it-swarm.dev

Sécurité des gestionnaires de mot de passe du navigateur uniquement

Il existe des gestionnaires de mots de passe comme KeePass qui stockent tous les mots de passe dans un conteneur chiffré sur la machine locale. Je devrais copier ce conteneur sur d'autres machines pour pouvoir également y entrer mes mots de passe.

Il existe ensuite des gestionnaires de mots de passe qui ressemblent essentiellement à KeePass mais stockent le conteneur de mots de passe en ligne.

Et puis, il existe des générateurs de mots de passe algorithmiques qui, sur la base d'un mot de passe principal, créent le mot de passe pour le site Web actuellement visité à la volée. Des exemples de tels gestionnaires de mots de passe en ligne sont SupergenPass et PWDHash . Tout ce dont j'ai besoin avec moi, c'est un minuscule bookmarklet (qui est synchronisé avec tous les navigateurs) et le mot de passe principal dans ma tête.

Quels sont les avantages ou les inconvénients, du point de vue de la sécurité, lors de l'utilisation des gestionnaires de mots de passe en ligne de la 3ème catégorie? Existe-t-il un gestionnaire de mots de passe en ligne qui corrige ces inconvénients tout en offrant les avantages?

12
akira

Personnellement, j'aime un peu mieux le gestionnaire hébergé tant que la sécurité est correctement implémentée. Prenez LastPass par exemple (mon préféré), ils ne stockent pas une version non hachée de votre mot de passe principal. Par conséquent, sans craquer délibérément vos mots de passe, même l'hôte du site ne peut pas accéder à vos informations. Bien entendu, cela n’est valable que si vous faites confiance à la tierce partie, qui est le centre des préoccupations en matière de sécurité. En bref, tant qu'ils ne conservent pas une copie non hachée de votre mot de passe, je n'ai pas d'objection à utiliser les gestionnaires de mots de passe hébergés.

5
Brad Gardner

Mise à jour 2018

J'ai beaucoup appris au cours des 8 années écoulées depuis que j'ai écrit cette réponse. Ce que j’imaginais être un mot de passe sécurisé n’était pas vraiment sécurisé . Aujourd'hui, j'utilise 1Password avec les mots de passe générés selon le style "diceword". Toujours hors ligne et pour les mêmes raisons, mais plus sécurisé que mon algorithme mental basé sur le nom de domaine. Les seuls mots de passe dont je dois me souvenir plus sont celui de connexion à mon ordinateur et celui qui ouvre mon coffre 1Password - les deux sont indiqués dans le coffre 1Password de ma femme au cas où quelque chose m'arriverait. Tout le reste n'est qu'à quelques touches de là.

L'utilisation d'un gestionnaire de mots de passe hébergé signifie que vos mots de passe sont stockés quelque part dans le nuage et que des instructions explicites sur la manière de les déchiffrer se trouvent à proximité (dans le code qui les crée/les édite/les utilise). Si le site était compromis, il ne serait pas difficile d'accéder à des milliers de comptes.

Pour cette raison, je me méfie des gestionnaires de mots de passe en ligne. Personnellement, j'utilise une solution que j'ai composée pour moi-même: j'ai un algorithme assez simple à exécuter dans ma tête qui génère un mot de passe sécurisé (majuscules et minuscules, chiffres et caractères spéciaux) basé sur le nom de domaine. et mon nom d'utilisateur choisi.

De plus, j’essaie d’utiliser oAuth et OpenId autant que possible, afin d’avoir moins de mots de passe à retenir et d’être plus sûr que les sites qui FONT mon mot de passe (par exemple Facebook et mon fournisseur OpenId) le sécurise correctement (sel + hachage, etc.).

Si je devais utiliser un utilitaire de stockage de mots de passe, j'irais probablement avec KeePass et stockais le fichier crypté dans Dropbox pour le synchroniser entre ordinateurs.

1
Adam Tuttle

Eh bien, ils sont tous mis en œuvre différemment, certains sont plus sûrs et d’autres moins.

Par exemple, j'utilise Clipperz .

La façon dont fonctionne Clipperz est de crypter/décrypter un blob crypté que le serveur stocke en javascript . Cela signifie que si votre blob parvient à un pirate malveillant, il ne sera pas en mesure de le déchiffrer (si vous avez choisi un mot de passe raisonnable).

Le code utilisé est open source, ce qui me donne un peu plus de confiance, car je peux l’auditer.

LastPass utilise la même approche, donc c'est assez sûr.

Je serais moins susceptible d'utiliser des éléments tels que https://www.pwdhash.com/ car cela signifie que si je veux changer mon mot de passe principal, je devrai le changer sur tous les sites. En outre, il est moins sécurisé car si les gens connaissent les règles que j'utilise pour créer le mot de passe, ils peuvent forcer mon mot de passe par force.

1
Sam Saffron