Changer un mot de passe réutilisé va devenir plus simple
Utiliser le même mot de passe pour plusieurs sites, c’est une très mauvaise idée. Il suffit que ce mot de passe fuite — on vient de découvrir l’existence d’une méga base de données de 2,2 milliards d’infos de connexion — pour que tous les comptes utilisant celui-ci soient menacés.
C’est pourquoi depuis macOS Mojave et iOS 12 les mots de passe utilisés plusieurs fois sont signalés. L’alerte apparaît dans la liste des identifiants enregistrés :
- sur Mac : Safari > Préférences > Mots de passe
- sur iOS : Réglages > Mots de passe et comptes > Mots de passe Web/apps
Une fois qu’on est informé, encore faut-il remplacer le mot de passe réutilisé par un autre différent pour chaque site. Une opération rébarbative si on en a beaucoup. Un groupe du W3C propose justement une norme pour faciliter la démarche.
L’idée est que les gestionnaires de mots de passe puissent guider les utilisateurs directement vers la page de modification du mot de passe. Pour cela, les sites web sont invités à prendre en charge l’URL /.well-known/change-password. Plusieurs sont déjà compatibles, comme le note un ingénieur d’Apple. C’est le cas de Twitter, Spotify, WordPress ou encore iCloud.com.
Et qu’est-ce qui se passe si le site n’a pas d’adresse /.well-known/change-password ? Safari est censé rediriger vers sa page d’accueil, seulement lors de nos essais avec Facebook et Google ce n’est pas qui se passe. On reste face à la page d’erreur du site.
Quoi qu’il en soit, ce dispositif poussé par Apple est amené à se développer. Les autres navigateurs et les gestionnaires de mots de passe dédiés peuvent l’adopter librement.
C'est l'histoire de Toto qui utilise le même mot de passe partout… :-)
@Shralldam
Je peux te rencontrer l'histoire de toton qui lui a généré ses mot de passe par safari et ne pourra plus jamais quitté l'écosystème Apple ?♂️
c'est ca qu'est bien.
Les mots de passe etant cryptés par les gestionnaires, ils n y ont pas acces .... mais toi non plus si tu n'y pretes pas attention
la double securité
@Mrleblanc101
Il va dans le trousseau et peut les reprendre. Ou est le souci ?
S’il a un iPhone c’est également simple pour retrouver et copier/coller le password dans une App
@Dv@be
C’est risqué de confier à un gestionnaire de mot de passe la totalité la mémorisation des mots de passe. Imaginons qu’on perde son iPhone, tant qu’à faire loin de chez soi, dans un pays étranger.
On ne peut plus accéder à des comptes de mail, de cloud, de comptes client etc où on avait peut-être des scans de ses documents d’identité, des billets électroniques, etc
@rua negundo
Disons que si je perds mon iPhone j’en rachète un dans la minute (usage professionnel intense qui le justifie) et donc restauration iCloud ce qui me permet de récupérer mes données.
Sinon je Check sur l’iPad ou sur le Mac ?
Je comprend ton inquiétude à confier des mots de passes à un gestionnaire extérieur. Malheureusement je n’ai pas une mémoire me permettant de retenir un mot de passe dédié à chaque app, site, etc..
@Dv@be
Moi non plus. J’aurais simplement tendance à distinguer entre les mots de passe des services les plus importants (e-mails principaux, cloud, compte client important) où je retiens le mot de passe et les autres services qui ne sont pas vitaux (comme celui-ci avec tout le respect que je lui dois)
@Dv@be
Copier coller 500 mots de passe auto-généré si tu quitte l'écosystème Apple, quelle joie !
@Mrleblanc101
Strictement aucune raison de quitter Apple.
Regardez plus attentivement les captures d'écran…
@Shralldam
Oui, et ? Tu va vraiment aller copier-coller 500 mots de passe auto-générer ? Have fun
Tous les gestionnaires de mots de passe digne de ce nom ont des fonctions d'import / export des listes de mot de passe.
Apple n'étant pas ouvert sur le monde extérieur, c'est bien entendu beaucoup plus compliqué si on utilise le trousseau mais en quelques recherches j'ai trouvé des scripts qui permettent d'exporter les données vers un fichier.
Je me demande si c’est une bonne idée de standardiser ça !? Plus que les systèmes de changement de mot de passe seront similaires plus qu’il sera possible de faire un hacking de masse ! Non ?
ça simplifie la vie de tout le monde, oui. et je dis bien TOUT le monde... :)
@tamu
“Je me demande si c’est une bonne idée de standardiser ça !? Plus que les systèmes de changement de mot de passe seront similaires plus qu’il sera possible de faire un hacking de masse ! Non ?”
Derrière cette bonne idée, c'est exactement la même question que je me posais. ?
Non.
Il pourrait surtout normer la manière de d'authentifier sur un site pour que les gestionnaires de mots de passe marchent sur tous les sites et puissent supporter des OTP.
@koko256
Je me disais la même chose: ils ont fait la moitié du boulot
"1..2..3..4 ?! mais c'est le code que n'importe quel abruti utilise pour ses valises !"
@oomu
Vive le social engenering; vous êtes nés quand ? Et vos enfant ? Vous êtes marié ? En quelle année ?
Cela marche très bien aussi.
Vive le social engenering;
vous êtes nés quand ?
3:"-fz%q?K~WY2S
Et vos enfant ?
aDZ<9^z:>J[]=qx
Vous êtes marié ?
U(E($Y^WWe<7eHX
En quelle année ?
!4CSfG2_9>KA-bc
Cela marche bien, il m’indique que j’ai le même mot de passe pour macg, igen et le forum ?
Sinon pour ceux que cela intéresse il y a Bitwarden, open source et gratuit mais l'on peut toujours aider le développeur pour 10 $ par an.
Je confirme c'est top. J'ai payé les 10$, ça les vaut sans problème. Ils sont très sérieux, entièrement open source du serveur jusqu'à l'extension navigateur, et ont même fait un audit de sécurité par un organisme externe l'année dernière.
La bonne nouvelle, c’est qu’il suffira de détourner cet URL pour récupérer les mots de passe de tout le monde.
C’est comme les applications qui regroupent les banques en vous demandant votre mot de passe : la banque considère que vous avez enfreint les règles de sécurité
Après une petite frayeur, j’ai changé tous mes mots de passe utilisés plusieurs fois sur différents site. C’est plutôt simple et rapide car pour changer de mdp, safari te propose tout seul de mettre l’ancien mot de passe et ensuite te propose un auto-généré dans les bon champs. Apres j’ai du le faire sur chaque site, ce qui équivaut à plus de 200 sites... (c’était quand meme pas LE même mot de passe sur ces 200 sites). Et cool car automatiquement à jour sur les autres appareils !
Une solution gratuite : KeepassXC (open source) avec l'archive cryptée dans un cloud personnel (Nextcloud sur un SBC Odroid-HC1 fonctionnant 24h sur 24h). Les mots de passe sont consultables sur téléphone (iPhone) et Mac de bureau de partout.
@Cedric
? ^^