Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#51 Le 01/02/2024, à 14:33

Christophe C

Re : Sécurité et enregistrement des mots de passe

Je connais cet article, je l'avais lu, mais quand ils parlent de 256 bits, c'est pour les MDP qui sont partagés sur leurs serveurs de synchro : "Vos identifiants et mots de passe synchronisés entre vos appareils sont protégés par le chiffrement à 256 bits."

Ensuite il y a cela, mais sans préciser clairement de quoi on parle :

Pour les pros, voici plus de détails sur les technologies mobiles que nous employons :

AES-256-GCM, une technologie de chiffrement par bloc résistante aux attaques
Le protocole onepw pour vous connecter à vos comptes Firefox et obtenir les clés de chiffrement
PBKDF2 et HKDF associés à SHA-256 pour créer une clé de chiffrement à partir de l’identifiant et du mot de passe de votre compte Firefox.

Mais en 2021, il y a cela (je viens de tomber dessus) : by-by 3DES : https://blog.mozilla.org/security/2021/ … irefox-93/. mais là aussi ils parlent de serveurs, pas du local.

Je me fais peut-être des noeuds au cerveau, c'est peut-être un seul cryptage 256 bits quel que soit l'emplacement, mais pour l'instant je n'ai rien vue de très carré sur le local. C'est + clair sur les serveurs de synchro, qui m'ont l'air sécurisés de façon satisfaisante.

Dernière modification par Christophe C (Le 01/02/2024, à 14:41)


BountySource - Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».

Hors ligne

#52 Le 01/02/2024, à 14:46

Christophe C

Re : Sécurité et enregistrement des mots de passe

incidemment, et surtout sans lancer un débat sur les SNAP et les flatpacks, est-ce que la conteneurisation des snap / flatpack améliore la sécurité du browser (au prix d'un lancement un peu plus long et d'un poids plus lourd).


BountySource - Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».

Hors ligne

#53 Le 01/02/2024, à 14:51

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

ce n'est pas le but premier et il ne faut pas compter dessus. je pense que ça peut gêner certains types d'attaques, mais ça ne peut pas vraiment être un argument sur lequel se reposer.

Hors ligne

#54 Le 01/02/2024, à 17:24

lool_lauris

Re : Sécurité et enregistrement des mots de passe

krodelabestiole a écrit :

donc tu assures ta sécurité en cachant tes mots de passe derrière une fenetre ? ou sur les bords de l'écran ?
non parce que sur une session ouverte il suffit d'ouvrir firefox et de les demander pour les avoir, les mots de passe !

tu vas vraiment essayer de défendre cette idée absurde ?

Je pense que tu n'as jamais utilisé les mdp au travers Firefox. Avant de raconter n'importe quoi, fais l'essai !
Si tu as pris la précaution d'utiliser un mot de passe principal, rends-toi à "Menu > Mots de passe", tu verras que les mdp sont cachés et que la seule façon de les afficher en clair est de saisir au préalable le mot de passe principal.

Alors que si je suis ta façon de procéder avec Keepass ou autres (càd ouvrir la base au démarrage de la session de l'OS) cette base étant non verrouillée, on peut y lire en clair tous les entrées. Pour sécuriser le truc, il faudrait verrouiller la base après chaque utilisation, et si tu as besoin de te connecter plusieurs fois pas jours sur différents sites nécessitant un mdp, alors ça devient vite gonflant de rentrer à chaque fois la clé maîtresse.


