Changer un mot de passe réutilisé va devenir plus simple

Stéphane Moussie |

Utiliser le même mot de passe pour plusieurs sites, c’est une très mauvaise idée. Il suffit que ce mot de passe fuite — on vient de découvrir l’existence d’une méga base de données de 2,2 milliards d’infos de connexion — pour que tous les comptes utilisant celui-ci soient menacés.

C’est pourquoi depuis macOS Mojave et iOS 12 les mots de passe utilisés plusieurs fois sont signalés. L’alerte apparaît dans la liste des identifiants enregistrés :

  • sur Mac : Safari > Préférences > Mots de passe
  • sur iOS : Réglages > Mots de passe et comptes > Mots de passe Web/apps

Une fois qu’on est informé, encore faut-il remplacer le mot de passe réutilisé par un autre différent pour chaque site. Une opération rébarbative si on en a beaucoup. Un groupe du W3C propose justement une norme pour faciliter la démarche.

L’idée est que les gestionnaires de mots de passe puissent guider les utilisateurs directement vers la page de modification du mot de passe. Pour cela, les sites web sont invités à prendre en charge l’URL /.well-known/change-password. Plusieurs sont déjà compatibles, comme le note un ingénieur d’Apple. C’est le cas de Twitter, Spotify, WordPress ou encore iCloud.com.

Et qu’est-ce qui se passe si le site n’a pas d’adresse /.well-known/change-password ? Safari est censé rediriger vers sa page d’accueil, seulement lors de nos essais avec Facebook et Google ce n’est pas qui se passe. On reste face à la page d’erreur du site.

Quoi qu’il en soit, ce dispositif poussé par Apple est amené à se développer. Les autres navigateurs et les gestionnaires de mots de passe dédiés peuvent l’adopter librement.

avatar Shralldam | 

C'est l'histoire de Toto qui utilise le même mot de passe partout… :-)

avatar Mrleblanc101 | 

@Shralldam

Je peux te rencontrer l'histoire de toton qui lui a généré ses mot de passe par safari et ne pourra plus jamais quitté l'écosystème Apple 🤷‍♂️

avatar MacGyver | 

c'est ca qu'est bien.
Les mots de passe etant cryptés par les gestionnaires, ils n y ont pas acces .... mais toi non plus si tu n'y pretes pas attention

la double securité

avatar Dv@be | 

@Mrleblanc101

Il va dans le trousseau et peut les reprendre. Ou est le souci ?
S’il a un iPhone c’est également simple pour retrouver et copier/coller le password dans une App

avatar rua negundo | 

@Dv@be

C’est risqué de confier à un gestionnaire de mot de passe la totalité la mémorisation des mots de passe. Imaginons qu’on perde son iPhone, tant qu’à faire loin de chez soi, dans un pays étranger.
On ne peut plus accéder à des comptes de mail, de cloud, de comptes client etc où on avait peut-être des scans de ses documents d’identité, des billets électroniques, etc

avatar Dv@be | 

@rua negundo

Disons que si je perds mon iPhone j’en rachète un dans la minute (usage professionnel intense qui le justifie) et donc restauration iCloud ce qui me permet de récupérer mes données.
Sinon je Check sur l’iPad ou sur le Mac 😏

Je comprend ton inquiétude à confier des mots de passes à un gestionnaire extérieur. Malheureusement je n’ai pas une mémoire me permettant de retenir un mot de passe dédié à chaque app, site, etc..

avatar rua negundo | 

@Dv@be

Moi non plus. J’aurais simplement tendance à distinguer entre les mots de passe des services les plus importants (e-mails principaux, cloud, compte client important) où je retiens le mot de passe et les autres services qui ne sont pas vitaux (comme celui-ci avec tout le respect que je lui dois)

avatar Mrleblanc101 | 

@Dv@be

Copier coller 500 mots de passe auto-généré si tu quitte l'écosystème Apple, quelle joie !

avatar Dv@be | 

@Mrleblanc101
Strictement aucune raison de quitter Apple.

avatar Shralldam | 

Regardez plus attentivement les captures d'écran…

avatar Mrleblanc101 | 

@Shralldam

Oui, et ? Tu va vraiment aller copier-coller 500 mots de passe auto-générer ? Have fun

avatar LoossSS | 

Tous les gestionnaires de mots de passe digne de ce nom ont des fonctions d'import / export des listes de mot de passe.
Apple n'étant pas ouvert sur le monde extérieur, c'est bien entendu beaucoup plus compliqué si on utilise le trousseau mais en quelques recherches j'ai trouvé des scripts qui permettent d'exporter les données vers un fichier.

avatar tamu | 

Je me demande si c’est une bonne idée de standardiser ça !? Plus que les systèmes de changement de mot de passe seront similaires plus qu’il sera possible de faire un hacking de masse ! Non ?

avatar oomu | 

ça simplifie la vie de tout le monde, oui. et je dis bien TOUT le monde... :)

avatar ForzaDesmo | 

@tamu

Je me demande si c’est une bonne idée de standardiser ça !? Plus que les systèmes de changement de mot de passe seront similaires plus qu’il sera possible de faire un hacking de masse ! Non ?

Derrière cette bonne idée, c'est exactement la même question que je me posais. 🤔

avatar koko256 | 

Non.

avatar koko256 | 

Il pourrait surtout normer la manière de d'authentifier sur un site pour que les gestionnaires de mots de passe marchent sur tous les sites et puissent supporter des OTP.

avatar totoguile | 

@koko256

Je me disais la même chose: ils ont fait la moitié du boulot

avatar oomu | 

"1..2..3..4 ?! mais c'est le code que n'importe quel abruti utilise pour ses valises !"

avatar ya2nick | 

@oomu

Vive le social engenering; vous êtes nés quand ? Et vos enfant ? Vous êtes marié ? En quelle année ?
Cela marche très bien aussi.

avatar bunam | 

Vive le social engenering;
vous êtes nés quand ?
3:"-fz%q?K~WY2S
Et vos enfant ?
aDZ<9^z:>J[]=qx
Vous êtes marié ?
U(E($Y^WWe<7eHX
En quelle année ?
!4CSfG2_9>KA-bc

avatar ecatomb | 

Cela marche bien, il m’indique que j’ai le même mot de passe pour macg, igen et le forum 😛

avatar Jeanlucesi | 

Sinon pour ceux que cela intéresse il y a Bitwarden, open source et gratuit mais l'on peut toujours aider le développeur pour 10 $ par an.

avatar LoossSS | 

Je confirme c'est top. J'ai payé les 10$, ça les vaut sans problème. Ils sont très sérieux, entièrement open source du serveur jusqu'à l'extension navigateur, et ont même fait un audit de sécurité par un organisme externe l'année dernière.

avatar etienner33 | 

La bonne nouvelle, c’est qu’il suffira de détourner cet URL pour récupérer les mots de passe de tout le monde.
C’est comme les applications qui regroupent les banques en vous demandant votre mot de passe : la banque considère que vous avez enfreint les règles de sécurité

Pages

CONNEXION UTILISATEUR