Sécurité des gestionnaires de mots de passe du navigateur uniquement [fermé]

12

Il existe des gestionnaires de mots de passe comme KeePass qui stockent tous les mots de passe dans un conteneur crypté sur la machine locale. Je devrais copier ce conteneur sur d'autres machines pour pouvoir y avoir mes mots de passe également.

Ensuite, il existe des gestionnaires de mots de passe qui sont essentiellement comme KeePass mais stockent le conteneur de mots de passe en ligne.

Et puis il y a des générateurs de mots de passe algorithmiques qui, sur la base d'un mot de passe principal, créent à la volée le mot de passe du site Web actuellement visité. SupergenPass et PWDHash sont des exemples de tels gestionnaires de mots de passe en ligne . Tout ce que je dois emporter avec moi est un minuscule bookmarklet (qui est synchronisé entre les navigateurs) et le mot de passe principal dans ma tête.

Quels sont les avantages ou les inconvénients, en termes de sécurité, lors de l'utilisation des gestionnaires de mots de passe en ligne de la 3ème catégorie? Existe-t-il un gestionnaire de mots de passe en ligne qui résout ces inconvénients tout en offrant des avantages?

akira
la source

Réponses:

5

Personnellement, j'aime un peu mieux le gestionnaire hébergé tant que la sécurité est correctement mise en œuvre. Prenez LastPass par exemple (mon préféré), ils ne stockent pas une version non hachée de votre mot de passe principal, donc sans casser délibérément vos mots de passe, même l'hôte du site ne peut pas accéder à vos informations. Bien sûr, cela ne vaut que votre confiance dans le tiers, où les problèmes de sécurité entrent en jeu. Pour faire court, tant qu'ils ne conservent pas une copie non hachée de votre mot de passe, cela ne me dérange pas d'utiliser les gestionnaires de mots de passe hébergés.

Brad Gardner
la source
bien, mais ce n'est pas de cela qu'il s'agit essentiellement. J'ai mentionné les 2 autres catégories de gestionnaires de mots de passe juste pour expliquer la catégorie qui m'intéresse: ne stockez pas du tout le mot de passe mais "créez" à la volée.
akira
1

Eh bien, ils sont tous mis en œuvre différemment, certains sont plus sûrs et d'autres moins.

Par exemple, j'utilise Clipperz .

Le fonctionnement de Clipperz consiste à crypter / décrypter un blob crypté que le serveur stocke en javascript . Cela signifie que si votre blob trouve son chemin vers un pirate maléfique, il ne pourra pas le décrypter (si vous avez décidé d'un mot de passe raisonnable)

Le code est open source, quelque chose qui me remplit d'un peu plus de confiance car je peux le vérifier.

LastPass utilise la même approche, il est donc assez sûr.

Je serais moins susceptible d'utiliser des choses comme https://www.pwdhash.com/ car cela signifie que si je veux changer mon mot de passe principal, je devrai le changer sur tous les sites. En outre, il est moins sûr que si les gens connaissent les règles que j'utilise pour créer le mot de passe, ils peuvent forcer mon mot de passe principal.

Sam Saffron
la source
si vous décidez de changer le mot de passe d'un site, vous devez en informer le site. si votre mot de passe principal pour une telle solution hébergée est compromis, vous devez également changer le mot de passe pour chaque site.
akira
1

Mise à jour 2018

J'ai beaucoup appris en 8 ans depuis que j'ai écrit cette réponse à l'origine. Ce que je pensais autrefois être un mot de passe sécurisé n'était vraiment pas si sûr . Aujourd'hui, j'utilise 1Password avec des mots de passe générés de style "diceword". Toujours hors ligne et pour les mêmes raisons, mais plus sécurisé que mon algorithme mental basé sur le nom de domaine. Les seuls mots de passe dont je dois me souvenir sont ceux pour se connecter à mon ordinateur et celui qui ouvre mon coffre-fort 1Password - tous deux sont notés dans le coffre-fort 1Password de ma femme au cas où quelque chose devait m'arriver. Tout le reste n'est qu'à quelques touches.

L'utilisation d'un gestionnaire de mots de passe hébergé signifie que vos mots de passe sont stockés quelque part dans le cloud, et quelque part à proximité (dans le code qui les crée / les modifie / les utilise) contient des instructions explicites sur la façon de les décrypter. Si le site était compromis, il ne serait pas difficile d'avoir accès à des milliers de comptes.

Pour cette raison, je me méfie des gestionnaires de mots de passe en ligne. Personnellement, j'utilise une solution que j'ai inventée moi-même: j'ai un algorithme assez simple à exécuter dans ma tête, qui génère un mot de passe sécurisé (majuscules et minuscules, chiffres et caractères spéciaux) basé sur le nom de domaine et mon nom d'utilisateur choisi.

De plus, je tente d'utiliser oAuth et OpenId la mesure du possible, de sorte que j'ai moins de mots de passe à retenir et peut être plus sûr que les sites DO ont mon mot de passe (par exemple Facebook, et mon fournisseur OpenId) sécurisez correctement , il (sel + hachage , etc).

Si je devais utiliser un utilitaire de stockage de mot de passe d'une certaine sorte, j'irais probablement avec KeePass et stocker le fichier crypté dans Dropbox pour synchroniser entre les ordinateurs.

Adam Tuttle
la source
1
supergenpass et hashpwd ne stockent pas du tout les mots de passe. ils "exécutent un algorithme en jscript basé sur un mot de passe principal, le site sur lequel vous vous trouvez actuellement et qui passe par md5"
akira