Est-il préférable ou non de permettre aux internautes de coller leurs mots de passe
Lorsqu'ils s'authentifient ?

Le , par Stéphane le calme, Chroniqueur Actualités
Pensez-vous qu'il est préférable de permettre de coller un MdP ?
Pourquoi permettre aux utilisateurs de coller leurs mots de passe est-elle une bonne chose ?

Permettre le collage de mots de passe permet aux formulaires Web de bien fonctionner avec les gestionnaires de mots de passe, ces logiciels (ou services) qui vous permettent de choisir, sauvegarder puis entrer des mots de passe dans des formulaires en ligne à votre demande. Les gestionnaires de mots de passe peuvent s’avérer très utiles dans la mesure où ils:
  • rendent plus facile d'avoir des mots de passe différents pour chaque site Web que vous utilisez ;
  • améliorent votre productivité et réduisent la frustration en empêchant les erreurs de frappe lors des authentifications ;
  • rendent plus simple d'utiliser des mots de passe longs et complexes.

Toutefois, il faut se rappeler que bien qu’ils peuvent offrir une meilleure protection et/ou s’avérer plus pratiques par exemple que garder vos mots de passe dans un document normal et non protégé sur votre ordinateur, ceux-ci ne sont pas forcément la solution idéale pour résoudre les problèmes de mots de passe d’une entreprise.

En effet, certains de ces services peuvent faire face à des failles de sécurité. C’est le cas par exemple de LastPass qui a dû récemment colmater une faille relative à son système d’authentification à deux facteurs.

Il est quand même important de noter que ce type de service/application peut encourager à :
  • avoir plusieurs mots de passe sur des sites différents ;
  • ne pas choisir des mots de passe facile à retenir ;
  • ne pas noter des mots de passe par exemple sur une feuille de papier qui sera placée par exemple sur l’écran d’un ordinateur.

De plus, nombreux sont les services qui vous proposent l’accès à vos mots de passe depuis n’importe quelle plateforme. Il vous suffit donc de mettre à jour votre liste d’identifiants / MdP sur votre ordinateur et vous pourrez quasi instantanément y avoir accès sur votre tablette ou votre téléphone.

Quelles sont les raisons qui incitent les développeurs à les interdire ?

Mais il y a également des raisons qui peuvent justifier le fait que les développeurs veulent mettre un terme à la possibilité pour les utilisateurs de coller des mots de passe.

Tout d’abord, l’une des raisons évoquées est que le collage de mots de passe permet des attaques par force brute. Si le collage de mots de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mots de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.

Cela est vrai, mais il est également vrai qu'il existe d'autres façons de faire des suppositions (par exemple via une API) qui sont tout aussi faciles à mettre en place pour les attaquants, et qui sont beaucoup plus rapides. Aussi, selon le National Cyber Security Center (NCSC), le risque d'attaques par force brute à l'aide de la fonction copier/coller est donc très faible.

Une autre raison est que le collage des mots de passe les rend plus faciles à oublier étant donné que les utilisateurs ne seront plus obligés de le taper. En principe, il est vrai que plus vous faites appel à vos souvenirs, moins vous avez de chances de les oublier. Cependant, il peut arriver que des internautes aient des comptes sur des services qu’ils utilisent de façon occasionnelle. Cela signifie qu'ils n'ont pas assez d’occasions pour l’écrire et donc peu de chances de s’en souvenir. Pour le NCSC, cette raison n’est valide que si vous supposez, pour commencer, que les utilisateurs doivent toujours essayer de se souvenir de leurs mots de passe et ce n'est pas toujours vrai.

Une autre raison est que les mots de passe vont traîner dans le presse-papiers. Lorsque quelqu'un copie et colle, le contenu copié est conservé dans un « presse-papiers » depuis lequel il pourra le coller autant de fois qu'il le souhaite. Tout logiciel installé sur l'ordinateur (ou toute personne qui l'utilise) a accès au presse-papiers, et peut voir ce qui y figure. Copier n'importe quoi d’autre surcharge généralement ce qui était déjà dans le presse-papiers et le détruit.

De nombreux gestionnaires de mots de passe copient votre mot de passe dans le presse-papiers afin qu'ils puissent le coller dans la zone de mot de passe sur les sites Web. Le risque possible est qu'un attaquant (ou un logiciel malveillant) vole votre mot de passe avant qu'il ne soit effacé du presse-papiers.

Les mots de passe restant dans le presse-papiers risquent de représenter un problème si vous copiez et collez manuellement vos mots de passe à partir d'un document que vous avez sur votre ordinateur étant donné que vous pouvez oublier d'effacer le presse-papiers. Cependant, la NCSC estime que ce n'est pas très risqué, car :
  • la plupart des gestionnaires de mots de passe effacent le presse-papiers dès qu'ils ont collé votre mot de passe sur le site, et certains évitent même complètement le presse-papiers en tapant le mot de passe avec un « clavier virtuel » à la place ;
  • le navigateur Internet 'Internet Explorer 6' permet aux pages malvoyantes de copier le presse-papiers, mais très peu de personnes utilisent encore IE6 pour naviguer sur le Web ;
  • les virus installés sur votre ordinateur peuvent embarquer des copieurs de presse-papiers sur eux et se saisir de vos mots de passe collés. Ce n'est toujours pas une bonne raison pour empêcher le collage de mot de passe : lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance. Les virus et autres logiciels malveillants qui copient le presse-papiers copient presque toujours toutes les lettres, tous les numéros et tous les symboles saisis sur votre ordinateur, y compris vos mots de passe. Ils vont donc voler votre mot de passe, qu'il s'agisse ou non du presse-papiers, donc vous ne gagnez pas beaucoup à empêcher de coller les mots de passe.

