Mots de passe

Salut
Pour ce début d’année, j’ai pris de bonnes résolutions et miracle j’en ai tenu une…
J’ai décidé de mettre un peu d’ordre dans mes mots de passe : 300
Voici la procédure que j’ai suivie

• utilisation de keepassxc protégée par une phrase de passe de 7 mots faisant 58 caractères en lien avec firefox
• un alias de mon adresse mail principale pour mettre sur les sites internet
• mots de passe de 23 caractères aléatoire créés par keepass (majuscules, minuscules, chiffres et caractères spéciaux) quand c’est possible car il y a des sites qui par exemple n’acceptent pas plus de 16 caractères comme Free et d’autres qui ne veulent pas de caractères spéciaux
• dans keepass indication du changement de chacun des mots de passe au bout d’un an mais changement immédiatement si j’apprends que le site a été piraté

En quelques jours j’ai pu mettre en place cette belle résolution pour 2023
Mais La Quadrature du Net vient de gacher la fête avec un article sur la CAF qui aurait laissé fuiter quelques 10000 dossiers d’allocataires. A quoi ça sert que je me décarcasse même si je ne suis pas allocataire de la caf. Il ne s’agit donc pas d’une légende urbaine, des sites internet se font pirater…

L’article cité prouve un niveau d’incompétence rare de la part de diverses personnes, censément informaticiennes…
Merci pour ce « jeu de données fictif », pour la formation d’agents de contrôle.

Un contrat de ce type doit contenir une clause « données fictives (ou non) » et au moins un mot de passe…
Révoltant.
Au moins, ce n’était pas dans le Pen ar Bed.

Je ne dirais pas incompétence pour les personnes mais pour l’entreprise qui bien souvent ne met pas les moyens et le personnel pour permettre de faire du bon boulot comme dans le cas de Free qui a beau jeu de se défausser sur les erreurs humaines alors que comme le fait remarquer la CNIL :

ses processus qualité de reconditionnement n’avaient pas été respectés, signe « révélateur de l’insuffisance de mesures techniques et organisationnelles mises en œuvre ».

Il reste que n’importe quel mot de passe de 500 caractères ne peut protéger du piratage du site lui-même sauf, d’après l’article, la double authentification qui n’est pas toujours proposée malheureusement

Je croyais que le https était le minimum pour un site qui demande des identifiants pour se connecter mais je m’aperçois qu’il existe des sites qui n’y ont pas encore recours et pas des moindres
http://www.ordi3-0.fr/

Le mot de passe d’accès à MON ordinateur est une chose ; l’accès à mes comptes d’adhérents dans nombre de sites Internet en sont une tout autre…
Il semble que c’est de ce dernier côté qu’il y ait des problèmes de légèreté dans la prise en compte de la sécurité informatique.
1 - J’avais abandonné lâchement et en rase campagne un compte (alaegatae@free.fr - Alægatæ, si si ça existe) car « compromis », et en plus il y avait une bogue jamais résolue côté Free, un morceau de message impossible à détruire.
2- Gmail ayant banni la récupération des messages par Thunderbird, j’ai dégooglisé ces comptes. Sauf un, celui d’Android…
Ce fut une lutte difficile, longue et pénible pour faire admettre aux sites de changer de compte e-mail !! Les gens censés s’en occuper sont de la plus grande résistance. Merci à eux de leur opiniâtreté contre ce changement indispensable de loin en loin…

J’en suis là.

Tu peux récupérer tes messages avec Thunderbird, c’est tout un bordel et il faut à la fin que tu crées un mot de passe spécialement pour ton Thunderbird.

C’est ce que j’ai fait --brièvement. Puis, comme dit, j’ai « dégooglisé » les comptes Gmail vers Free, lequel accepte Thunderbird.

Bonjour
J’ai demandé l’avis de « ChatGPT » sur les gestionnaires de mots de passe. Ce qu’il a de bien avec ce machin, c’est qu’il est toujours d’accord

Q : Connaissez-vous un bon gestionnaire de mots de passe ?
R : Oui, voici une liste de gestionnaires de mots de passe populaires :

1. 1Password
2. LastPass
3. Dashlane
4. Bitwarden
5. KeePass

Chacun de ces gestionnaires de mots de passe offre des fonctionnalités de sécurité avancées, telles que la chiffrement des mots de passe et la synchronisation entre plusieurs appareils. Il est recommandé de choisir celui qui répond le mieux à vos besoins et préférences personnelles.

Q : Vous me proposez LastPass alors que le mois dernier nous apprenions qu’ils ont été piratés. Dans la revue en ligne Numerama il est écrit que "Les contours du piratage ayant affecté LastPass cette année se précisent. Dans un point de situation publié le 22 décembre, la direction du gestionnaire de mots de passe a confirmé que des données personnelles ont bien été récupérées par le ou les pirates. Mais une autre information est susceptible de provoquer une plus vive inquiétude, car elle concerne les mots de passe. LastPass signale que les assaillants, une fois qu’ils ont pu accéder à son cloud, ont été capables de copier certaines informations, dont « une sauvegarde des données du coffre-fort du client à partir du conteneur de stockage chiffré ». Or, c’est dans ce coffre-fort que l’on peut retrouver certaines données sensibles, notamment les mots de passe. " Qu’en pensez-vous ?

R :Je comprends que vous soyez préoccupé par la sécurité de vos informations après ce qui s’est passé avec LastPass. C’est une bonne chose de prendre en compte les risques de sécurité lors du choix d’un gestionnaire de mots de passe.

En général, il est important de se rappeler que aucun système n’est entièrement sûr, mais il existe des mesures que les entreprises peuvent prendre pour minimiser les risques de sécurité, telles que la chiffrement des données, la mise en œuvre de politiques de sécurité strictes, et la collaboration avec les autorités de sécurité pour résoudre les problèmes de sécurité.

Il est donc judicieux de vérifier les politiques de sécurité et les méthodes de chiffrement utilisées par le gestionnaire de mots de passe avant de choisir celui qui convient le mieux à vos besoins. Vous pouvez également vous renseigner sur les mesures prises par le fournisseur en cas de violation de la sécurité.

Q : Je pense qu’il faut distinguer les gestionnaires de mots de passe qui offrent des solutions en ligne et ceux qui sont des logiciels à mettre en oeuvre soit directement sur son ordinateur soit sur son serveur pour éviter de subir le piratage de grosses structures comme LastPass. Les pirates ont tendance à s’attaquer plus à des gros structures qu’à des petites où le gain sera moindre

R : Vous avez tout à fait raison. La distinction entre les solutions en ligne et les solutions déployées localement peut être importante pour prendre en compte les risques de sécurité.

Les solutions en ligne peuvent offrir une plus grande commodité et une synchronisation facilitée entre les appareils, mais elles peuvent également être plus vulnérables aux attaques en raison de la centralisation des données.

Les solutions déployées localement, telles que les logiciels installés sur un ordinateur ou un serveur, peuvent offrir une meilleure sécurité en raison de la gestion des données par l’utilisateur, mais elles peuvent également nécessiter une plus grande expertise technique et une maintenance régulière.

Il est donc important de considérer ses propres besoins et préférences en matière de sécurité et de commodité lors du choix d’un gestionnaire de mots de passe.

Dans cette série de réponses, ChatGPT se conduit en politicien, on n’apprend pas grand chose de nouveau ou d’original. Il répond de façon bénigne, sans s’engager véritablement.

Je trouve ces réponses bien souvent claires et pertinentes. Par exemple celle-ci

Q : Faut-il se méfier des sites internet en http ?
R: Oui, il est recommandé de se méfier des sites internet en HTTP. En raison de la nature peu sécurisée de la connexion HTTP, des tiers peuvent facilement intercepter et modifier les données transmises entre l’utilisateur et le site web. Cela peut inclure des informations sensibles telles que les mots de passe et les informations de paiement.
Il est préférable d’utiliser des sites en HTTPS, qui offrent une connexion cryptée et sécurisée. Les sites en HTTPS utilisent un certificat SSL/TLS pour s’assurer que les données transmises sont sécurisées et ne peuvent pas être interceptées ou modifiées par des tiers.
Il est important de noter que même si un site utilise HTTPS, cela ne garantit pas que le site soit entièrement sûr. Il est toujours important de faire attention aux informations que vous partagez en ligne et de vérifier la fiabilité des sites web avant de leur transmettre des informations sensibles.

ChatGPT n’est pas aussi précis que la doc mais peut s’avérer aussi bon et même plus rapide qu’une recherche sur internet. Par exemple :

Q :Peut-on utiliser le gestionnaire de mots de passe Keepassxp pour gérer les clés ssh ?
R :Oui, KeepassXP peut être utilisé pour gérer les clés SSH en les stockant comme des entrées de mots de passe dans la base de données. Cependant, certaines fonctionnalités supplémentaires peuvent être nécessaires pour faciliter l’utilisation des clés SSH avec KeepassXP.

Q : Peut-on utiliser Keepassxc pour lancer une commande dans un terminal ?
R : Oui, KeepassXC peut exécuter une commande dans un terminal en utilisant une fonctionnalité appelée « Autotype ». Autotype vous permet de définir une séquence d’actions à exécuter lorsque vous sélectionnez une entrée de mot de passe dans la base de données de KeepassXC. Vous pouvez utiliser Autotype pour ouvrir un terminal et exécuter une commande en utilisant des macros. Il est également possible de configurer des boutons d’action pour exécuter des commandes spécifiques en utilisant des scripts.

Une réponse :

et :

Combien seriez-vous prêt à payer pour identifier du texte rédigé à l’aide d’une intelligence artificielle ?
L’accent actuellement est mis sur l’utilisation de ChatGPT par les étudiants comme il y a une dizaine d’années sur Wikipédia.
Je ne cherche pas à passer des examens tout au plus à briller dans les salons ou sur les forums mais avant il y avait le dico ou les encyclopédies. Principalement je reste un utilisateur régulier de Wikipédia pour le plaisir de m’informer avec la quasi-certitude d’avoir une information beaucoup plus fiable que tout ce qui traine sur internet ceci garce au mode de fonctionnement de Wikipédia. Pour ChatGPT le résultat semble intéressant comme mode d’information mais le mode de fonctionnement est plus problématique. Qui est derrière cette IA ?

Pour enrichir le sujet :

L’article répond « oui » ; jusqu’à présent je n’ai pas eu à m’en plaindre.

Je ne sais pas si Slate est une source fiable mais je suis d’accord qu’à choisir il est beaucoup plus sécurisé d’utiliser par exemple le gestionnaire de mots de passe de Firefox en créant des mdp aléatoires et en y ajoutant une phrase de passe principale bien costaud sachant que ce qui fait la force est la longueur et non les types de caractères
Lorsqu’on a plusieurs appareils et un nombre de mdp important keepassxc sur un serveur sécurisé devient presque une nécessité et dans ce cas je me réfère au Guide d’Autodéfense Numérique

ou à l’ANSSI
https://www.ssi.gouv.fr/administration/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/