Soutenez le Libre => http://www.april.org/

En ligne

#55 Le 01/02/2024, à 17:43

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

lool_lauris a écrit :

Je pense que tu n'as jamais utilisé les mdp au travers Firefox. Avant de raconter n'importe quoi, fais l'essai !

passons...


lool_lauris a écrit :

Si tu as pris la précaution d'utiliser un mot de passe principal

ouaipe, encore heureux que ça serve à quelque chose.
ce n'est pas la configuration par défaut (donc utilisée par les 9/10e des utilisateurs au bas mot) de firefox (tu l'as fais ce fameux essai, toi, sur un firefox fraîchement installé - pas ta config perso ? bah fais-le !).

donc en te suivant, firefox par défaut n'est pas du tout sécurisé, pas plus qu'un agent SSH ou seahorse (installé de base sur GNOME).
on sait pas trop non plus à quoi sert de verrouiller une session.


lool_lauris a écrit :

Bah non ! Tant que la base est ouverte, càd non verrouillée, les mots de passe sont accessibles et visibles en clair. Pas sur Firefox.

accessible par qui et par quoi ?
par moi ? oui, encore heureux !
pas un autre utilisateur ? non !
par un autre logiciel ? non !
sauf le client keepass browser qui a besoin d'une autorisation spécifique, donnée au cas par cas (clé par clé) pour chaque site.

libre à toi de te prendre la tête dans ta gestion des mots de passe, mais je ne vois pas ce qui permet d'affirmer que le mode de fonctionnement par défaut de tous ces logiciels dispo sur ubuntu, recommandés, ou installés par défaut, n'est "pas sécurisé du tout".

si ton activité requiert de toi une telle prise de tête sécuritaire (il ne s'agit même pas d'un meilleur niveau de sécurité), je ne pense pas que ce que proposent ubuntu ni même linux soit suffisant. pour ces besoins on préférera par ex. utiliser OpenBSD (dans le sens où ça ne sert à rien de poser une porte blindée sur une cabane en bois).
pour le commun des mortels, on se passera de cette complexité (et je ne pense pas que le niveau de sécurité soit différent entre une base déverrouillée 5 minutes et 5 secondes - ça donne juste un faux sentiment sur lequel je déconseille de se reposer).

Hors ligne

#56 Le 01/02/2024, à 20:11

Christophe C

Re : Sécurité et enregistrement des mots de passe

je pense que ce que lool_lauris veut dire c'est que SI une personne accède à la session pendant son utilisation avec le navigateur ouvert et les mots de passes déverrouillés, ALORS il lui suffira de cliquer sur la fenêtre KeepassX pour lire les MDP, ce qu'il ne pourra pas faire dans fx.

Pour un tel accès à la session, il faut soit aller sur le PC de la personne (genre au boulot, pendant qu'elle est au toilette ou à la machine à café), soit avoir un accès distant sur le PC, ce qui n'est pas simple du tout.

Mais l'option 1 est par contre assez simple. Peu plausible chez soit (sauf si on se méfit de ses gosses ou de son conjoint), mais facile à envisager au boulot. Je ne verrouille pas ma session quand je sort du bureau, par exemple.

Donc je ne pense pas que ce que dise lool_lauris soit si absurde ou paranoïaque. c'est certes un cas relativement limité (accès à la session), mais cela ne semble pas un cas si rare.


BountySource - Faite un petit don, ponctuel ou récurent, pour soutenir le développement de XFCE.
Timeshift - Sécurité : pensez à paramétrer des points de restauration système.
Euclide : « Ce qui est affirmé sans preuve peut être nié sans preuve ».

Hors ligne

#57 Le 01/02/2024, à 20:14

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

si on laisse sa session ouverte au boulot quand on part boire un café clope, c'est pas la peine de parler de sécurité.

c'est là que la question commence.

Hors ligne

#58 Le 01/02/2024, à 20:16

Nuliel

Re : Sécurité et enregistrement des mots de passe

Dans ce cas, il est important de croissanter son collègue big_smile

Verrouiller sa session systématiquement c'est effectivement la base

Dernière modification par Nuliel (Le 01/02/2024, à 20:16)

Hors ligne

#59 Le 01/02/2024, à 20:32

lynn

Re : Sécurité et enregistrement des mots de passe

Quelqu'un qui a accès physique à une machine, un peu de temps et quelques connaissances peut corrompre un système, alors avec une session ouverte... c'est la fête ! lol


«C'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!»

Coluche

Hors ligne

#60 Le 01/02/2024, à 20:42

lool_lauris

Re : Sécurité et enregistrement des mots de passe

krodelabestiole a écrit :

donc en te suivant, firefox par défaut n'est pas du tout sécurisé, ...

Oui ce n'est pas sécurisé, pas plus qu'une base Keepass non verrouilée ! J'ai bien précisé qu'il faut utiliser un mot de passe principal !


krodelabestiole a écrit :
lool_lauris a écrit :

Bah non ! Tant que la base est ouverte, càd non verrouillée, les mots de passe sont accessibles et visibles en clair. Pas sur Firefox.

accessible par qui et par quoi ?

Eh ben, tu vas pisser ou fumer une clope, ... et ta session est ouverte et n'importe qui peut lire tes mot de passe. Mais tu vas me rétorquer que jamais au grand kjamais ton PC reste accessible quand tu n'es pas là...


krodelabestiole a écrit :

par moi ? oui, encore heureux !

Franchement, tu trouves que ça apporte quelque chose cette réflexion ? Encore une remarque de ta part pleine de condescendance. Alors STP, arrête avec ce genre de propos à 2  balles qui ne servent qu'à fair epasser ton interlocuteur pour un imbécile. Je ne suis pas d'accord avec toi mais je te respecte, merci de faire de même.


krodelabestiole a écrit :

libre à toi de te prendre la tête dans ta gestion des mots de passe, mais je ne vois pas ce qui permet d'affirmer que le mode de fonctionnement par défaut de tous ces logiciels dispo sur ubuntu, recommandés, ou installés par défaut, n'est "pas sécurisé du tout".

Mais je ne dis pas ça ! Je dis juste que si tu ouvres ta base keepass et qu'elle reste non verrouillée, elle est accessible très facilement. Ce qui n'est le cas avec Firefox dans lequel on a défini un mot de passe principal.


Soutenez le Libre => http://www.april.org/

En ligne

#61 Le 01/02/2024, à 20:50

lool_lauris

Re : Sécurité et enregistrement des mots de passe

Christophe C a écrit :

je pense que ce que lool_lauris veut dire c'est que SI une personne accède à la session pendant son utilisation avec le navigateur ouvert et les mots de passes déverrouillés, ALORS il lui suffira de cliquer sur la fenêtre KeepassX pour lire les MDP, ce qu'il ne pourra pas faire dans fx.
...
Donc je ne pense pas que ce que dise lool_lauris soit si absurde ou paranoïaque. c'est certes un cas relativement limité (accès à la session), mais cela ne semble pas un cas si rare.

Merci Christophe.
Il me semble que ce n'était pas difficile à comprendre. smile


krodelabestiole a écrit :

si on laisse sa session ouverte au boulot quand on part boire un café clope, c'est pas la peine de parler de sécurité.

Dans un monde parfait, ça n'arrive jamais !

D'ailleurs, dans un autre contexte, pourquoi des campagnes de prévention contre le téléphone au volant ? Personne ne fait ça !


Soutenez le Libre => http://www.april.org/

En ligne

#62 Le 01/02/2024, à 21:00

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

oh please !

mon setup n'est "pas sécurisé du tout" et je "raconte n'importe quoi", je n'ai même pas essayé d'"ouvrir firefox" mais tu me respectes et je suis condescendant !

ça va la poutre ?

Hors ligne

#63 Le 01/02/2024, à 21:03

O_20_100_O

Re : Sécurité et enregistrement des mots de passe

ALORS il lui suffira de cliquer sur la fenêtre KeepassX pour lire les MDP,

OUi

ce qu'il ne pourra pas faire dans fx.

A condition que le mot de passe principal n'ait pas encore été rentré. C'est sûr que si on compare une solution avec une base déverrouillée et une autre avec la base fermée, il y a un grand écart.

On n'est plus dans une situation comparable; à moins que quelque chose m'échappe dans cette discussion. La pratique est de fermer la base Firefox après chaque utilisation d'un mot de passe stocké ?

Dernière modification par O_20_100_O (Le 01/02/2024, à 21:09)

Hors ligne

#64 Le 01/02/2024, à 21:30

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

et effectivement laisser ouverte sa session, ça permet à des collègues d'usurper son identité, entre autre pour envoyer des emails (merci pour la découverte du verbe croissanter), télécharger ou envoyer des informations privées n'importe où si on n'a pas le temps de les consulter, installer des mouchards...

ce n'est pas un détail ou une broutille, c'est primordial - surtout vis-à-vis des problèmes simples qu'on aborde ici (gestion des mots de passe), d'où le "si on laisse sa session ouverte au boulot quand on part boire un café clope, c'est pas la peine de parler de sécurité."
si on n'arrive pas à prendre ce réflexe on peut éventuellement mettre un verrouillage automatique très rapide, peut-être à trente secondes ?
ou autre moyen de détection de présence (vérifier continuellement la connexion bluetooth avec son smartphone ? laisser sa caméra tourner avec une application de reconnaissance faciale - peut-être pas la meilleure idée ?)

bref je pense qu'il y a mieux à trouver, effectivement moins contraignant que demander un mot de passe pour la moindre action.

Dernière modification par krodelabestiole (Le 01/02/2024, à 21:31)

Hors ligne

#65 Le 01/02/2024, à 21:46

alex2423

Re : Sécurité et enregistrement des mots de passe

O_20_100_O a écrit :

ALORS il lui suffira de cliquer sur la fenêtre KeepassX pour lire les MDP,

OUi

ce qu'il ne pourra pas faire dans fx.

A condition que le mot de passe principal n'ait pas encore été rentré. C'est sûr que si on compare une solution avec une base déverrouillée et une autre avec la base fermée, il y a un grand écart.

On n'est plus dans une situation comparable; à moins que quelque chose m'échappe dans cette discussion. La pratique est de fermer la base Firefox après chaque utilisation d'un mot de passe stocké ?

A moins que je me trompe :
- avec KeepPass, il faut dévérouillé sa base pour avoir l'auto complémentation sur les sites.
- avec Firefox, il n'est pas nécessaire de dévérouillé sa base pour l'utiliser. Dans ce cas, les logins et mdp ne sont pas lisibles

Hors ligne

#66 Le 01/02/2024, à 22:03

lool_lauris

Re : Sécurité et enregistrement des mots de passe

O_20_100_O a écrit :

A condition que le mot de passe principal n'ait pas encore été rentré. C'est sûr que si on compare une solution avec une base déverrouillée et une autre avec la base fermée, il y a un grand écart.

Bah non, désolé mais tu te trompes.

1/ J'ouvre Firefox.
2/ J'ouvre la page d'un site qui nécessite un login-mdp. M'est alors demandé de saisir mon mot de passe principal. Mon identifiant s'inscrit automatiquement dans le champ idoine (j'ai paramétré le remplissage automatique) et le mdp également mais il reste masqué.
3/ Si je me rends vers "Paramètres > Mots de passe" (immédiatement après la saisie du mdp principal de point 2/) et que je tente de copier ou de visualiser le mot de passe qui est masqué, le mdp principal est de nouveau demandé.

Donc, en entrant le mot de passe principal une fois à l'ouverture de la session Firefox, les login-mdp sont accessibles pour remplir les champs des pages web le nécessitant mais sans que l'on puisse lire en clair les mdp de la base Firefox. Et ceci est valable tant que la session Firefox est ouverte.
Par contre, si l'on ouvre la base keepass et que l'on ne la verrouille pas, ce qui est pratique pour intégrer les login-mdp sur les pages web, alors les mdp keepass sont visualisable en clair. Si l'on ne veut pas ça, il faut verrouiller keepass immédiatement après avoir renseignés les champs nécessaires sur les les pages web. Et ça, ça n'est pas du tout pratique si l'on a besoin plusieurs fois par jour de renseigner des mdp car à chaque fois il faut renseigner le mot passe maître (qui devrait normalement être un truc suffisement long pour être secure).


