GPZ Dream Team

Si vous en avais marre de retenir 36 mots de passe, ou que vous voulais plus de sécurité :
www.dashlane.com

un bon mots de passe ressemble a ça aujourd'hui : jM5}R6.hdD1\W8-b|a7K

ça retiens vos mot de passe, et vous connecte automatiquement.
ça peu aussi stocker d'autre info importante , et les crypter, genre vos numéro de CB. (et ça auto-complète lors de l'achat)
C'est gratuit (si vous avec qu'une seule machine), et français.
Seul ombre au tableau, ça n'est pas compatible linux.

Et c'est pas dangereux ton truc ?

En cas d'intrusion, on peut pas aller chercher ton numéro de carte bleue et s'en servir comme on veux ?

En gros tes données sont mémorisées en crypté avec une clé que tu dois taper a chaque fois que tu lance le logiciel ou que tu démarre le PC.
Sur le papier ça se tient, apres Chrome avec les profils a son propre gestionnaire, lui aussi propose de crypter les données... c'est un poil moins safe peut etre, mais c'est un bon début.

effectivement... après je me pose la question: a moins de mettre une clé tout aussi impossible à retenir que le parfait mot de passe, au final il "suffit" de trouver la clé pour récupérer tous tes mots de passe en cas de vol non?

Le gain en terme de sécurité couvre largement les risques, ça permet d'avoir partout des mots de passes long et différent.
Ils ne stockent pas en clair tes info, si il se font piraté, les pirate devront déployé des très gros effort pour décrypte chaque compte...(entre temps tu change de mots de passe...)
A l'heure actuelle AES est considéré comme inviolable.
Apres stocker tes numéro de CB n'est pas moins sécurisé qu'effectuer un achat en ligne classique... ce qui est plus sûr que faire un plein d'essence sur une borne automatique...ce qui est plus sur que de faire un achat en boite de nuit ^^... bref
Concernant Chrome ou les autres navigateurs, a ma connaissance la sécurité y est faible a inexistante, et des "scandale" éclate régulièrement, je leurs fait pas confiance.

Apres, faut quand même avoues que leur clause sont peu rassurante :
http://www.cil.cnrs.fr/CIL/spip.php?article1639

il se couvre sacrement bien ^^.

ouais puis personnellement j'y vois 2 soucis majeurs: c'est stocké en ligne, donc la sécurité est telle qu'il la donnent... tant qu'un pirate ne trouve pas de faille. "a l'heure actuelle, AES est considéré comme inviolable" oui mais jusqu'à quand? si ce n'est déjà pas compromis mais encore inconnu du public...

mais surtout, si c'est en ligne, c'est que ça fonctionne par un système de serveur non? et quid des moyens engagés de ce coté là? est ce qu'on peut être sûr d'avoir 100% de dispo des données?
si les serveurs crachent ou que le service ferme pour une raison X ou Y, au bout d'un an d'utilisation, tes mots de passe ça fait belle lurette que tu les auras oublié... et là bon courage...

il existe des techniques tout aussi sûr et pourtant relativement simple pour retenir des mots de passes complexes et différent pour chaque utilisation.

il suffit par exemple de faire de la substitution... ton mot de passe est constitué, du nom du site + un tronc commun avec chiffres et lettres spéciales + encore autre chose si tu veux.

comme ça avec ça tu peux reconstituer des mots de passe complexes sans avoir à les fournir à un tiers ou à faire confiance à la dispo d'un service.

après je ne dis pas que ce service est mauvais, mais perso je préfère éviter pour les raisons données, après chacun fait à sa façon

Je suis loin d’être un expert en sécurité, je ne fais que répéter ce que j'ai entendu lors de conférence de sensibilisation à la sécurité.

AES est considéré comme inviolable" oui mais jusqu'à quand?

au mieux, pour cracker AES il faut 2^126.1 opérations. Sur un super-processeur 100 core à 1 Thz, (en supposant que le décodage AES est Multi thread able et que 1 opération = 1 cycle) il faut ... je sais même pas l’écrire... (2^126)/((100*1e12)*360*24*365) = ...des milliards d’années. Donc, par force brute c'est increvable...je pense que tu est a l’abri pour un bout de temps.
La NSA a validé AES pour les fichiers top secret de l’état américain.
http://fr.wikipedia.org/wiki/Advanced_E ... n_Standard morceaux choisis :

L'AES n'a pour l'instant pas été cassé et la recherche exhaustive (« force brute ») demeure la seule solution. Rijndael a été conçu de manière à rendre des méthodes classiques comme la cryptanalyse linéaire ou différentielle très difficiles.

