SuperGenPass, créateur de mots de passe sous forme de bookmarklet

Publié initialement à : SuperGenPass, créateur de mots de passe sous forme de bookmarklet – Korben

Vous connaissez déjà tous les gestionnaires de mots de passe pour navigateur (j’en présente régulièrement sur mon site). Ce sont souvent des extensions à installer ou une solution directement embarquée dans celui-ci. L’idée c’est d’avoir un coffre-fort qui stocke nos identifiants sans que nous devions nous en souvenir. La plupart du temps ces gestionnaires disposent d’un générateur de mots de passe.

C’est aussi l’idée derrière SuperGenPass. Sauf que plutôt que de stocker ses identifiants en local (sur son disque dur) ou en ligne (sur les serveurs du gestionnaire utilisé), il va utiliser un hash algorithmique qui créera tous les mots de passe en fonction d’un mot de passe maître et du site sur lequel vous êtes. En gros vous aller vous créer un premier mot de passe et lui va créer toute une série de passwords différents par la suite.

L’avantage est que vous n’aurez qu’à vous souvenir de votre mot de passe principal pour retrouver tous vos autres mots de passe puisque le hash donnera toujours la même réponse lors de la combinaison URL du site + mot de passe maître. À prendre en compte donc, si l’URL du site change d’un seul caractère, le mot de passe généré ne sera plus le même. C’est une bonne sécurité supplémentaire contre les sites de phising par exemple, le résultat généra sera forcément différent entre korben.info et k0rben.info par exemple, vous ne donnerez donc pas votre vrai mot de passe au mauvais site.

Concrètement vous allez juste glisser le bouton SGP dans vos bookmarks (ou utiliser la WebApp sur mobile), et lorsque vous visitez un site demandant de s’identifier vous n’aurez qu’à cliquer sur le raccourci et entrer votre mot de passe maître. Le bookmarklet vous génèrera alors un mot de passe complexe (que vous pouvez afficher et recopier si vous voulez en garder une trace).

Il est possible de modifier la complexité de ce dernier en cliquant sur la roue en haut à droite. Vous pourrez alors préciser le nombre de caractères qu’il doit faire et l’algo de hash (MD5 ou SHA). Pour sauvegarder vos modifications, pensez à cliquer la disquette à côté de la roue (ce n’est pas forcément très parlant).

Aucun identifiant n’est stocké ou transmis, c’est donc totalement sécurisé et vous protège de tout hack des serveurs du service utilisé ou de toute panne de votre propre machine. Le projet est gratuit et open source (lien GitHub).

D’autres gestionnaires de mots de passe pour navigateurs :

Il y a LessPass dans le même style.

Ces approches sont séduisantes mais ont de gros inconvénients :

  • Il faut se rappeler des contraintes de chaque site (par exemple, certains sites n’autorisent pas les caractères spéciaux dans les mots de passe).
  • En cas de changement de mot de passe sur un site particulier, il faut ajouter une graine qu’il faut aussi mémoriser.
  • Il est compliqué de migrer depuis un autre gestionnaire de mot de passe car il faut tous les changer.

Pour creuser le sujet, deux liens (je ne peux pas en mettre plus :D) que j’avais trouvé au moment où je m’étais renseigné sur cette approche :