Soutenez le Libre => http://www.april.org/

En ligne

#67 Le 01/02/2024, à 23:24

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

oui mais c'est un faux sentiment de sécurité. j'ai pas essayé mais je pense qu'il est très facile de récupérer un mot de passe que firefox entre de cette manière. je pense qu'on peut même simplement récupérer ce mot de passe en utilisant l'inspecteur pour afficher les données envoyées en POST.
bref ce genre de bricolage est toujours facilement contournable, je pense qu'on peut développer des logiciels pour faire cracher à firefox ses mots de passe enregistrés, qu'il insère sans nécessiter de mot de passe principal, et sans avoir à brute-forcer quoi que ce soit.

encore une fois il faut faire gaffe aux faux sentiments de sécurité, et surtout ne pas s'encombrer avec des méthodes qui n'apportent que ce sentiment au détriment du confort d'utilisation.

Hors ligne

#68 Le 01/02/2024, à 23:26

beuguissime

Re : Sécurité et enregistrement des mots de passe

Bonsoir,

Je crois que ça a déjà été évoqué dans le fil: KeepassXC peut être configuré pour se reverrouiller suite à un événement, par exemple, lorsque l'économiseur d'écran démarre. Ça tombe bien, l'économiseur d'écran a de bonne chance de démarrer lorsqu'il y a une inactivité, c'est-à-dire lorsque l'utilisatrice ou l'utilisateur n'est plus devant sa machine car il ou elle est allé imprimer un document ou boire quelque chose. Et oui, le B.A.BA est de verrouiller son poste lorsqu'on s'absente ; c'est la première discipline à laquelle il faut s'astreindre si on se pose des questions sur la sécurité de sa machine.

Si on déverrouille la base de mots de passe de KeepassXC ou de Firefox puisqu'on laisse son ordinateur sans surveillance alors que d'autres personnes peuvent y accéder, les risques sont les mêmes. Oui, même si je ne peux pas voir les mdp en clair dans la liste des mots de passe de Firefox, je peux aller sur tous les sites enregistrés, m'y connecter sans effort et faire les dégâts que je veux. Pire en fait, il y a des chances pour que j'arrive à accéder aux mots de passe en clair malgré tout. Attention, lool_lauris a ne pas t'illusionner sur la pseudo-sécurité de la base de mots de passe Firefox une fois le mdp maître entré.

En fait, une fois qu'une base de mot de passe est déverrouillée, celle de KeepassXC ou celle de Firefox, il est un peu tard pour se dire : "oh mon dieu, mes mots de passe sont accessibles sans effort pour une durée indéterminée". Car si votre machine est compromise (enregistreur de frappe/keylogger, intrusion distante, etc), il y a bien plus à s'inquiéter. Autrement dit, il ne faut taper un mot de passe maître, celui de KeepassXC ou Firefox, que dans un environnement sûr.

Christophe, si tu veux conserver des « secrets » en tout genre, alors il te faut un coffre-fort et c'est bien KeepassXC qu'il te faut. Il y a une historisation des modifications, tu peux ajouter des notes à un couple identifiant/mdp, tu peux mettre des pièces jointes, etc

Dernière modification par beuguissime (Le 01/02/2024, à 23:29)

Hors ligne

#69 Le 01/02/2024, à 23:36

beuguissime

Re : Sécurité et enregistrement des mots de passe

krodelabestiole a écrit :

je pense qu'on peut même simplement récupérer ce mot de passe en utilisant l'inspecteur pour afficher les données envoyées en POST.

oui, entre autres manières, je confirme que c'est une possibilité. Certains sites proposent de dévoiler le mot de passe lorsqu'il est tapé dans le champ dédié; dans ce cas là, même si je ne peux pas l'afficher dans la base de donnée de Firefox, il me suffit d'aller sur le site cible, faire le remplissage automatique et avant de cliquer sur le bouton de validation, je fais apparaître le mdp. Je pense qu'on peut imaginer d'autres façons encore.