En 2011, des chercheurs de Microsoft publient une attaque sur la version complète d'AES2. Cette attaque permet de trouver la clef d'AES-128 en seulement 2^{126,1} opérations (contre 2^{128} pour une attaque par force brute). La même attaque s'applique à une version simplifiée (à 8 tours) d'AES-128, réduisant la complexité de l'attaque à 2^{124,9}. Cependant, cette attaque se basant sur une amélioration de l'attaque par rencontre au milieu est encore impraticable.

Anecdote marrante : http://fr.wikipedia.org/wiki/Chiffrement

L'usage de PGP (Pretty Good Privacy), un des premiers logiciels de chiffrement disponibles sur l'Internet, a longtemps été interdit en France, car considéré jusqu'en 1996 comme une arme de guerre de deuxième catégorie. La législation française s'est ensuite assouplie, et le chiffrement symétrique avec des clés aussi grandes que 128 bits a été autorisé. Certains logiciels, comme GNU Privacy Guard, peuvent être utilisés avec n'importe quelle taille de clé symétrique. Enfin, la Loi pour la confiance dans l'économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie, en revanche leur importation ou exportation est soumise à déclaration ou autorisation1.

Ce sont les mêmes info et chiffre que nous ont donné quelque expert.

mais surtout, si c'est en ligne, c'est que ça fonctionne par un système de serveur non?

Non tout est crypter et reste sur ton ordi. Dans la version payante, les données cryptées sont envoyées au serveur, ce qui permet d'avoir ses MDP sur n'importe quelle machine (en installant l'appli). De toute façon, même si tes données sont dérobées, elles sont inutilisables. Évidemment, la version gratuite n'est utilisable que si tu bosses que sur une machine, ou que tu as des activités très différentes sur plusieurs machines.

l existe des techniques tout aussi surs et pourtant relativement simples pour retenir des mots de passe complexes et différents pour chaque utilisation.

il suffit par exemple de faire de la substitution... ton mot de passe est constitué, du nom du site + un tronc commun avec chiffres et lettres spéciales + encore autre chose si tu veux.

C’est justement un très mauvais mot de passe ! et la principale raison pour laquelle ce service existe !

sans avoir à les fournir à un tiers ou à faire confiance à la dispo d'un service.

Tu ne fournis tes mots de passe a personne avec ce système (c'est le seul point ou ils sont s'engage dans leurs chartes), et la dispo au Server n'est pas un problème puisqu'il sert uniquement de synchro entre plusieurs machines.

Et rien ne vous oblige en rentrée vos numéros de CB...
Je souligne quand même que bon nombre de "virus" sont capables d'intercepter ce que vous tapez au clavier...qu'ont peu capté à 10m à travers un mur le signal d'un clavier filaire ps2...

Je suis cependant surpris de la grande méfiance que vous manifesté envers ce service, alors qu'on utilisé tous (excusez-moi de généralisé) , des produits bien moins sécurisés constamment...
Les mails sont la plupart du temps envoyés en clair.
Les conversations téléphoniques sont en clair ou décryptable "en live"
Les tickets SNCF contiennent votre numéro de CB (et c'est stocker en clair) (on m'avait sorti plusieurs aberrations de ce type que j'ai oublié...)
Les autocompletion de nos navigateurs sont en clair ou très faiblement cryptés
Vos mots de passe sont insuffisamment sécurisé on utilisé massivement google, Facebook ext... allez voir les stats de compte piraté pour rire.
On achète tous sur internet. et SSL est bien moins solide que AES.
On utilise des cartes bleus... c'est juste TROP facile de récupérer les numéros de carte bleus quand on bosse au guichet d'un macdo par exemple...

Attention, que les choses soit claire, je me fous royalement que vous utilisiez ou non ce service (ou ses concurrents), j'essaie juste de faire partagé un peu ce que des "experts" nous on raconté, et de vous sensibilisé un peu a la sécurité, et de balayé certaine idée reçue.

