@Korben je crois qu’il y a une petite coquille dans l’article “celui-ci ne lui sera d’occupe utilité”, je pense que c’est plutôt la phrase suivante “celui-ci ne lui sera d’aucune utilité”
Et une solution que ma mère pourrait mettre en oeuvre autre que le tatouage sur l’oreille du chien ?
1 « J'aime »
Merci d’avoir pris le temps de me donner ces instructions, je devrais m’en sortir, ça à l’air simple en fait ! 
Keepass pour moi aussi, le fichier est stocké sur le Cloud ce qui me permet d’y accéder de mon smartphone et de mon navigateur internet.
Sur Android : https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=fr
Sur Google Chrome : https://chrome.google.com/webstore/detail/ckp-keepass-integration-f/lnfepbjehgokldcaljagbmchhnaaogpc
Il y a aussi TrueKey
Connectez-vous à True Key à l’aide de votre visage ou de votre empreinte.
True Key vous connecte partout ailleurs.
Pour les évaluations zavez : https://www.grc.com/haystack.htm
et surtout l’entropie… pas besoin de se faire mal à la tête.
Sinon zavez aussi ma petite formule : https://www.moureau.me/safe-passwords/safe-password-formula.html
1 « J'aime »
Salut à tous,
Je vois que vous êtes nombreux à utiliser keypass mais est ce que c’est vraiment fiable. Imaginons que quelqu’un mette la main sur mon fichier keepass il sera robuste il ne pourra pas le péter avec un dico ?
La sécurité de ta base KeePass dépend de la robustesse de ta clé (ton mot de passe), comme toute autre solution de crypto. Tu peux augmenter le nombre de cycle fait sur le chiffrement pour ralentir l’algorithme, sur ordi ça ne pose pas de soucis par contre sur téléphone, attention ça peut vite devenir long et énergivore 
Le logiciel en lui même a été testé par l’ANSSI, tu peux trouver le rapport facilement sur leur site, c’est robuste selon eux Aucun problème d’implémentation de l’algo de chiffrement en tout cas.
Que pense tu de l’utilitaire de sauvegarde de mot de passe google inclus dans chrome ?
“Ce système ne présente que des avantages.”
Faux : comme cela est sous-entendu dans l’article, ce système réduit la difficulté de casser 500 mots de passe à la difficulté d’en trouver 1 unique.
“Plus besoin de se souvenir de vos mots de passe et surtout, vous pouvez générer un mot de passe différent pour chaque site web que vous fréquentez.”
Faux : Votre disque dur peut toujours crasher ou n’importe quel bug corrompre la base de donnée du softs (vu qu’il s’agit d’un fichier crypté, 1 bit de pourri et tout est mort… Et un bit ça se pourrit très vite, ne serait-ce que l’orsque le disque dur est plein), vous perdrez alors votre base et donc l’accès à tous vos sites…
Enfin, comme le font remarquer plusieurs personnes, la plupart des browsers intègrent aujourd’hui la possibilité de stocker (et crypter ce stockage) les mots de passes du web. Donc niveau préticité, y’a plus simple que d’installer F-Secure une n’importe quel soft extérieur…
Une blague ? Les mots de passes sont accessibles en clair il me semble.
A nuancer, le mot de passe de cette base est censé être bien plus robuste que ce que tu mets sur différents site. Puisque de toute façon a moins d’être surdoué tes mots de passe seront semblables et moins compliqués.
La base est également censé être sauvegardé régulièrement. C’est un principe de base pour n’importe quel fichier important.
Le cryptage des mots de passe des navigateurs ? C’est une vaste blague, regarde juste comment il est simple de péter la base de Firefox. Et ils ne génèrent pas des mots de passes aléatoires
Keepass synchronisé sur Dropbox (attention y’a une bidouille à suivre sur le site de keepass pour ne pas générer plusieurs branches), ensuite c’est synchronisé partout :
- sur mon phone via Keepass2Android (beerware / gratuit)
- sous mon linux à la maison via dropbox et keepass via mono
- au boulot (par contre les cons de RSSI ont bloqué dropbox donc syncro qd je ramène mon portable à la maison)
Ce qui est magique avec KeePass, une fois l’autotype activé c’est universel Ctrl+Alt+A sur n’importe quelle fenêtre qui demande un login et vous êtes connecté !
Le coté négatif est que c’est fastidieux à mettre en oeuvre correctement : faire références aux id de domaine pour ne changer qu’une fois le mdp, paramétrer les auto-type partout, et surtout changer ces mdp partout pour un truc généré par Keepass, paramétrer les URL sur les remotes desktop
Pour la sécurité : c’est un fichier (genre une photo ou un MP3) + mdp
J’en suis à 320mdp dans mon keepass (68 persos, et 223 professionnels), comment serais-je censé mémoriser 223 mot de passes différents au boulot ?!
J’ai deux mots de passe : un “easy” pas long pour les sites de commentaires ou qui n’aurons aucune incidence sur ma vie si il est découvert et un, “secure”, genre phrase longue, avec une référence au site à l’intérieur ce qui fait qu’il est facilement mémorisable, long, et différent sur chaque site. Et je ne vois donc aucune raison d’utiliser un logiciel de mots de passes pour ça.