Hors ligne

#70 Le 01/02/2024, à 23:37

NicoApi73

Re : Sécurité et enregistrement des mots de passe

beuguissime a écrit :

Bonsoir,

Je crois que ça a déjà été évoqué dans le fil: KeepassXC peut être configuré [...]

Outils/Paramètres/Sécurité

Et il y a aussi Outils/Paramètres/Intégration aux navigateurs (jamais utilisé pour ma part)

Hors ligne

#71 Le 01/02/2024, à 23:45

alex2423

Re : Sécurité et enregistrement des mots de passe

beuguissime a écrit :
krodelabestiole a écrit :

je pense qu'on peut même simplement récupérer ce mot de passe en utilisant l'inspecteur pour afficher les données envoyées en POST.

oui, entre autres manières, je confirme que c'est une possibilité. Certains sites proposent de dévoiler le mot de passe lorsqu'il est tapé dans le champ dédié; dans ce cas là, même si je ne peux pas l'afficher dans la base de donnée de Firefox, il me suffit d'aller sur le site cible, faire le remplissage automatique et avant de cliquer sur le bouton de validation, je fais apparaître le mdp. Je pense qu'on peut imaginer d'autres façons encore.

le couple login/mdp est lié à un site internet, il est closonner. Si tu te rends par exemple sur le site qui développes les mdp, tu ne pourras utiliser le remplissage automatiquement de n'importe quel login.

Hors ligne

#72 Le 02/02/2024, à 00:01

beuguissime

Re : Sécurité et enregistrement des mots de passe

alex2423 a écrit :

le couple login/mdp est lié à un site internet

Oui je sais. Évidemment, le sous-entendu de ma phrase était que le site cible (ie celui dans lequel je veux m'introduire en me faisant passer pour Mr Machin) est, par chance, un de ces sites qui proposent de dévoiler le mot de passe. Je sais bien que je ne risque pas de rentrer le couple id/mdp du site Bidule sur dans les cases du site Truc. Encore une fois, ce n'est qu'une des façons de lire un mdp enregistré dans Firefox. Si j'ai accès à la machine de lool_lauris après qu'il ou elle a déverrouillé sa base de mots de passe Firefox, j'arriverai à sortir tous les mdp qui m'intéressent.

Hors ligne

#73 Le 02/02/2024, à 07:31

O_20_100_O

Re : Sécurité et enregistrement des mots de passe

Alex2423 a écrit :

A moins que je me trompe :
- avec KeepPass, ...
- avec Firefox, il n'est pas nécessaire de dévérouillé sa base pour l'utiliser. Dans ce cas, les logins et mdp ne sont pas lisibles

Sur mon Ubuntu 22.04, Firefox ne donne pas accès aux mots de passe sans saisie du mot de passe principal, quand cette fonction est activée. De plus, je vois pas de fonction pour refermer l'accès aux mots de passe sans fermer Firefox.
Donc, à moins de fermer Firefox, la base de mots de passe reste ouverte. Si on s'absente de son poste de travail il est bon de verrouiller la session, pour cela et plein d'autres raisons.
C'est exactement la même situation avec une base Keepassxc ouverte dès le lancement de la session.

lool_lauris a écrit :

Bah non, désolé mais tu te trompes.

Effectivement, c'est comme tu le décris. Il y a trop longtemps que je n'utilise plus cette fonction.