Ceci dit, bien sûr que chacun fait ce qu'il veut

bah j'suis content d'avoir soulevé point, ta réponse est très intéressante

il y avait un certains nombres de points que je n'avais pas compris tel quel (j'ai pas bcp pris le temps de cherché je t'avoue que j'étais un peu occupé :/)

bon effectivement, si c'est gardé en local, il y a déjà un gros soucis de confiance en moins que j'approuve donc.
Au vu de ce que tu dis, j'aurais tendance à penser que c'est pratique mais j'ai quand même un truc qui me chagrine, c'est le fait de n'avoir "qu'un seul mot de passe pour les gouverner tous"
en fait ta clé de chiffrement permet d'accéder à tous les mots de passe oui? donc si qqn de mal intentionné te récupère ta clé (par l'écoute du clavier par exemple comme tu le dis), il récupère tout :/

mon histoire de substitution n'est pas si mal je trouve ^^

exemple, si je te dis que mon mot de passe sur le forum (qui n'est bien entendu pas ça) c'est GPZDT|v|inimorp72620
et que mon mot de passe pour facebook serait: FBK|v|inimorp6211

quelle est la règle employée pour composer mon mot de passe? (j'ai pas été chercher très loin, on peut fairep plus complexe)
pour info, morp est mon surnom à l'école (ça explique pourquoi c'est dans la partie "fixe" )

honnêtement, c'est un peu contraignant certes, mais de là à donner tous les mots de passe si le pirate en découvre un... ya de la marge

allez un bonbon à celui qui trouve en premier ^^

Un mots de passe ne doit pas être "logique", ne dois pas contenir de mots (du dictionnaire) d’abréviation connue ext...
Ton système est donc fragilisé par le GPZDT ou FBK, par la redondance du inimor et |v|, et pose le problème de retenir tout tes numéro différant...(si tes numéro sont formé de manière logique, c'est catastrophique) perso j'avais trois mots de passe long, après je les oublier...
Apres est-ce que c'est suffisant ? très probablement...

Le mots de passe maître, tu le tape rarement fait (uniquement au démarrage de l'ordi), il est juste utilisé pour généré ta clé de cryptage, ou quand tu veux faire des modification ou consulté tes mots de passe. effectivement, s'il tombe entre de mauvaise mains, ta perdu...
cependant même dans ce cas, ça apporte un petit plus en sécurité puisque le virus ou le pirate en plus d’écouté le clavier, doit récupérer les fichier sur ton ordi. Ensuite, le pirate doit arrivé a régénéré la clé de décryptage à partir du mots de passe (je suis pas sur que ça soit simple, ça doit être pseudo aléatoire...)... alors qu'avec des mots de passe "classique" ben il a accès direct. De plus, les mots de passe tu les tape plus après.

ia aussi un autre aspect a prendre en compte, c ultra très pratique, c'est l'autocompletion qu'est juste trop bien integré dans le navigateur, tu peu faire différent "profil", faut essayer pour comprendre. et en grand fainéant que je suis, ne plus avoir a tapé aucun mot de passe, mon mail, mes num de CB ou paypal...c'est trop cool.

kro007 a écrit :Un mots de passe ne doit pas être "logique", ne dois pas contenir de mots (du dictionnaire) d’abréviation connue ext...
Ton système est donc fragilisé par le GPZDT ou FBK, par la redondance du inimor et |v|, et pose le problème de retenir tout tes numéro différant...(si tes numéro sont formé de manière logique, c'est catastrophique)

Ils le sont, mais c'est catastrophique uniquement si la règle logique est facile à déterminer... or cette règle tu peux la rendre TRES tordue ^^ voire faire intervenir des informations personnelles...

dans le cas présent, le suffixe c'était "tout simplement" les valeurs des lettres de la partie "GPZDT/FBK/etc..." (le préfixe) dans l'alphabet en en prenant une sur 2 pour un mot avec un nombre de lettre impair et supérieur à 3, toutes si le nombre est inférieur à 3, et une sur 2 en commençant par la 2ème si c'est un nombre pair de lettres. plutôt facile en fait... quand tu connais la règle.

en fait les possibilités sont infinies et aucun ordinateur ne peut trouver, dans un temps inférieur à celui d'une attaque brute force, quelle est la règle logique vu que cette logique peut faire intervenir un nombre de paramètres infinis ( nombres de lettres dans la couleur préférée de l'utilisateur multiplié par son nombre de frères et soeur etc...) où l'imagination est la seule limite. donc on ne peut pas les quantifier ni attaquer ces paramètres par brute force. seul le mot de passe est attaquable par brute force, comme la totalité des mots de passe dans le monde quelque soit le chiffrage utilisé.
ce qui fait un "suffixe" facile à déterminer pour l'utilisateur qui connait la règle, mais pratiquement impossible pour un pirate

l'inconvénient majeur de cette technique c'est qu'on est pas dans le cryptage de données en vue de les transmettre là. d'où le fait que ce n'est pas utilisé par les services de la NSA ou autre. ce n'est pas un mot de passe que l'on peut transmettre à quelqu'un facilement. enfin le mot de passe on peut, mais la règle elle est personnelle. et transmettre le mot de passe en clair revient à prendre le risque de divulguer le contenu du document crypté: aucun intérêt.

c'est l'avantage des algorithmes à chiffrement par clé comme le RSA (et visiblement le AES que je ne connaissais pas): leur fonctionnement complexe est publique (par analogie c'est la règle que j'utilise pour déterminer le mot de passe en fait) mais on rajoute une donnée (toujours par analogie ça serait un multiplicateur du suffixe) dont la valeur est simple mais privée

ça permet de facilement envoyer la règle, tout en gardant le message crypté.

ça reviendrait à dire : je te dit que mon mot de passe est composé des initiales du site, d'un tronc commun qui est |v|inimorp et d'un suffixe qui est la valeur des lettres du préfixe. et que ce suffixe est multiplié par une valeur entre 1 et 2^250.

si je te dis ça, tu peux pas trouver le mot de passe, autrement que par brute force, même si tu sais comment est foutue la règle. il te manque la valeur du multiplicateur qui serait aussi longue à déterminer que le mot de passe en brute force

mais si on oublie le besoin de transmettre le mot de passe, aucun besoin du multiplicateur, le seul fait de garder secret la règle de conception du mot de passe est plus puissant que la multiplication par 2^250 options...

Interessant comme discution. Mais le coup du logiciel qui gére tout ... en cas de crash PC ou autre t'es mal .... tu as perdue tes mots de passe et pas moyen de les récupérer en collant le disque dans un autre PC ( sinon c'est pas sécure )
Un collègue l'utilise au boulot en local pour l'ensemble de ces comptes et c'est pas mal du tout, par contre pour les nomades ( téléphone + tablette + PC + PC du boulot + ...) il faut pouvoir déployer l'application partout ou prendre la version payante.

J'ai participé a plusieurs formation sur la sécurité des données utilisateurs et le pire outils pour surfer ceux sont les téléphones portables et ce quelque soit OS

Le truc de minioim m'a été donnée par plusieurs consultant sécurités pour avoir des password "facile" à retenir à plus de 14 caractères
une base fixe de 8 caractères, un identifiant du site basé sur l'URL et le type de site ( commerce, info, jeux .... )
du sytle : gpzdream@h!D8\W9-@moto.

C est très compliqué une bonne protection des données.
Perso pour mes achats sur internet j utilise un compte sur lequel il n y as que l argent dont j ai besoin pour mes achats web ...
Et paypal c est assez secure (même si on me l as déjà pirater.)
Paypal as réagit très vite ... Tellement vite que j étais déjà rembourser de la somme , avant de voir qu on me l avait prise ...

@minioim
oui, dans "le feu de l'action" j'ai probablement sous estimé ta méthode. Si (et seulement si) tu la garde secrète, tu devrais pourvoir t'en servir sans problème.
Maintenant si par malheur ça se démocratique, le risque est que des groupe entier de personne se mette a utilisé plus ou moins les même algo de création de mots de passe, ou que les hacker se mettent a monté des dictionnaire d'algo, ce genre de mots de passe peu alors se faire attaque par autre chose que la force brute et donc des failles sérieuse peuvent apparaître. Ta solution repose aussi sur un mot de passe maître (ta clé de cryptage).
Niveau secu je pense que c'est bon, niveau facilité d'utilisation, c'est moins bon par contre.

@dnstouron

Interessant comme discution. Mais le coup du logiciel qui gére tout ... en cas de crash PC ou autre t'es mal .... tu as perdue tes mots de passe et pas moyen de les récupérer

Tu peu exporté les donné chiffré sur d'autre support (les même data qui sont envoyer sur les server dashlane premium) et donc les sauvegardé en back up, ou les tranferer à la mano de poste a poste.
Pas pratique, mais faut bien qu'il justifie leu offre premium

un truc tout bete;

sur ton ordi tu bloque ton compte principal avec un super mot de passe et tu ouvres un compte invite sur lequels tu surfes tous les jours donc si tu es assujetti a un hackers il n'aura a dispo que ton compte invite et donc zero donnees, bien sur lors d'achat sur le net on ne va que sur les sites reconnus, perso je fais quasiment tout sur le net depuis 2001 et aucun souci a ce jour ( je touches du bois ) parcontre j'ai une assurance supplementaire aupres de ma banque avec une ecarte qui te garanti le remboursement integral en cas de piratage