Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Gestionnaires de mots de passe intégrés aux pages Web ou applications indépendantes
De quel bord êtes-vous ? Tim Bray d'Amazon explique son choix

Le , par Patrick Ruiz

191PARTAGES

8  0 
Quel(s) gestionnaire(s) de mots de passe utilisez-vous et pourquoi ?
Tim Bray d’Amazon est d’avis que tout le monde devrait user d’un gestionnaire de mots de passe et ne s’en cache pas. Il a d’ailleurs récemment publié un article intitulé « à propos des gestionnaires de mots de passe » pour expliciter son avis sur la question. Son développement aurait pu être des plus banals s’il s’était limité à dresser une liste d’avantages de l’utilisation de tels outils comme c’est généralement le cas sur les sites qui en parlent. Il est cependant allé plus loin dans une comparaison entre les deux grandes familles de gestionnaires de mots de passe et c’est là où il est plus intéressant.

Avec la multiplication des comptes d’utilisateurs nécessitant une authentification, la mémorisation des mots de passe est de plus en plus difficile. Cette situation induit – chez les utilisateurs – des habitudes qui sont de nature à compromettre la sécurité de leurs comptes (utilisation de mots de passe identiques pour des comptes différents, mots de passe pas assez « forts », etc.).

Les gestionnaires de mots de passe viennent répondre à cette problématique et à d’autres. Ainsi au-delà de la mémorisation des mots de passe de divers comptes dont l’utilisateur d’un tel outil est exempté, il bénéficie d’autres avantages. Tim Bray en a dressé une liste qu’il a d’ailleurs qualifiée de non exhaustive : génération automatique de mots de passe « forts  », facilité de réutilisation des mots de passe générés, synchronisation entre différents appareils.

« Je n’ai que quatre mots de passe à retenir : ceux de mon ordinateur personnel et du bureau, celui de mon compte AWS et le mot de passe du gestionnaire. En passant, la mention de compte AWS dans la liste est un accident. Je n’ai en réalité que trois mots de passe à retenir », rigole Tim qui semble avoir un penchant pour les applications indépendantes de gestion de mots de passe au détriment de celles intégrées à des pages Web.

« Je – comme toute personne avertie en matière de cybersécurité – ne ferai pas usage d’un outil qui met mes mots de passe et mes données entre les mains d’une tierce personne (qui n’est pas moi) », a déclaré Tim, soulignant ainsi le fait que la sécurité d’un gestionnaire de mots de passe en version Web est plus aisée à casser que celle d’une application indépendante. Il évoque particulièrement la possibilité d’exploiter des failles dans Javascript pour arriver à ces fins.

Si Tim Bray a décidé de comparer ces deux types de gestionnaires de mots de passe, ce n’est pas simplement sur un coup de tête ; la raison est plus profonde. Il est un utilisateur de 1Password, une application indépendante de gestion de mots de passe. Il a tenu à attirer l’attention sur le fait que la société AgileBits, qui édite cette application, est en train de convaincre les utilisateurs à passer à une version Web. Il n’est cependant pas question pour lui de céder la sécurité de ses données pour permettre à AgileBits de passer à une offre à laquelle il faut souscrire.

Tim Bray admet cependant que l’utilisation d’une application indépendante n’est cependant pas exempte de tout risque. Il évoque notamment la possibilité que l’entreprise qui édite un tel outil a d’y insérer une porte dérobée ou l’éventualité plus amusante que des « méchants » lui administrent un sédatif dans un café et en profitent pour installer un enregistreur de frappes sur son ordinateur.

Des éventualités qui, semble-t-il, ont une probabilité très mince de se produire selon lui. Il reconnait toutefois que son positionnement peut être sujet à des erreurs et laisse donc la possibilité à AgileBits d’expliquer en quoi le passage à la version Web n’a pas un impact négatif plus important sur la sécurité des données des utilisateurs.

Source : tbray.org

Et vous ?

Que pensez-vous du positionnement de Tim Bray ?

Voir aussi :

Classement des mots de passe les plus utilisés : 123456 en tête suivi de 123456789 et qwerty, quels sont selon vous les pires mots de passe à bannir ?
Le changement fréquent de mot de passe pourrait rendre les systèmes moins sécurisés contrairement à ce que l'on croit, révèlent des études
Bitwarden, le nouveau gestionnaire de mots de passe est disponible en version 1.0 afin d'offrir une alternative open source pour gérer les MdP

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Max Lothaire
Membre confirmé https://www.developpez.com
Le 22/07/2017 à 11:32
Pour l'instant gnome-keyring ( ça stocke les mots de passe en plus de faire office de ssh-agent)

Peut-être que je passerai à une solution basé sur GPG à l'occasion.
0  0 
Avatar de hadmagic
Futur Membre du Club https://www.developpez.com
Le 22/07/2017 à 19:37
Keepass avec le plugin Keefox pour firefox cela me permet d’auto remplir les page de login
0  0 
Avatar de FatAgnus
Membre confirmé https://www.developpez.com
Le 23/07/2017 à 19:16
Sur mes postes de travail Ubuntu Linux, j'utilise KeePassX, un fork de KeePass multiplate-forme écrit en C++ et basé sur la bibliothèque Qt. Maintenant KeePass2 existe aussi sous la plate-forme GNU/Linux, et les fichiers de mots de passe sont compatibles entre KeePassX 2 et KeePass2. Cependant, KeePassX est mieux intégré au bureau Linux, je fais surtout référence à la boîte de dialogue pour ouvrir les fichiers qui sur la version de KeePass2 sous Linux ressemble à une boîte de dialogue Windows.
0  0 
Avatar de pgros
Membre à l'essai https://www.developpez.com
Le 24/07/2017 à 9:31
J'hésite à sauter le pas depuis pas mal de temps (en attendant, j'utilise le gestionnaire intégré à Firefox), mais je ne trouve pas vraiment de solution satisfaisante qui combine :
  • Outil open-source
  • Compatible Linux/Windows/Android/Firefox (mobile et PC pour Firefox)
  • Possibilité de synchroniser le fichier de mot de passe entre plusieurs plateformes (via NextCloud auto-hébergé)
  • Possibilité d'importer les identifiants enregistrés dans Firefox


Pour le moment, je n'ai pas trouvé mon bonheur, si quelqu'un connaît, ça m'intéresse fortement !
0  0 
Avatar de xurei
Membre averti https://www.developpez.com
Le 24/07/2017 à 10:01
KeepassXC + Seafile auto hébergé dans un repo protégé par mot de passe.

@pgros ça matche tous tes critères ;-)
0  0 
Avatar de pgros
Membre à l'essai https://www.developpez.com
Le 24/07/2017 à 10:43
Citation Envoyé par xurei Voir le message
KeepassXC + Seafile auto hébergé dans un repo protégé par mot de passe.

@pgros ça matche tous tes critères ;-)
Ca n'a pas l'air de gérer côté Android :-(
(ou alors je n'ai pas trop compris, ce qui est aussi possible)
0  0 
Avatar de hadmagic
Futur Membre du Club https://www.developpez.com
Le 24/07/2017 à 19:05
Citation Envoyé par pgros Voir le message
J'hésite à sauter le pas depuis pas mal de temps (en attendant, j'utilise le gestionnaire intégré à Firefox), mais je ne trouve pas vraiment de solution satisfaisante qui combine :
  • Outil open-source
  • Compatible Linux/Windows/Android/Firefox (mobile et PC pour Firefox)
  • Possibilité de synchroniser le fichier de mot de passe entre plusieurs plateformes (via NextCloud auto-hébergé)
  • Possibilité d'importer les identifiants enregistrés dans Firefox


Pour le moment, je n'ai pas trouvé mon bonheur, si quelqu'un connaît, ça m'intéresse fortement !
Keepass avec le plugins pour syncro dans gdrive, Keepass2Droid qui lit la base dans mon gdrive, le plugins Keefox pour firefox pour remplir les pages de logins
Je crois qu'il est opensource de mémoire
0  0 
Avatar de pgros
Membre à l'essai https://www.developpez.com
Le 25/07/2017 à 17:15
Citation Envoyé par hadmagic Voir le message
Keepass avec le plugins pour syncro dans gdrive, Keepass2Droid qui lit la base dans mon gdrive, le plugins Keefox pour firefox pour remplir les pages de logins
Je crois qu'il est opensource de mémoire
Je vais éviter de synchro dans gdrive, mais pour synchroniser les fichiers, je vais me débrouiller.
Par contre, je ne trouve pas de plugin Firefox sous Android, du coup, ça ne colle pas
0  0 
Avatar de hadmagic
Futur Membre du Club https://www.developpez.com
Le 25/07/2017 à 17:42
Il n'y a pas le plugins pour firefox android, par contre il install par défaut un clavier Keepass que tu peut selectionner pour remplir les logins et mdp
0  0 
Avatar de Aurelien.Regat-Barrel
Expert éminent sénior https://www.developpez.com
Le 26/07/2017 à 0:02
J'utilise Bitwarden en tant que plugin Chrome / Firefox, et je me demande comment je faisais avant !
0  0