Dernière modification par O_20_100_O (Le 02/02/2024, à 08:01)

Hors ligne

#74 Le 02/02/2024, à 10:10

lool_lauris

Re : Sécurité et enregistrement des mots de passe

beuguissime a écrit :

Attention, lool_lauris a ne pas t'illusionner sur la pseudo-sécurité de la base de mots de passe Firefox une fois le mdp maître entré.

Je ne m'illusionne pas sur la sécurité, depuis le début je parle d'usage. Il est fort probable que le coffre fort keepass soit plus robuste que celui de Firefox, ce n'est qu'une supposition, en fait je n'en sais rien.

Ce que je dis depuis le début, c'est que si l'on utilise keepass au travers firefox et que la base keepass est verrouillée après chaque utilisation, c'est effectivement assez bien sécurisé mais c'est extrêmement pas pratique ; il faut entrer le mot de passe maître à chaque demande de login-mdp et àa devient vite très gonflant de saisir un phrase de 10, 12 (voire plus) caractères.
Et que pour palier à cela, laisser la base keepass ouverte évite d'avoir à saisir à chaque fois le mdp maître mais dans ce cas, les mdp de la base sont accéssible.
Alors qu'avec Firefox (même si son coffre fort est moins robuste - mais ça reste à prouver), si on a paramétrer l'autocomplétion et qu'on a défini un mdp principal, on a pas l'inconvénient d'avoir à saisir ce mdp principal à chaque fois (1 seule fois à  l'ouverture de session Firefox) mais les mdp de la base Firefox reste non visibles en clair.
C'est tout.

En ce qui me concerne j'utilise KeepassXC pour la gestion de tous mes login-mdp (web, réseaux, courriels, et même les numéros de clé de cadenas au cas où je perds la clé...) ; de mon point de vue, c'est la source.
Mais pour le web, au fur et à mesure des besoins, j'ai enregistré les mdp qui le nécessitent sur Firefox afin de les avoir immédiatement accessibles et suivant l'usage que j'ai décrit.


Soutenez le Libre => http://www.april.org/

En ligne

#75 Le 02/02/2024, à 12:26

krodelabestiole

Re : Sécurité et enregistrement des mots de passe

lool_lauris a écrit :

Alors qu'avec Firefox (même si son coffre fort est moins robuste - mais ça reste à prouver), si on a paramétrer l'autocomplétion et qu'on a défini un mdp principal, on a pas l'inconvénient d'avoir à saisir ce mdp principal à chaque fois (1 seule fois à  l'ouverture de session Firefox) mais les mdp de la base Firefox reste non visibles en clair.

pour récupérer un mot de passe sans connaître le mot de passe principal :
- aller sur https://forum.ubuntu-fr.org/login.php, firefox remplit les champs automatiquement
- faire un clic droit sur le champs mot de passe -> Inspecter. remplacer type="password" par type="text"

cette technique est un peu plus compliquée que pour les autres sites, parce qu'ubuntu-fr lance une redirection automatique après la page de validation.

sur les autres sites il suffit d'ouvrir l'inspecteur (Ctrl + maj + i) et de lire les mots de passe affichés en variables POST dans l'onglet Réseau (sur ubuntu-fr il ne s'affiche qu'une seconde c'est trop court pour le noter, il faudrait faire une capture d'écran).

je sais que ça fait 3 fois que je le dis, mais comme faux sentiment de sécurité, ce mot de passe principal se pose là !


sur un keepass déverrouillé il faut trouver l'entrée qui nous intéresse et cliquer sur le petit œil pour afficher le mot de passe (pas sûr que ce soit tellement plus rapide, mais au moins personne ne pense que ce petit bouton œil assure sa sécurité). il n'est en principe jamais visible pour quelqu'un derrière notre épaule.

quelques raccourcis pratiques :
Ctrl + B pour copier le nom d'utilisateur
Ctrl + C pour copier le mot de passe (et le presse-papiers est effacé au bout de quelques secondes)

Dernière modification par krodelabestiole (Le 02/02/2024, à 12:48)

Hors ligne