plus obligé de tomber dans la paranoïa adri1 ^^ Tu as fait le choix probablement le plus solide qui soit, mais bon, un gestionnaire de mot de passe en local est sûrement suffisant pour pas mal de monde.

À moins bien sûr que tu n'aies des raisons de supposer que l'on recherchera activement à cracker tes mots de passe.

+0 -0

mais bon, un gestionnaire de mot de passe en local est sûrement suffisant pour pas mal de monde.

Un disque dur, ça lâche bien trop facilement (et toujours quand c'est à un moment crucial) pour se permettre d'avoir l'ensemble de ses mots de passes seulement en local (c'est quand même relativement relou de récuperer ses mots de passes de boîtes mails par exemple).

Et puis bon, pour la mobilité, c'est pas trop ça, si on se retrouve à ne même pas pouvoir accéder à ses comptes juste parce qu'on a eu peur de passer sur un gestionnaire qui stocke sur des serveurs (pour le coup, je comprends pas trop pourquoi ce serait moi le paranoïaque :-° )… Quand il est aussi facile de l'avoir accessible depuis n'importe où, le garder en local n'a qu'un intérêt limité (sauf cas de paranoïa justement)…

Oui aussi, c'est vrai que pour la mobilité c'est pas forcément pratique ^^ Quoique, je crois que Firefox le permet, non ? Avec sync

Phigger

Mais du coup, ce n'est plus en local. Et sans second facteur d'authentification, la force de l'ensemble de tes mots de passe ne dépend plus que de celle de ton mot de passe Mozilla et du chiffrement de tes données sur leur serveur. Très peu pour moi.

Salut !

Par jeux de mots de passe, tu veux dire des mots de passes quasi identiques que tu utilises sur des sites différents ? Oublie ça tout de suite, un mot de passe utile, c'est un mot de passe fort et complètement unique par site. […] Les gestionnaires de mots de passes sont fait pour ça.

adri1

Un gestionnaire de mdp, c'est sensé concentrer tous les mdp à un seul endroit, ce qui en soi, est une erreur grossière en sécurité (d'autant plus si ton gestionnaire est populaire, il a donc plus de chance de se faire cibler par une attaque).

Si encore, ce type de dispositif permettait de changer rapidement et automatiquement ses mdp sur un ensemble de comptes, ce serait une sécurité réellement utile. Mais cette fonction n'existe pas (à ma connaissance en tout cas). [Edit: bah si, ça existe]

Bref ! Autant avoir un carnet physique où tes mdp sont camouflés/brouillés dans des notes bidons. Bon, après la sécurité de ce vieux truc dépendra des compétences de ses collègues… c'est sûr que si on est dans la police de recherches par exemple, mieux vaut un gestionnaire logiciel. ^^ [Edit: mais ça ne protège pas des keyloggers]

+0 -0

Un gestionnaire de mdp, c'est sensé concentrer tous les mdp à un seul endroit, ce qui en soi, est une erreur grossière en sécurité

En fait, non. À moins que quelqu'un trouve un moyen efficace de casser AES (auquel cas on est tous dans la merde de toute façon, gestionnaire de mot de passe ou pas), ce que peut "espérer" de mieux (entendre par là une chance tellement négligeable que ce n'est même pas un problème en soi à la base) un pirate en s'attaquant à de tels serveurs sont au mieux des brides d'informations qui ne seront probablement même pas connectées ensemble. Il n'a aucun moyen de pouvoir récupérer les informations relatives à un client et un client seulement.

Si encore, ce type de dispositif permettait de changer rapidement et automatiquement ses mdp sur un ensemble de comptes, ce serait une sécurité réellement utile. Mais cette fonction n'existe pas (à ma connaissance en tout cas).

En fait, ça commence à être le cas avec LastPass (on peut changer automatiquement de mdp pour Github, Google, Spotify, LinkedIn, etc.). Et ça m'étonnerait que ce soit le seul à le proposer.

Autant avoir un carnet physique où tes mdp sont camouflés/brouillés dans des notes bidons. Bon, après la sécurité de ce vieux truc dépendra des compétences de ses collègues…

Si tu affirmes sérieusement qu'un carnet avec tes mdp écrits en clair dessus (ou avec un chiffrement maison) est plus sécurisé que des données chiffrées avec AES liés à un compte accessible uniquement avec un second facteur d'authentification, je crois qu'on est mal partis. :-° Sans compter les côtés pratiques, bien sûr. Un carnet, ça se perd, ça prend l'eau, ça s'abîme et ça remplit pas les champs de ton navigateur à ta place pour éviter les problèmes de type keyloggers.

+0 -0

Salut,
J'ai suivi vos conseils et ai essayé LastPass. Malheureusement il m'est impossible de synchroniser sans payer, donc terminé :)
Je suis donc en train de configurer KeePass. Ce qui m'a rassuré c'est le fait qu'il soit open source et je peux facilement synchroniser la base de données des mots de passe avec le cloud. :)

Je ne pensais pas que les gestionnaires étaient aussi évolués. Avec les fonctions anti-keylogger et changement automatique de mdp, ça peut en effet valoir le coup. Merci pour cet éclairage.

