Les navigateurs de plus en plus avancés dans la gestion des mots de passe
Logiciels dans lesquels on est le plus amené à saisir ses mots de passe, les navigateurs web font enfin de la gestion de ces données sensibles l'une de leurs priorités. Le dernier exemple en date vient de Google.
Désormais, lorsque vous saisissez votre identifiant et votre mot de passe sur un site web, Chrome est capable de vous prévenir si ces informations font partie d'une fuite malencontreuse, comme il y en a régulièrement. Le cas échéant, Chrome vous suggérera de les modifier afin d'éviter qu'un malandrin ne les utilise à votre insu.
Cette fonction de sécurité intégrée à Chrome prenait auparavant la forme d'une extension nommée Password Checkup. Google avait expliqué au début de l'année avoir constitué son propre stock de quatre milliards de données de connexion ayant fuité un jour — un stock sans doute plus important aujourd'hui.
La vérification des données de connexion compromises est en cours de déploiement pour les utilisateurs qui ont connecté leur compte Google à Chrome (une connexion que Google force par défaut depuis l'année dernière). Si vous n'en voulez pas, il est apparemment possible de la désactiver dans les paramètres Services Google/Synchronisation.
Sur Firefox, les améliorations du gestionnaire de mots de passe ont été tellement nombreuses cette année que la fonction a désormais un nom, Firefox Lockwise. Les mots de passe enregistrés dans le navigateur libre ne sont plus présentés dans une fenêtre étriquée, l'interface se rapproche de celle d'un gestionnaire dédié.
Comme Chrome, Firefox (Lockwise) vous prévient si vos identifiants et mots de passe ont fuité. Pour cela, le navigateur exploite la base de données Have I Been Pwned?, que vous pouvez consulter librement et que 1Password utilise aussi pour rendre le même service.
La vérification se fait de manière sécurisée : Firefox n'envoie pas votre mot de passe en clair pour voir s'il figure dans la base de données. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base (plus de détails ici).
Si Mozilla a doté son gestionnaire de mots de passe d'un nom, c'est surtout pour le proposer sous la forme d'une application à part entière disponible sur iOS et Android. Ainsi, si on utilise Firefox sur bureau mais qu'on préfère Safari sur mobile, on peut toujours retrouver ses mots de passe dans une app distincte.
En parlant de Safari, la dernière amélioration concernant le gestionnaire de mots de passe intégré remonte à l'année dernière. Depuis macOS Mojave et iOS 12, le navigateur (ou la section des réglages dédiée aux mots de passe dans iOS) indique quand un mot de passe est réutilisé sur plusieurs sites.
Si vous l'ignoriez encore, il faut éviter de réutiliser un mot de passe, puisque s'il est compromis, les piratages de comptes peuvent être multiples. Safari simplifie le changement de mot de passe en menant directement vers la page du site en question si c'est possible.
En fait, Apple concentre depuis quelque temps ses efforts sur un plan plus ambitieux qui consiste à faire disparaître les mots de passe. Disponible sur les plateformes d'Apple et sur le web, le système « Connexion avec Apple » permet de s'authentifier sur des sites et des apps sans avoir à créer de mot de passe, à l'instar de Google Sign-In et Facebook Connect.
Seulement, ces systèmes d'authentification restent encore assez minoritaires. Les mots de passe font toujours partie du quotidien, et ce pendant encore un bon moment, certainement. Il est donc nécessaire que les navigateurs renforcent leur gestion.
Les gestionnaires intégrés à Safari, Firefox et Chrome sont convenables pour les utilisateurs occasionnels. Leur principal avantage est d'être intégré justement : ils sont les plus à même d'assister les personnes qui ne se préoccupent pas de leur sécurité informatique ou qui n'ont pas les bons réflexes.
Les applications dédiées, comme 1Password, Dashlane ou encore LastPass, gardent néanmoins de sérieux atouts. Elles permettent de synchroniser plus largement ses mots de passe, de stocker d'autres données sensibles, de prendre en charge les seconds facteurs d'authentification, de contrôler les éléments de sa famille, etc. Ces coffres-forts numériques n'ont pas dit leur dernier mot.
Ce qui devient pénible c’est lorsque la saisie du mot de passe doit se faire sur une page annexe de l’identifiant. Là les gestionnaires de mots de passe bottent souvent en touche! Et aussi les mots de passe à taper sur des pavés numériques virtuels pour lesquels les gestionnaires de mdp sont d’aucune aide. Je ne comprends pas d’ailleurs pourquoi ces mots de passe numériques subsistent encore... 🙄
Concernant les pavés numériques virtuel (des banques l'utilisent par exemple)
il s'agit d'une protection contre les Keylogger (analyseur de frappe clavier, clics souris...) qui peuvent savoir quels chiffres on tape... les chiffres virtuels changeants de place à chaque fois cela élimine les plus basiques des attaques possibles mais mieux vaut une authentification à 2 facteurs assurément car si la personne réussi à voir votre écran vous l'aurez quand même dans l'os.
N’oublions pas le gestionnaire de mots de passes multiplateforme et
Open Source, KeePass, qui me rend bien service au quotidien
@mcai
Keepass sur iOS ? Note 2/5 ?
KeepassXC ou MacPass sur mac et StrongBox sur iOS, c'est la versionde Keepass la plus aboutie sur ce système. (Android a également un très bon Keepass)
@R5555
Merci.
Question :
Ils sont interopérables ? Un mot de passe dans l’un peut se mettre à jour sur l’autre ? (Via iCloud par ex)
C'est ça, iCloud, OneDrive... :)
@mcai
Bitwarden : open source, multiplateforme et possibilité de le gérer sur son propre serveur, j’ai pas trouvé mieux...
Je n’ai toujours pas croisé de sign with Apple..
@Ktv75
J’en ai vu 1 sur AlloCiné si mes souvenirs sont bons.
Les développeurs ont jusqu’à avril pour mettre à jour leurs apps et rentrer dans les clous d’Apple
@Ktv75
GIPHY l’utilise !
@Ktv75
TikTok
Sur le trousseau iCloud, quelqu’un sait comment supprimer tous les mots de passe ? Sur iPhone
@iBakarorea
les sélectionner et les supprimer ?
mais quel interet ? Au pire on peut fermer son compte icloud
@raoolito
Parce que j’ai des doublons, triplons etc et je veux remettre à zéro
@iBakarorea
Si j'avais le problème je ne supprimerai pas tous mes mots de passe c'est dangereux sauf à tous les connaître.
J'ai également pas mal de doublons et de vieux mots de passe il suffira qu'un jour je m'enlève les doigts du cul et que je me prenne une journée pour faire un grand nettoyage
Mais c'est vrai que c'est mon point de vue par rapport à mes mots de passe comme notre compte centralise celui de ma femme et de ma fille on risque de perdre beaucoup si je m'amuse à tout supprimer
Normalement il suffit de supprimer dans iCloud toutes les synchronisations liees au trousseau d'accès
@raoolito
J’ai tout dans 1Password donc pas grave si j’ôte tout. Je vais reconstituer la liste petit à petit 😄
@iBakarorea
Réglages/comptes et mots de passe
@YuYu
Merci 🙏🏻
Pendant des années, j'ai utilisé 1password, mais depuis le passage à l'abonnement, je suis passé sur enpass, puis ces derniers mois sur Keepass. C'est open source, ça gère le TOTP, et ça marche très bien quelque soit la plateforme. Mon utilisation a aussi changé. Alors que 1password gérait tous les mots de passe, maintenant j'ai une utilisation plus hybride, en combinant le gestionnaire de mots de passe des navigateurs pour les sites web, mais keepass apporte plus de flexibilité avec la possibilité de stocker des documents, TOTP, diverses notes, ...
Alors 1password est vraiment raffiné et l'application est excellente, mais payer 4$/mois pour un gestionnaire de mots de passe n'est pas justifié en usage personnel.
Utiliser uniquement les gestionnaires des navigateurs est trop limite, surtout que beaucoup de sites requièrent la double authentification.