1 « J'aime »
Parce que pour quelqu’un de logique, il sera simple de trouver la “référence” au site, ou simplement bruteforcer uniquement sur cette référence. C’est une bonne méthode pour mémoriser ses mots de passe, mais ça ne vaut pas de l’aléatoire
J’avais lu que certains softs (ophcrack) trouvaient tous les mots de passe de 14 caractères, symboles chiffres quelque soit la casse en moins d’une journée(Source : Zythom).
En se basant sur la carte graphique, on peut “paralléliser” le brute force. Et ça fait très mal… Je n’imagine même pas ce qu’ils peuvent faire à la NSA avec ce genre de technologies et des supers ordinateurs.
Je suis pas informaticien à la base, et j’avais vu des applications en simulation numérique, de faire passer du calcul par carte graphique et pas par un processeur. Il y avait de sacrés résultats !
On dirait qu’on a tous potentiellement une machine très puissante, seulement on utilise cette puissance seulement pour les graphismes et certains jeux…
J’avais aussi vu sur le sujet une idée de Sebsauvage (enfin je sais pas si c’est de lui mais au moins c’est lui qui me l’a transmise) : utiliser un algorithme connu de vous seul qui se base sur des éléments du site (genre, l’url) et qui fait quelques transformations pour arriver à un truc long, avec pleins de caractères différents.
Avant que le gars teste tous les algorithmes imaginables et tombe sur le vôtre, vous êtes serein.
Personnellement j’utilise KeePassX, et ça fait le taf.
Par contre il y a une chose à prendre en compte, c’est la complexité et la longueur des mots de passes générés.
En effet, sur pas mal de site, le nombre de caractère maximum pour le mot de passe est assez faible (genre entre 8 et 15), du coup si on fait un copier coller lors de l’inscription, le mot de passe est tronqué sans qu’on s’en rende compte, du coup à la connexion bah ça foire.
Maintenant par habitude je vérifie avant s’il y a une limite de longueur avec l’inspecteur de code. Je suis aussi tombé sur des formulaires sans limitation, et ou le mot de passe finissais tronqué côté serveur, la y’a plus rien à faire, les devs ont mal choisi leur branchent.
Mais il y a un autre problème, c’est si on autorise tous les caractères lors de la génération. Je suis tombé sur plusieurs site qui valide le mot de passe coté serveur (jusque là rien d’exceptionnel), et qui au lieu de renvoyer une erreur en cas de caractères non autorisés, supprime les dits caractères et enregistre le mot de passe modifié dans la base de donnée.
C’est toujours sympa de cliquer sur “J’ai oublié mon mot de passe” juste après une inscription…
Pour ma part, j’enregistre mes mots de passe dans le trousseau Firefox, à vrai dire, j’utilise Firefox quand j’ai besoin de m’authentifier sur un site, sinon, pour le reste j’utilise Google Chrome…
…et pour Facebook/Twitter, j’ai un Firefox portable - pour séparer réseaux sociaux - surf et le reste
Je peux du coup, mettre des gros mots de passe sur les sites Internet (souvent > 20 caractères aléatoires (a-z, A-Z, 0-9, symboles) et ne pas à m’en souvenir. Firefox fait le boulot, (mieux qu’avant)
Et pour le mot de passe maitre (masterpassword) de Firefox, vu que j’ai un système sous un UNIX (Linux/OSX), je peux taper des caractères ALT, du style : ë“‘{¶«¡Çø}— etc.
D’ailleurs, le mot de passe de mon ordi, est également composé de tel caractères et fait 14 caractères (mais 28 octets). Sachant que ces caractères étendus sont encodé de c2a1 à efac autant dire que les attaques avec du bruteforce sont très compliquées …
Cela me fait avoir un alphabet final de 186 combinaisons (tout les symboles + alphabet minuscule + alphabet majuscule + tout les caractères ALT, voir la table ASCII ici : (zerobin) http://goo.gl/obvpWm
print ((90+94)14)/(9014)
Mon mot de passe est donc 2148658 (plus de 2 millions) de fois plus complexes qu’un mot de passe avec un alphabet humainement lisible.
Ça a l’ai compliqué, mais je n’ai qu’à appuyer sur ALT ^^
Pour faire plus simple, si j’aurais une recommendation, ce sera de conseiller de mettre des spécificités de la langue française (ex.: ç, à, é, …) ce qui est déjà une très bonne protection
De même pour moi, AUCUN LOGICIEL.
un mot de passe long avec des majuscules, des caractères ascii, et SURTOUT une référence au site concerné. Exemples :
9201-aria&GL@ (Gmail)
9201-aria&FK@ (Facebook)
…
9201-aria&AN@ (Amazon)
9201-aria&KN@ (Korben)
Cela donne un mot de passe différent pour chaque site facilement mémorisable. C’est toujours le même et unique mot de passe avec une différence lié au nom du site concernés. 
Dommage de le mettre sur un site Internet à la vue de tout le monde alors … c’était la blague du soir ^^
Merci merci !