Le chiffrement fort est utile pour des données pouvant être accessibles publiquement. Ce n'est pas le cas d'un carnet de notes. Carnet qui peut s'abîmer (osef, suffit de changer) oui, et se perdre tout aussi facilement qu'un mot de passe de compte LastPass. Mais là j'avoue : y-a pas d'options de récupération pour un carnet perdu. ^^

Bref, Buddy n'a pas fait assez de veille techno… :honte:

+0 -0

Le chiffrement fort est utile pour des données pouvant être accessibles publiquement. Ce n'est pas le cas d'un carnet de notes.

Mauvais argument (de toute façon, l'argument "c'est pas public donc c'est bon" est le plus mauvais possible en matière de sécurité), il suffit qu'une personne malveillante ait accès à ce carnet pour que ce soit foutu. Un mot de passe (surtout les cruciaux du genre boîte mail), c'est l'identité sur le net. Ce n'est pas à prendre à la légère.

+0 -0

[…] (l'argument "c'est pas public donc c'est bon" est le plus mauvais possible en matière de sécurité), il suffit qu'une personne malveillante ait accès à ce carnet pour que ce soit foutu. Un mot de passe (surtout les cruciaux du genre boîte mail), c'est l'identité sur le net. Ce n'est pas à prendre à la légère.

adri1

Tout comme l'accès physique à ses papiers sensibles ou à sa propre machine… Si la connexion à LastPass est établie via le navigateur et qu'on s'en va faire une pause, "il suffit qu'une personne malveillante y ait accès pour que ce soit foutu". Bah c'est pareil pour le carnet.

Après, si les infos sensibles transitent régulièrement dans un lieu public (type transfert sur le net) et sont supposées le faire, alors oui, il faut chiffrer.

Si on suit ta logique, il faudrait chiffrer/déchiffrer son trousseau de clés, par exemple, comme pour les boutons d'ouverture de certaines voitures (signal chiffré avec paires de clés)… Moi je me contente d'une bonne vieille clé à crans pour fermer ma porte de maison (qu'on peut défoncer même avec une serrure chiffrée à bloc).

+0 -0

Si la connexion à LastPass est établie via le navigateur et qu'on s'en va faire une pause, "il suffit qu'une personne malveillante y ait accès pour que ce soit foutu"

Et c'est pour ça que sortir de sa session est une règle d'or lorsqu'on s'absente.

Si la connexion à LastPass est établie via le navigateur et qu'on s'en va faire une pause, "il suffit qu'une personne malveillante y ait accès pour que ce soit foutu"

Et c'est pour ça que sortir de sa session est une règle d'or lorsqu'on s'absente.

adri1

Le réflexe Windows+L, bien-sûr. Tout comme les papiers confidentiels qu'il ne faut pas laisser traîner, assurément…

+0 -0

J'utilise gnu pass en ce qui me concerne, si cela peut donner des idées à certains d'entre vous.

30b830e7

Celui-là me tentait vraiment à un moment, mais après avoir utilisé LastPass c'est vraiment pas jouable, l'intégration navigateur est vraiment trop faible malheureusement… J'apprécie pas vraiment d'utiliser un gestionnaire de mots de passe propriétaire, mais j'ai encore du mal à trouver une véritable alternative open source à LastPass (avec double authentification, génération de mot de passe in-browser, challenges de sécurité, complétion automatique…).

J'espère que ça viendra, la faiblesse de l'open source est vraiment au niveau de l'intégration navigateur je trouve. Ça + le fait que les plugins soient souvent développés par des tiers (le développeur de pass et du plugin Firefox pass n'est pas le même, idem pour KeePassX et le module KeeFox… ça demande de faire confiance à plusieurs développeurs au lieu d'un seul/d'une seule équipe, ça me gêne un peu, peut-être à tort)

Juste comme ça, comment je fais si je veux me connecter à mon compte fb ou autre depuis un ordinateur qui n'a pas LastPast (ou logiciel du genre) ? C'est impossible du coup non ? :( Personnellement ça me semble un gros frein… (impossible de se connecter à la fac pour récupérer mes mails par exemple…)

+0 -0

Juste comme ça, comment je fais si je veux me connecter à mon compte fb ou autre depuis un ordinateur qui n'a pas LastPast (ou logiciel du genre) ? C'est impossible du coup non ? :( Personnellement ça me semble un gros frein… (impossible de se connecter à la fac pour récupérer mes mails par exemple…)

Demandred

Il y a deux solutions :

  • Installer l'application LastPass sur ton smartphone (iPhone, Android et Windows Phone supportés), ça te permet d'accéder à ton coffre-fort à tout moment
  • Installer le plugin LastPass sur le navigateur de l'ordinateur que tu utilises et t'y connecter :
    • soit avec ton mot de passe + la double authentification
    • soit avec un one time password (LastPass permet d'en générer pour ces usages là). Je ne m'en suis jamais servi donc je ne sais pas trop comment ça marche mais il y a une page de doc dédiée : https://helpdesk.lastpass.com/fr/your-lastpass-icon/loggin-in/one-time-passwords/ . Apparemment les one time passwords supportent aussi la double-authentification, c'est bon à savoir

Il y a deux solutions …

En plus de ces deux là, il y a une troisième solution qui marchera forcément (pas de problème de navigateur antédiluvien par exemple), c'est de bêtement se connecter sur le site de LastPass et utiliser la fonction qui permet de copier le password dans le presse papier (de façon temporaire évidemment).

Sans la possibilité de se connecter sur ses comptes principaux jusque parce qu'on ne connait pas le mdp, ces gestionnaires partiraient bien évidemment avec un grand handicap, et c'est pour ça que le problème ne se pose absolument pas.

Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte