Gestionnaires de mots de passe des navigateurs : une praticité au détriment de la sécurité
-
@duJambon quand tu utilises un compte Firefox tes mots de passe sont bien enregistrés sur le serveur de synchro de Firefox, ils sont bien dans le cloud.
La fonctionnalité de synchronisation de Firefox
Si vous disposez d’un compte Mozilla et que vous avez activé la fonctionnalité de synchronisation, vos identifiants synchronisés (noms d’utilisateur, mots de passe et noms de domaines) sont chiffrés dès leur création ou lors de leur modification. Quoi qu’il arrive, Mozilla ne peut pas déchiffrer vos noms d’utilisateur et vos mots de passe sauvegardés sur le serveur de synchronisation.
Source : https://support.mozilla.org/fr/kb/comment-firefox-enregistre-mots-passe-securisee
C’est facile à vérifier. Eteins tous les PC sur lesquels tu as tes mots de passe enregistrés dans Firefox, connecte ton compte FF sur un nouveau PC, tu verras que tous tes mots de passe enregistrés seront instantanément téléchargés.
@Raccoon Les chiens ! Je n’ai jamais pu vérifier, mon pc principal fait du 24/7
J’espère qu’ils encryptent aussi de leur côté pour limiter la casse (les cookies, les liens et que ces derniers soient encryptés aussi avec le mot de passe local sur le pc).
Bon, reste que les sites vitaux ont la double authentification et les moyens de payement passent par une appli, je serai vite averti en cas de piratage, pour les autres, c’est moins grave.
Nulle loi d’airain gravée au marbre des remparts, car tout client dépend d’un serveur aux hasards. (ChatGPT)
-
@Raccoon Les chiens ! Je n’ai jamais pu vérifier, mon pc principal fait du 24/7
J’espère qu’ils encryptent aussi de leur côté pour limiter la casse (les cookies, les liens et que ces derniers soient encryptés aussi avec le mot de passe local sur le pc).
Bon, reste que les sites vitaux ont la double authentification et les moyens de payement passent par une appli, je serai vite averti en cas de piratage, pour les autres, c’est moins grave.
@duJambon a dit dans Gestionnaires de mots de passe des navigateurs : une praticité au détriment de la sécurité :
je serai vite averti en cas de piratage, pour les autres, c’est moins grave.
Du coup, si je te pique ton compte histoire de poster des images de quéquettes fermentées… c’est pas grave ?!
-
@Raccoon Les chiens ! Je n’ai jamais pu vérifier, mon pc principal fait du 24/7
J’espère qu’ils encryptent aussi de leur côté pour limiter la casse (les cookies, les liens et que ces derniers soient encryptés aussi avec le mot de passe local sur le pc).
Bon, reste que les sites vitaux ont la double authentification et les moyens de payement passent par une appli, je serai vite averti en cas de piratage, pour les autres, c’est moins grave.
@duJambon a dit dans Gestionnaires de mots de passe des navigateurs : une praticité au détriment de la sécurité :
J’espère qu’ils encryptent aussi de leur côté pour limiter la casse (les cookies, les liens et que ces derniers soient encryptés aussi avec le mot de passe local sur le pc).
Oui tout est chiffré de leur côté.
-
Bonjour
"Est-ce bien sécurisé ?Sécuriser vos données avec la synchronisation implique la création d’un mot de passe unique qui joue un rôle crucial dans le chiffrement de vos données pour une confidentialité totale. Le chiffrement se fait de bout en bout : vos données sont chiffrées avant qu’elles ne quittent votre navigateur et ne peuvent être déchiffrées que par une instance de Firefox en possession du même mot de passe. Lorsque vos données parviennent à un serveur exploité par Mozilla, elles se trouvent déjà chiffrées, assurant que pas même Mozilla ne puisse ni accéder aux informations contenues, ni les déchiffrer. Pour les personnes intéressées par la transparence et la sécurité, notre code est disponible en open source pour relecture. Tout le monde est bienvenu pour vérifier notre processus de chiffrement et les mesures de sécurité que nous maintenons pour vous-même.
Pour des détails sur la façon dont la synchronisation contribue à garder vos données en sécurité, consultez également l’article Comment la synchronisation de Firefox garde vos données en sécurité même en cas d’échec de TLS. " et si vous pouvez trouver un mot de passe de ce genre “99w7XyrCCtc93V” crypté! pas sûr que même les serveurs de météo France y arrivent avant que l’on devienne en os et même Poutine!
-
Pour compléter l’info sur l’intérêt de la synchro, il faut peut-être rappeler que c’est l’environnement qui est synchronisé (les cookies, liens, onglets et plus) et pas seulement les mots de passe de sites dont parlait l’article.
Je ne sais pas ce qui se passe, par contre, si on synchronise sans master password vu ce qui est écrit ci-dessus…
-
Bonjour
"Est-ce bien sécurisé ?Sécuriser vos données avec la synchronisation implique la création d’un mot de passe unique qui joue un rôle crucial dans le chiffrement de vos données pour une confidentialité totale. Le chiffrement se fait de bout en bout : vos données sont chiffrées avant qu’elles ne quittent votre navigateur et ne peuvent être déchiffrées que par une instance de Firefox en possession du même mot de passe. Lorsque vos données parviennent à un serveur exploité par Mozilla, elles se trouvent déjà chiffrées, assurant que pas même Mozilla ne puisse ni accéder aux informations contenues, ni les déchiffrer. Pour les personnes intéressées par la transparence et la sécurité, notre code est disponible en open source pour relecture. Tout le monde est bienvenu pour vérifier notre processus de chiffrement et les mesures de sécurité que nous maintenons pour vous-même.
Pour des détails sur la façon dont la synchronisation contribue à garder vos données en sécurité, consultez également l’article Comment la synchronisation de Firefox garde vos données en sécurité même en cas d’échec de TLS. " et si vous pouvez trouver un mot de passe de ce genre “99w7XyrCCtc93V” crypté! pas sûr que même les serveurs de météo France y arrivent avant que l’on devienne en os et même Poutine!
@tanjerine a dit dans Gestionnaires de mots de passe des navigateurs : une praticité au détriment de la sécurité :
si vous pouvez trouver un mot de passe de ce genre “99w7XyrCCtc93V” crypté! pas sûr que même les serveurs de météo France y arrivent avant que l’on devienne en os et même Poutine!
On ne dit pas crypté bon dieu… Pour le reste, je préfère ne rien dire
-
Je rejoins @Violence sur le fait qu’un gestionnaire de mdp qui n’est pas dans le navigateur est probablement plus sécurisé que celui du navigateur, même si j’admets que Firefox semble avoir fait des progrès dans ce domaine (je suis pas allé relire leur code, d’où mes réserves)
Cependant, je vois un autre intérêt au gestionnaire externe (j’utilise Enpass, perso, mais c’est les goûts et les couleurs), c’est qu’il peut servir de coffre à secrets sur le smartphone et donc être utilisé pour les connexions aux différents comptes, ainsi qu’aux applications soeurs des sites web auxquels vous accédez avec votre PC (applis smartphone qui n’utilisent pas directement un navigateur, donc). -
Outre un meilleur chiffrement avec les gestionnaires cités plus haut, il y a aussi une forme de satisfaction à s’auto-héberger, que ce soit pour les mots de passe, les fichiers personnels ou même les photos. Un petit SBC (Raspberry Pi, Odroid, Orange Pi, etc.) et un HDD externe sont rapidement rentabilisés.
Cela demande certes du temps au début pour tout configurer et sécuriser, mais cette autonomie et cette reprise presque totale de ses données apportent aussi une réelle gratification. -
Outre un meilleur chiffrement avec les gestionnaires cités plus haut, il y a aussi une forme de satisfaction à s’auto-héberger, que ce soit pour les mots de passe, les fichiers personnels ou même les photos. Un petit SBC (Raspberry Pi, Odroid, Orange Pi, etc.) et un HDD externe sont rapidement rentabilisés.
Cela demande certes du temps au début pour tout configurer et sécuriser, mais cette autonomie et cette reprise presque totale de ses données apportent aussi une réelle gratification.@Indigostar a dit dans Gestionnaires de mots de passe des navigateurs : une praticité au détriment de la sécurité :
s’auto-héberger
C’est la clé.
-
Moi, je suis abonné à LASTPASS
-
Perso je trouve plus simple et plus safe de stocker ses mots de passe sur une clef USB crypté et de ne l’utiliser qu’à la demande.
Sinon il y a la méthode @michmich, en plus sur cahier Oxford : très très classe !
🖖 ᒪIᐯE ᒪOᑎG & ᑭᖇOᔕᑭEᖇ Oᖇ ᒪIᐯE ᔕᕼOᖇT & ᔕKIᑎT, IT ᗪEᑭEᑎᗪᔕ !
-
vrai qu’avec Michmich il fait fort, mais faut pas perdre Oxford. Vrai qu’au niveau sécurité, c’est difficile. Ce que l’on disait ds le temps, la sécurité tue la sécurité et ce que l’homme a fait, l’homme peut le défère
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
S'inscrire Se connecter