@palmsnipe
J’ai fais installer keepass au travail et le fichier est sur notre serveur donc toute l’entreprise y a accès mais est ce que tu peux mettre ton fichier sur iOS et y accéder sur iOS (d’ailleurs tu utilise quel app ? Il y a en pas mal et certaine avec abonnement pour des fonctions de base...)
Mon but c’est de migrer mon compte perso 1Password vers keepass justement mais je n’ai pas trouvé l’authentification à deux facteurs dessus 🤨
@alexis83 Sur mac et windows, j'utilise KeepassXC (il existe MacPass qui est développé nativement et joli visuellement mais il ne supporte pas le TOTP), android Keepass2Android, et iOS Kypass. Tous supportent l'authentification à double facteur (il faut juste faire attention comment le TOTP est formaté parce que KeepassXC et Kypass le font différemment et du coup il y a 2 attributs avec le même code d'authentification mais le résultat est le même), et tout se synchronise via Google Drive (mais dropbox ou autre serveur devrait marcher tout aussi bien).
Il y a plusieurs applications iOS pouvant lire les bdd keepass, mais de ceux que j'ai testé, Kypass est le meilleur.
@palmsnipe
Super merci ! Je viens de voir pour la version iOS et pas d’abonnement c’est parfait et d’après le descriptif prend en charge iCloud Drive donc au top ! Pour la version mac ça m’a l’air tout aussi bien !
Je vais bien regarder ça ce week-end et surtout voir les différences concernant la double authentification car tu me dis que c’est différent entre les deux app mais que le résultat est le même.
En tout cas merci, si tout est concluant je migre tout vers keepass !
@palmsnipe
1Password existe toujours sans abonnement.
@macfredx oui, mais repayer une licence pour utiliser la dernière version de 1password n'est pas justifié pour mon usage. Voyant le chemin que ça prend entre le modèle d'abonnement, la direction du tout cloud et ses fonctionnalités exclusives, j'ai préféré aller voir ailleurs.
Un peu hors sujet mais c'est aussi de la sécurité:
Moi, ce que j'aimerais savoir c'est comment 'Dé-spammer' une de mes adresses mails !
Je m'explique, je me suis rendu compte qu'une de mes adresses était très régulièrement considérée comme du spam chez les destinataires de mes mails...
(je précise que je n'ai pas l'habitude d'inonder mes correspondants de mails intempestifs ou à caractère pornographique ou que sais-je encore ;-)
En plus, même en leur demandant d'installer un filtre acceptant mon adresse, cela ne marche pas toujours.
Quelqu'un aurait une idée ? Merci d'avance
C'est une adresse type gmail, iCloud,… ou ton propre nom de domaine ?
C'est une mac.com ... et tous ses alias avec :-(
tu utilise bien les serveur SMTP d'Apple pour l'envoi ?
Non, celui de mon provider (VOO en l'occurrence - je suis en Belgique)
C'est pour cela, mac.com possède un record SPF qui dit quels sont les serveur autorisé à envoyer des mails depuis @mac.com.
Les serveurs de Voo ne sont pas repris dans cette liste et donc, ton mail n'est pas légitime.
La seule solution est d'utiliser les serveur smtp d'Apple.
Nom du serveur : smtp.mail.me.com.
Protocole SSL obligatoire : oui.
Si un message d’erreur s’affiche lors de l’utilisation du protocole SSL, utilisez le protocole TLS ou STARTTLS.
Port : 587.
Authentification SMTP obligatoire : oui.
Nom d’utilisateur : votre adresse e-mail iCloud dans son intégralité (par exemple, emilyparker@icloud.com, et non emilyparker).
Mot de passe : utilisez le mot de passe pour application que vous avez généré lors de la configuration du serveur de messagerie entrant.
Tu peux évidement mettre ton adresse @mac.com dans le login au lieu de @iCloud.com vu que tu as une adresse @mac.com
https://support.apple.com/fr-be/HT202304
Super !
Je vais tester cela.
Un grand merci à toi...
Depuis le temps que cela m’embête.
Ton explication me paraît claire MAIS je ne parviens pas à changer le serveur smtp ...
Je vais dans Mail / préférences / sur mon compte Mac / onglet réglages serveur
Actuellement, il y a 'autres (Voo)'
Je clique à droite, il déroule et je crée un serveur Apple via l'option 'modifier la liste ...'
Quand je reviens sur le compte Mac, je choisi le nouveau serveur créé...
et dans les secondes qui suivent, Mail remet l'ancien ... ???
Pourquoi tant de haine ;-(
doublon, sorry
Bientôt la revente des mots de passe!
Si on utilise firefox mais qu'on préfère safari sur mobile,
C'est vrai que sur iOS, vu les limites imposées par Apple pour mettre des bâtons dans les roues des autres navigateurs et des utilisateurs, ont a vachement le choix...
Je continue inlassablement de copier le lien, puis de le coller dans Firefox pour court-circuiter Safari. Mais c'est fatiguant...
Y a-t-il un moyen simple de transférer ses mots de passe d'un application à l'autre ? (1Password vers FF Lockwise, par exemple.) J'imagine que c'est compliqué pour des raisons de sécurité...
C'est aussi amusant et rafraîchissant de lire en matière de sécurité et de gestion des mots de passe que "le dernier exemple en date vient de Google", les GAFA étant mondialement réputées en matière de sincérité, de respect des données personnelles et de robustesse de leur organisation de sauvegardes des données collectées.
Parler de sécurité et utiliser des produits Google confine en effet à l'oxymore.
Apple ne sécurise pas plus. Et si on compare Android 10 vs iOS, ben Android gagne niveau sécurité. Point.
@Castio
« Parler de sécurité et utiliser des produits Google confine en effet à l'oxymore. »
Nul oxymore.
En terme de sécurité, c’est difficile pour le coup de mettre les GAFA dans le même panier.
Tu confonds comme d’habitude ici sécurité et confidentialité.
Et oui, concernant la sécurité des données que tu leur confient, Google et Amazon sont plutôt bien réputés.
Tu veux quelques clients de Google comme exemple de gens qui badinent pas avec la sécurité ?
Comme si la confidentialité ne faisait pas partie d'une politique globale de sécurité!
Les grandes oreilles de Google plaisent manifestement toujours.
Apple ne sécurise effectivement pas mieux pour répondre en mm temps à l'autre intervention, c'est tout le pb de la téléphonie mobile au niveau mondial que d'être l'otage de la peste ou du choléra.
Je rêve du jour où Huawei sortira son OS.
J'ai récemment mis en service un smartphone/Android, c'est surréaliste de constater le nombre et la nature des droits que Goggle sollicite, jusqu'à consulter, modifier et rédiger en votre nom.
Il n'y a pas pratiquement pas de produits Google dont les fonctions ne sont pas commercialisés par des gens sincères.
À chacun de faire ses choix:
Chrome > Firefox.
Maps > Openstreet.
GMail > Mailo.
You Tube > framatube etc etc.
@Castio
« Comme si la confidentialité ne faisait pas partie d'une politique globale de sécurité! »
Ça n’est absolument pas le même débat.
La sécurité est nécessaire à la confidentialité mais ça s’arrête là.
"Google et Amazon sont plutôt bien réputés."
Les marmottes ne sont pas prêtes d'être au chômage en ces périodes de forte consommation de chocolat.
https://www.lebigdata.fr/google-plus-ferme-urgence
@Castio
En voilà une nouvelle. Par contre, attention au CO2, elle est super congelée.
Et surtout sans aucun rapport.
Les GAFA ont besoin de gens comme vous.
@Castio
« Les GAFA ont besoin de gens comme vous. »
Oh, de gens comme toi.
Qui confondent tout, racontent n’importe quoi et diluent le discours important.
Attention Chrome 79 pose problème avec OSX 10.10 et 10.11, le navigateur devient inopérant.
Une nouvelle mouture est en route.
https://support.google.com/chrome/thread/18507302?hl=en
https://support.google.com/chrome/thread/18507302?msgid=22785860