Les navigateurs de plus en plus avancés dans la gestion des mots de passe

Stéphane Moussie |

Logiciels dans lesquels on est le plus amené à saisir ses mots de passe, les navigateurs web font enfin de la gestion de ces données sensibles l'une de leurs priorités. Le dernier exemple en date vient de Google.

Chrome

Désormais, lorsque vous saisissez votre identifiant et votre mot de passe sur un site web, Chrome est capable de vous prévenir si ces informations font partie d'une fuite malencontreuse, comme il y en a régulièrement. Le cas échéant, Chrome vous suggérera de les modifier afin d'éviter qu'un malandrin ne les utilise à votre insu.

Cette fonction de sécurité intégrée à Chrome prenait auparavant la forme d'une extension nommée Password Checkup. Google avait expliqué au début de l'année avoir constitué son propre stock de quatre milliards de données de connexion ayant fuité un jour — un stock sans doute plus important aujourd'hui.

La vérification des données de connexion compromises est en cours de déploiement pour les utilisateurs qui ont connecté leur compte Google à Chrome (une connexion que Google force par défaut depuis l'année dernière). Si vous n'en voulez pas, il est apparemment possible de la désactiver dans les paramètres Services Google/Synchronisation.

Sur Firefox, les améliorations du gestionnaire de mots de passe ont été tellement nombreuses cette année que la fonction a désormais un nom, Firefox Lockwise. Les mots de passe enregistrés dans le navigateur libre ne sont plus présentés dans une fenêtre étriquée, l'interface se rapproche de celle d'un gestionnaire dédié.

Firefox

Comme Chrome, Firefox (Lockwise) vous prévient si vos identifiants et mots de passe ont fuité. Pour cela, le navigateur exploite la base de données Have I Been Pwned?, que vous pouvez consulter librement et que 1Password utilise aussi pour rendre le même service.

La vérification se fait de manière sécurisée : Firefox n'envoie pas votre mot de passe en clair pour voir s'il figure dans la base de données. C’est seulement une partie de son hash (une empreinte calculée par un algorithme) qui est utilisée pour voir si elle figure dans la base (plus de détails ici).

Si Mozilla a doté son gestionnaire de mots de passe d'un nom, c'est surtout pour le proposer sous la forme d'une application à part entière disponible sur iOS et Android. Ainsi, si on utilise Firefox sur bureau mais qu'on préfère Safari sur mobile, on peut toujours retrouver ses mots de passe dans une app distincte.

En parlant de Safari, la dernière amélioration concernant le gestionnaire de mots de passe intégré remonte à l'année dernière. Depuis macOS Mojave et iOS 12, le navigateur (ou la section des réglages dédiée aux mots de passe dans iOS) indique quand un mot de passe est réutilisé sur plusieurs sites.

Safari

Si vous l'ignoriez encore, il faut éviter de réutiliser un mot de passe, puisque s'il est compromis, les piratages de comptes peuvent être multiples. Safari simplifie le changement de mot de passe en menant directement vers la page du site en question si c'est possible.

En fait, Apple concentre depuis quelque temps ses efforts sur un plan plus ambitieux qui consiste à faire disparaître les mots de passe. Disponible sur les plateformes d'Apple et sur le web, le système « Connexion avec Apple » permet de s'authentifier sur des sites et des apps sans avoir à créer de mot de passe, à l'instar de Google Sign-In et Facebook Connect.

Seulement, ces systèmes d'authentification restent encore assez minoritaires. Les mots de passe font toujours partie du quotidien, et ce pendant encore un bon moment, certainement. Il est donc nécessaire que les navigateurs renforcent leur gestion.

1Password

Les gestionnaires intégrés à Safari, Firefox et Chrome sont convenables pour les utilisateurs occasionnels. Leur principal avantage est d'être intégré justement : ils sont les plus à même d'assister les personnes qui ne se préoccupent pas de leur sécurité informatique ou qui n'ont pas les bons réflexes.

Les applications dédiées, comme 1Password, Dashlane ou encore LastPass, gardent néanmoins de sérieux atouts. Elles permettent de synchroniser plus largement ses mots de passe, de stocker d'autres données sensibles, de prendre en charge les seconds facteurs d'authentification, de contrôler les éléments de sa famille, etc. Ces coffres-forts numériques n'ont pas dit leur dernier mot.

avatar Kriskool | 

Ce qui devient pénible c’est lorsque la saisie du mot de passe doit se faire sur une page annexe de l’identifiant. Là les gestionnaires de mots de passe bottent souvent en touche! Et aussi les mots de passe à taper sur des pavés numériques virtuels pour lesquels les gestionnaires de mdp sont d’aucune aide. Je ne comprends pas d’ailleurs pourquoi ces mots de passe numériques subsistent encore... 🙄

avatar YoannGoW | 

Concernant les pavés numériques virtuel (des banques l'utilisent par exemple)
il s'agit d'une protection contre les Keylogger (analyseur de frappe clavier, clics souris...) qui peuvent savoir quels chiffres on tape... les chiffres virtuels changeants de place à chaque fois cela élimine les plus basiques des attaques possibles mais mieux vaut une authentification à 2 facteurs assurément car si la personne réussi à voir votre écran vous l'aurez quand même dans l'os.

avatar mcai | 

N’oublions pas le gestionnaire de mots de passes multiplateforme et
Open Source, KeePass, qui me rend bien service au quotidien

avatar FredMac92 | 

@mcai

Keepass sur iOS ? Note 2/5 ?