Source : NCSC

Et vous ?

Quels choix avez-vous faits dans vos développements ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de akoho akoho - Membre régulier https://www.developpez.com
le 19/05/2017 à 16:56
lorsque votre ordinateur est infecté, vous ne devriez tout simplement pas du tout lui faire confiance.
Bein, au point où on en est, même quand l'ordinateur n'est pas infecté, vous ne devriez tout simplement pas du tout lui faire confiance.
Avatar de Alvaten Alvaten - Membre éclairé https://www.developpez.com
le 19/05/2017 à 17:17
Tout d’abord, l’une des raisons évoquées est que le collage de mot de passe permet des attaques par force brute. Si le collage de mot de passe est autorisé, cela représente une vulnérabilité dans laquelle les logiciels malveillants ou les pages Web peuvent coller à maintes reprises des suppositions de mot de passe dans la zone du mot de passe jusqu'à ce qu'ils parviennent à deviner votre mot de passe.
Je comprend pas l'argument ? En quoi un logiciels ne peux pas faire la même chose en écrivant le mot de passe à tester ? Interdire de colle ne va en rien empêcher la force brut ...

Perso j'utilise KeePass au quotidien et je n'ai pas souvenir d'un logiciel qui m'ai empêché de coller à par le lock screen des sessions Windows en RDP.
Avatar de almarean almarean - Nouveau Candidat au Club https://www.developpez.com
le 19/05/2017 à 17:38
De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.
Avatar de SkyZoThreaD SkyZoThreaD - Membre expérimenté https://www.developpez.com
le 19/05/2017 à 17:58
J'avais vu une conf à la defconf ou un gars était furieux car il n'avait pas pu utiliser un keylogger car l'utilisateur faisait du copier-coller de ses mots de passe depuis un txt... donc oui c'est plutôt bon plan
Avatar de ttf77 ttf77 - Futur Membre du Club https://www.developpez.com
le 19/05/2017 à 18:53
Si le copier/coller de mdp est impossible, j'utilise alors keepass2+KP2A-InputStick-Plugin sur mon smartphone connecté en bluetooth sur une clef usb 'InputStick' (www.inputstick.com) inséré sur le PC. La clef est vue comme un clavier USB. C'est une solution facile pour coller toute chaîne de caractères, mots de passe ou autres.
Avatar de Jarodd Jarodd - Membre expérimenté https://www.developpez.com
le 19/05/2017 à 19:15
C'est une bonne pratique Opquast, qui fait office de référence dans le milieu du web. La proposition a fait consensus, et ils expliquent pourquoi ils recommandent l'autorisation du copier coller
Avatar de emutramp emutramp - Membre habitué https://www.developpez.com
le 20/05/2017 à 12:03
Citation Envoyé par akoho Voir le message
vous ne devriez tout simplement pas du tout lui faire confiance.
En voila un commentaire plein de bon sens, +1

Concernant le sujet, je me vois mal taper chacun de mes mot de passes de +30 caracteres pour chaque site sur lequel je dois m'identifier (genere avec KeepassX). Si il n'est pas possible de copier/coller, les mots de passes auront tendance a etre simple (pour se retenir / taper facilement). Les mots de passes simple ouvre la porte au bruteforce...
Avatar de koyosama koyosama - Membre averti https://www.developpez.com
le 20/05/2017 à 14:13
Citation Envoyé par almarean Voir le message
De mon point de vue, il est vrai qu'il faudrait sensibiliser les internautes à retenir leurs mots de passe, et à les construire eux-mêmes de manière que ce soit plus simple pour eux de les retenir. Ensuite en ce qui concerne les sites qui ne sont utilisés qu'occasionnellement, il faudrait trouver une solution sécurisée pour pouvoir stocker les mots de passe, par exemple en chiffrant les fichiers.
Je suis connecter a plus d'une centaine de sites differents avec chacun un login parfois different, parfois le meme, par contre tous avec des mots de passe differents qui respectent tous les bonnes practices d'un mot de passe.
En plus certain sites obligent les utilisateurs a mettrent certains types de mot de passe. Franchement, je n'ai pas envie de me souvenir de tous mes mots de passe.
Avatar de 23JFK 23JFK - Membre éclairé https://www.developpez.com
le 20/05/2017 à 19:16
J'ai pris l'habitude de détourner les méthodes de la classe java.awt.Robot pour automatiser les saisies de formulaire d'authenification.
Avatar de Fagus Fagus - Membre régulier https://www.developpez.com
le 25/05/2017 à 23:51
J'en pense que nous ne sommes pas représentatifs pour donner un avis basé sur notre expérience...
Je suis déjà tombé sur des sites qui bloquent le copier-coller, voire la capture d'écran.

C'est pas très compliqué, il suffit d'ouvrir son langage de script préféré qui peut utiliser l'api windows pour simuler des frappes clavier ou la capture d'écran.
De même, mon gestionnaire de mdp simule des frappes clavier, donc la plupart du temps je ne me rends même pas compte de ces limitations.

Si on parle de sécurité, ça reste mieux d'utiliser un gestionnaire de mpd plutôt que "toto123" comme pass identique sur 100 sites. De toutes façon, si on vole et casse mon gestionnaire de mdp, alors l'attaquant a probablement assez de droits pour enregistrer les frappes clavier.
Offres d'emploi IT
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)
Ingénieur développement logiciel embarqué temps réel (model based) H/F
Safran - Ile de France - VILLAROCHE
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil