Gestionnaires de mots de passe intégrés aux pages Web ou applications indépendantes
De quel bord êtes-vous ? Tim Bray d'Amazon explique son choix
Le 2017-07-22 11:12:45, par Patrick Ruiz, Chroniqueur Actualités
Tim Bray d’Amazon est d’avis que tout le monde devrait user d’un gestionnaire de mots de passe et ne s’en cache pas. Il a d’ailleurs récemment publié un article intitulé « à propos des gestionnaires de mots de passe » pour expliciter son avis sur la question. Son développement aurait pu être des plus banals s’il s’était limité à dresser une liste d’avantages de l’utilisation de tels outils comme c’est généralement le cas sur les sites qui en parlent. Il est cependant allé plus loin dans une comparaison entre les deux grandes familles de gestionnaires de mots de passe et c’est là où il est plus intéressant.
Avec la multiplication des comptes d’utilisateurs nécessitant une authentification, la mémorisation des mots de passe est de plus en plus difficile. Cette situation induit – chez les utilisateurs – des habitudes qui sont de nature à compromettre la sécurité de leurs comptes (utilisation de mots de passe identiques pour des comptes différents, mots de passe pas assez « forts », etc.).
Les gestionnaires de mots de passe viennent répondre à cette problématique et à d’autres. Ainsi au-delà de la mémorisation des mots de passe de divers comptes dont l’utilisateur d’un tel outil est exempté, il bénéficie d’autres avantages. Tim Bray en a dressé une liste qu’il a d’ailleurs qualifiée de non exhaustive : génération automatique de mots de passe « forts », facilité de réutilisation des mots de passe générés, synchronisation entre différents appareils.
« Je n’ai que quatre mots de passe à retenir : ceux de mon ordinateur personnel et du bureau, celui de mon compte AWS et le mot de passe du gestionnaire. En passant, la mention de compte AWS dans la liste est un accident. Je n’ai en réalité que trois mots de passe à retenir », rigole Tim qui semble avoir un penchant pour les applications indépendantes de gestion de mots de passe au détriment de celles intégrées à des pages Web.
« Je – comme toute personne avertie en matière de cybersécurité – ne ferai pas usage d’un outil qui met mes mots de passe et mes données entre les mains d’une tierce personne (qui n’est pas moi) », a déclaré Tim, soulignant ainsi le fait que la sécurité d’un gestionnaire de mots de passe en version Web est plus aisée à casser que celle d’une application indépendante. Il évoque particulièrement la possibilité d’exploiter des failles dans Javascript pour arriver à ces fins.
Si Tim Bray a décidé de comparer ces deux types de gestionnaires de mots de passe, ce n’est pas simplement sur un coup de tête ; la raison est plus profonde. Il est un utilisateur de 1Password, une application indépendante de gestion de mots de passe. Il a tenu à attirer l’attention sur le fait que la société AgileBits, qui édite cette application, est en train de convaincre les utilisateurs à passer à une version Web. Il n’est cependant pas question pour lui de céder la sécurité de ses données pour permettre à AgileBits de passer à une offre à laquelle il faut souscrire.
Tim Bray admet cependant que l’utilisation d’une application indépendante n’est cependant pas exempte de tout risque. Il évoque notamment la possibilité que l’entreprise qui édite un tel outil a d’y insérer une porte dérobée ou l’éventualité plus amusante que des « méchants » lui administrent un sédatif dans un café et en profitent pour installer un enregistreur de frappes sur son ordinateur.
Des éventualités qui, semble-t-il, ont une probabilité très mince de se produire selon lui. Il reconnait toutefois que son positionnement peut être sujet à des erreurs et laisse donc la possibilité à AgileBits d’expliquer en quoi le passage à la version Web n’a pas un impact négatif plus important sur la sécurité des données des utilisateurs.
Source : tbray.org
Et vous ?
Voir aussi :
Avec la multiplication des comptes d’utilisateurs nécessitant une authentification, la mémorisation des mots de passe est de plus en plus difficile. Cette situation induit – chez les utilisateurs – des habitudes qui sont de nature à compromettre la sécurité de leurs comptes (utilisation de mots de passe identiques pour des comptes différents, mots de passe pas assez « forts », etc.).
Les gestionnaires de mots de passe viennent répondre à cette problématique et à d’autres. Ainsi au-delà de la mémorisation des mots de passe de divers comptes dont l’utilisateur d’un tel outil est exempté, il bénéficie d’autres avantages. Tim Bray en a dressé une liste qu’il a d’ailleurs qualifiée de non exhaustive : génération automatique de mots de passe « forts », facilité de réutilisation des mots de passe générés, synchronisation entre différents appareils.
« Je n’ai que quatre mots de passe à retenir : ceux de mon ordinateur personnel et du bureau, celui de mon compte AWS et le mot de passe du gestionnaire. En passant, la mention de compte AWS dans la liste est un accident. Je n’ai en réalité que trois mots de passe à retenir », rigole Tim qui semble avoir un penchant pour les applications indépendantes de gestion de mots de passe au détriment de celles intégrées à des pages Web.
« Je – comme toute personne avertie en matière de cybersécurité – ne ferai pas usage d’un outil qui met mes mots de passe et mes données entre les mains d’une tierce personne (qui n’est pas moi) », a déclaré Tim, soulignant ainsi le fait que la sécurité d’un gestionnaire de mots de passe en version Web est plus aisée à casser que celle d’une application indépendante. Il évoque particulièrement la possibilité d’exploiter des failles dans Javascript pour arriver à ces fins.
Si Tim Bray a décidé de comparer ces deux types de gestionnaires de mots de passe, ce n’est pas simplement sur un coup de tête ; la raison est plus profonde. Il est un utilisateur de 1Password, une application indépendante de gestion de mots de passe. Il a tenu à attirer l’attention sur le fait que la société AgileBits, qui édite cette application, est en train de convaincre les utilisateurs à passer à une version Web. Il n’est cependant pas question pour lui de céder la sécurité de ses données pour permettre à AgileBits de passer à une offre à laquelle il faut souscrire.
Tim Bray admet cependant que l’utilisation d’une application indépendante n’est cependant pas exempte de tout risque. Il évoque notamment la possibilité que l’entreprise qui édite un tel outil a d’y insérer une porte dérobée ou l’éventualité plus amusante que des « méchants » lui administrent un sédatif dans un café et en profitent pour installer un enregistreur de frappes sur son ordinateur.
Des éventualités qui, semble-t-il, ont une probabilité très mince de se produire selon lui. Il reconnait toutefois que son positionnement peut être sujet à des erreurs et laisse donc la possibilité à AgileBits d’expliquer en quoi le passage à la version Web n’a pas un impact négatif plus important sur la sécurité des données des utilisateurs.
Source : tbray.org
Et vous ?
Voir aussi :
-
Max LothaireMembre confirméPour l'instant gnome-keyring ( ça stocke les mots de passe en plus de faire office de ssh-agent)
Peut-être que je passerai à une solution basé sur GPG à l'occasion.le 22/07/2017 à 11:32 -
hadmagicMembre du ClubKeepass avec le plugin Keefox pour firefox cela me permet d’auto remplir les page de loginle 22/07/2017 à 19:37
-
FatAgnusMembre chevronnéSur mes postes de travail Ubuntu Linux, j'utilise KeePassX, un fork de KeePass multiplate-forme écrit en C++ et basé sur la bibliothèque Qt. Maintenant KeePass2 existe aussi sous la plate-forme GNU/Linux, et les fichiers de mots de passe sont compatibles entre KeePassX 2 et KeePass2. Cependant, KeePassX est mieux intégré au bureau Linux, je fais surtout référence à la boîte de dialogue pour ouvrir les fichiers qui sur la version de KeePass2 sous Linux ressemble à une boîte de dialogue Windows.le 23/07/2017 à 19:16
-
pgrosMembre à l'essaiJ'hésite à sauter le pas depuis pas mal de temps (en attendant, j'utilise le gestionnaire intégré à Firefox), mais je ne trouve pas vraiment de solution satisfaisante qui combine :
- Outil open-source
- Compatible Linux/Windows/Android/Firefox (mobile et PC pour Firefox)
- Possibilité de synchroniser le fichier de mot de passe entre plusieurs plateformes (via NextCloud auto-hébergé)
- Possibilité d'importer les identifiants enregistrés dans Firefox
Pour le moment, je n'ai pas trouvé mon bonheur, si quelqu'un connaît, ça m'intéresse fortement !le 24/07/2017 à 9:31 -
xureiMembre avertiKeepassXC + Seafile auto hébergé dans un repo protégé par mot de passe.
@pgros ça matche tous tes critères ;-)le 24/07/2017 à 10:01 -
pgrosMembre à l'essaiCa n'a pas l'air de gérer côté Android :-(
(ou alors je n'ai pas trop compris, ce qui est aussi possible)le 24/07/2017 à 10:43 -
hadmagicMembre du ClubKeepass avec le plugins pour syncro dans gdrive, Keepass2Droid qui lit la base dans mon gdrive, le plugins Keefox pour firefox pour remplir les pages de logins
Je crois qu'il est opensource de mémoirele 24/07/2017 à 19:05 -
pgrosMembre à l'essaiJe vais éviter de synchro dans gdrive, mais pour synchroniser les fichiers, je vais me débrouiller.
Par contre, je ne trouve pas de plugin Firefox sous Android, du coup, ça ne colle pasle 25/07/2017 à 17:15 -
hadmagicMembre du ClubIl n'y a pas le plugins pour firefox android, par contre il install par défaut un clavier Keepass que tu peut selectionner pour remplir les logins et mdple 25/07/2017 à 17:42
-
Aurelien.Regat-BarrelExpert éminent séniorJ'utilise Bitwarden en tant que plugin Chrome / Firefox, et je me demande comment je faisais avant !le 26/07/2017 à 0:02