avatar R5555 | 

KeepassXC ou MacPass sur mac et StrongBox sur iOS, c'est la versionde Keepass la plus aboutie sur ce système. (Android a également un très bon Keepass)

avatar FredMac92 | 

@R5555

Merci.
Question :
Ils sont interopérables ? Un mot de passe dans l’un peut se mettre à jour sur l’autre ? (Via iCloud par ex)

avatar R5555 | 

C'est ça, iCloud, OneDrive... :)

avatar Eyquem | 

@mcai

Bitwarden : open source, multiplateforme et possibilité de le gérer sur son propre serveur, j’ai pas trouvé mieux...

avatar Ktv75 | 

Je n’ai toujours pas croisé de sign with Apple..

avatar Ramlec | 

@Ktv75

J’en ai vu 1 sur AlloCiné si mes souvenirs sont bons.

Les développeurs ont jusqu’à avril pour mettre à jour leurs apps et rentrer dans les clous d’Apple

avatar alexis83 | 

@Ktv75

GIPHY l’utilise !

avatar Tomtomrider | 

@Ktv75

TikTok

avatar iBakarorea | 

Sur le trousseau iCloud, quelqu’un sait comment supprimer tous les mots de passe ? Sur iPhone

avatar raoolito | 

@iBakarorea

les sélectionner et les supprimer ?
mais quel interet  ? Au pire on peut fermer son compte icloud

avatar iBakarorea | 

@raoolito

Parce que j’ai des doublons, triplons etc et je veux remettre à zéro

avatar raoolito | 

@iBakarorea

Si j'avais le problème je ne supprimerai pas tous mes mots de passe c'est dangereux sauf à tous les connaître.
J'ai également pas mal de doublons et de vieux mots de passe il suffira qu'un jour je m'enlève les doigts du cul et que je me prenne une journée pour faire un grand nettoyage
Mais c'est vrai que c'est mon point de vue par rapport à mes mots de passe comme notre compte centralise celui de ma femme et de ma fille on risque de perdre beaucoup si je m'amuse à tout supprimer
Normalement il suffit de supprimer dans iCloud toutes les synchronisations liees au trousseau d'accès

avatar iBakarorea | 

@raoolito

J’ai tout dans 1Password donc pas grave si j’ôte tout. Je vais reconstituer la liste petit à petit 😄

avatar YuYu | 

@iBakarorea

Réglages/comptes et mots de passe

avatar iBakarorea | 

@YuYu

Merci 🙏🏻

avatar palmsnipe | 

Pendant des années, j'ai utilisé 1password, mais depuis le passage à l'abonnement, je suis passé sur enpass, puis ces derniers mois sur Keepass. C'est open source, ça gère le TOTP, et ça marche très bien quelque soit la plateforme. Mon utilisation a aussi changé. Alors que 1password gérait tous les mots de passe, maintenant j'ai une utilisation plus hybride, en combinant le gestionnaire de mots de passe des navigateurs pour les sites web, mais keepass apporte plus de flexibilité avec la possibilité de stocker des documents, TOTP, diverses notes, ...
Alors 1password est vraiment raffiné et l'application est excellente, mais payer 4$/mois pour un gestionnaire de mots de passe n'est pas justifié en usage personnel.
Utiliser uniquement les gestionnaires des navigateurs est trop limite, surtout que beaucoup de sites requièrent la double authentification.

avatar alexis83 | 

@palmsnipe

J’ai fais installer keepass au travail et le fichier est sur notre serveur donc toute l’entreprise y a accès mais est ce que tu peux mettre ton fichier sur iOS et y accéder sur iOS (d’ailleurs tu utilise quel app ? Il y a en pas mal et certaine avec abonnement pour des fonctions de base...)
Mon but c’est de migrer mon compte perso 1Password vers keepass justement mais je n’ai pas trouvé l’authentification à deux facteurs dessus 🤨

avatar palmsnipe | 

@alexis83 Sur mac et windows, j'utilise KeepassXC (il existe MacPass qui est développé nativement et joli visuellement mais il ne supporte pas le TOTP), android Keepass2Android, et iOS Kypass. Tous supportent l'authentification à double facteur (il faut juste faire attention comment le TOTP est formaté parce que KeepassXC et Kypass le font différemment et du coup il y a 2 attributs avec le même code d'authentification mais le résultat est le même), et tout se synchronise via Google Drive (mais dropbox ou autre serveur devrait marcher tout aussi bien).
Il y a plusieurs applications iOS pouvant lire les bdd keepass, mais de ceux que j'ai testé, Kypass est le meilleur.

avatar alexis83 | 

@palmsnipe

Super merci ! Je viens de voir pour la version iOS et pas d’abonnement c’est parfait et d’après le descriptif prend en charge iCloud Drive donc au top ! Pour la version mac ça m’a l’air tout aussi bien !

Je vais bien regarder ça ce week-end et surtout voir les différences concernant la double authentification car tu me dis que c’est différent entre les deux app mais que le résultat est le même.

En tout cas merci, si tout est concluant je migre tout vers keepass !

avatar macfredx | 

@palmsnipe

1Password existe toujours sans abonnement.

avatar palmsnipe | 

@macfredx oui, mais repayer une licence pour utiliser la dernière version de 1password n'est pas justifié pour mon usage. Voyant le chemin que ça prend entre le modèle d'abonnement, la direction du tout cloud et ses fonctionnalités exclusives, j'ai préféré aller voir ailleurs.

Pages

CONNEXION UTILISATEUR