Se connecter

Informatique

Sujet : Question sur les gestionnaires de mot de passe
1
tockers1
17 décembre 2021 à 21:05:29

Salut,

J'ai jamais utilisé de gestionnaire de mot de passe en ligne et j'hésite car je suppose que les mots de passe sont stockés en clair sur les serveurs, et donc si des hackers arrivent à pirater la base de données, ils peuvent acccéder à mes mots de passe en clair, c'est bien ça ? Ou alors ils sont cryptés mais je ne vois pas comment

ToThoro
18 décembre 2021 à 02:04:03

Sinon maintenant tous les sites proposent la double authentification, donc active la et comme ça si un appareil inconnu veut se co à un de tes comptes ça envoi une notif sur ton téléphone ...

Sur mon nas j'ai des gars de russie qui ont voulu se co, sur mail des gars d'asie mais bloqué par la double authentification ... :ok:

Starax
18 décembre 2021 à 16:19:48

Le 17 décembre 2021 à 21:05:29 :
Salut,

J'ai jamais utilisé de gestionnaire de mot de passe en ligne et j'hésite car je suppose que les mots de passe sont stockés en clair sur les serveurs, et donc si des hackers arrivent à pirater la base de données, ils peuvent acccéder à mes mots de passe en clair, c'est bien ça ? Ou alors ils sont cryptés mais je ne vois pas comment

Aucune idée mais je me suis toujours laissé entendre dire de ne jamais mettre tous mes œufs dans le même panier. Que ce soit au niveau d'un coffre en banque ou que ce soit concernant des mots de passe.

HTH

cadaverian
04 janvier 2022 à 15:30:15

Aucun soucis, de toute façon tu peux sécurisé à l'aide d'une clé yubi 😉

Anti-Crypto
04 janvier 2022 à 15:43:21

Le 17 décembre 2021 à 21:05:29 :
Salut,

J'ai jamais utilisé de gestionnaire de mot de passe en ligne et j'hésite car je suppose que les mots de passe sont stockés en clair sur les serveurs, et donc si des hackers arrivent à pirater la base de données, ils peuvent acccéder à mes mots de passe en clair, c'est bien ça ? Ou alors ils sont cryptés mais je ne vois pas comment

Non les mots de passe ne sont pas stockés en clair, la solution aurait très peu d’intérêt sinon. Normalement le gestionnaire n’est même pas capable de te fournir ton mdp si tu l’as oublié.

Le 18 décembre 2021 à 02:04:03 :
Sinon maintenant tous les sites proposent la double authentification, donc active la et comme ça si un appareil inconnu veut se co à un de tes comptes ça envoi une notif sur ton téléphone ...

Sur mon nas j'ai des gars de russie qui ont voulu se co, sur mail des gars d'asie mais bloqué par la double authentification ... :ok:

C’est loin d’être toujours disponible et c’est souvent contournable en pratique. Mais si c’est dispo il faut pas s’en priver et l’activer. Mais rester conscient des limites.

0fuckgiven
05 janvier 2022 à 16:48:27

Perso j'utilise keepassxc c'est un gestionnaire local

Thermofake
18 janvier 2022 à 21:56:42

J'utilise Bitwarden depuis quelque mois, je vis ma meilleure vie. Gratuit et open source, applis sur toutes les plateformes, extension sur tous les gros navigateurs.

L'explication de comment les mots de passes sont chiffrés et déchiffrés est plus compliquée qu'on peut penser. Les méthodes varient entre les gestionnaires, mais voici celle utilisée par Bitwarden:

Quand tu crées ton compte, tu rentres un email et un mdp maître.
Un tas de choses vont se passer coté client:
Le mdp maître est chiffré, ce qui donne une clé maître. A partir de cette clé maître, 2 clés sont générées:
- Un hash (appelé mdp hashé)
- une clé maître étendue

toujours coté client, une clé symétrique est générée aléatoirement,
cette clé symétrique est ensuite chiffrée en utilisant la clé maître étendue

Les choses envoyées sur le serveur sont:
- l'email
- le mdp hashé
- la clé symétrique chiffrée

Fin de la création du compte.

Quand tu te login, le mot de passe maitre est hashé coté client avec la même méthode que lors de la création du compte:
mdp => clé maître => mdp hashé
puis la paire email/mdp hashé est envoyée au serveur pour la comparer avec celle qui y est stockée. Si les paires email/mdp hashé sont identiques, l'authentification est validée. Le serveur renvoie au client la clé symétrique chiffrée (ainsi que le contenu du coffre (mots de passes, carte bancaire, etc. qui sont chiffrés comme on va le voir en dessous))

Ensuite, la clé maître étendue est générée coté client avec la même méthode que lors de la création du compte:
mdp => clé maître => clé maître étendue

la clé maître étendue est utilisée pour déchiffrer la clé symétrique chiffrée

On obtient donc la clé symétrique, qui sera celle qui est utilisée pour chiffrer ou déchiffrer le contenu du coffre. Les éléments du coffre comme les mots de passe sont chiffrés puis envoyés au serveur quand enregistrés sur l'application.

Ainsi, le mot de passe maitre, la clé symétrique, et contenu du coffre ne sont jamais stockés en clair sur le serveur.

pour plus d'infos:

https://bitwarden.com/help/crypto
https://bitwarden.com/help/article/bitwarden-security-white-paper/

luffysan-777
19 janvier 2022 à 13:17:24

Keepass est Open Source et c'est local, c'est pas accessible de partout comme le mobile, mais c'est accessible sur Mac et Windows. Tu garde ton fichier de mot de passe.

1
Sujet : Question sur les gestionnaires de mot de passe
   Retour haut de page
Consulter la version web de cette page