Le mot de passe est une calamité, 68% des connexions échouent !
Selon les chiffres de Microsoft, la solution est ....
Vous avez surement déjà eu du mal à vous connecter à un compte en ligne à cause d’un mot de passe. Rassurez-vous vous n’êtes pas seul. Microsoft révèle que 68 % des tentatives de connexion par mot de passe échouent. Les causes sont variées allant de fautes de frappe à des processus d’authentification complexes.
Ce chiffre est impressionnant car il sous entend que moins d’un tiers des utilisateurs Microsoft parviennent à se connecter du premier coup lorsqu’un mot de passe est requis. Dans un article publié sur son blog sécurité intitulé « Pushing passkeys forward: Microsoft’s latest updates for simpler, safer sign-ins », la firme de Redmond tente de mettre en avant une solution plus simple et plus sécurisée : les clés d’accès (passkeys).
98 % de réussite avec les clés d’accès
Contrairement aux mots de passe, les clés d’accès affichent un taux de réussite de 98 %. Microsoft observe même une adoption massive : environ un million de nouvelles clés d’accès sont créées chaque jour. Elles permettent de se connecter de manière biométrique (via empreinte digitale ou reconnaissance faciale) ou à l’aide d’un code PIN local, sans jamais taper un mot de passe.
Afin d’encourager l’abandon des mots de passe, Microsoft déploie plusieurs changements.
- Les nouveaux comptes sont désormais sans mot de passe par défaut. En clair les options de connexion dites “modernes” sont mises en avant dès la création d’un compte.
- Microsoft prévoit d’afficher la « meilleure méthode disponible » pour se connecter aux utilisateurs. Les utilisateurs peuvent également être invités à enregistrer une clé d’accès, ce qui sera l’option préférée par la suite..
- ou encore une nouvelle expérience de connexion visuelle qui privilégie les méthodes de connexion et d’inscription sans mot de passe..
Vous pouvez dès maintenant créer vos propres clé d’accès sur le site officiel de Microsoft. Attention toutefois : la connexion à Windows via passkey n’est pas encore disponible.
clés d’accès, des limites existent
Les clés d’accès, bien qu’annoncées comme l’avenir de l’authentification sans mot de passe, présentent encore certaines limites qui freinent leur adoption généralisée.
L’une des premières difficultés réside dans leur démocratisation. En effet tous les sites web et toutes les applications ne prennent pas encore en charge cette technologie. La situation oblige donc à jongler entre différentes méthodes de connexion.
À cela s’ajoutent des problèmes de portabilité, notamment lorsqu’il s’agit d’utiliser une clé d’accès sur plusieurs plateformes ou appareils. Selon les fournisseurs, la configuration peut devenir complexe.
Par ailleurs, la récupération d’un compte en cas de perte d’accès reste un point sensible. Les solutions de secours proposées s’appuient encore largement sur des méthodes traditionnelles comme l’envoi de codes par e-mail ou SMS, ce qui compromet en partie les promesses de sécurité et de simplicité des clés d’accès.
Enfin, la synchronisation entre appareils n’est pas toujours fluide : lorsqu’on change de téléphone ou d’ordinateur, la transition peut s’avérer laborieuse, certains identifiants ne se transférant pas automatiquement.
Donc au moins 68% des gens tentant de se connecter n’utilisent pas de gestionnaire de mot de passe… Ce qui de nos jours est impossible, du moins si l’on veut avoir une politique de sécurité convenable. Perso j’ai plus de 260 entrées uniques dans ma BDD de mot de passe, soit autant de comptes… Comment à l’heure du «tout» numérique ne pas utiliser de tels outils de base de données.
Mais bon, à chaque fois que j’en parle, les gens sont en mode :« j’ai pas confiance, je préfère les retenir/les écrire»… Voilà la tronche de la sécurité… de MDP avec des racines similaires, voir identiques, faible nombre de caractères, faible complexité…
Alors que moi, certain de mes MDP montent à 124 caractères avec maj’, chiffre, symbole. Le tout entré quasi automatiquement (c’est moi qui dit si il le faut ou non) dans les champs à remplir, en moins d’une seconde.
En terme de gestionnaire, vous avez : Keepass, KeepassXC (multi-OS), Bitwarden (les gens en disent du bien, masi perso je sais pas), ProtonPass (basé sur Keepass avec BDD en ligne protéger par le politique de Proton, mais j’aime pas, c’est en ligne).
**Si vous n’en n’utilisez pas, je vous en conjure, testez sur 1 mois un des logiciel ci-dessus (recommandation perso: KeepassXC avec son extension de navigateur pour remplir les champs automatiquement), le temps de prendre vos marques, comprendre les réglages, etc… Vous verrez, une fois pris en main, ce type de logiciel vous apparaîtra comme une nécessité.**
Alors je dis pas, jumeler ça avec une passkey je suis 100% pour, le problème étant que leurs utilisation ne sont pas , pour moi, assez répandue.
Il faudrait un article de loi, contraignant, obligeant tout site web ayant des logins, à prendre en charge l’utilisation des passkey (et voir à en obliger l’utilisation).
Sans moi !
C’est toi qui voit je ne t’invectiverais pas là dessus ^_^
Cependant, permets moi d’ajouter un argument :
L~!RXoR|9vIy&JKZyzba1..i5`nq5XCTXljIh/xz9aK&J.ldN_kFIZPU;34Y5tILm;^`@N|7eXhK/5Z6uGwdGLeZ+u:#xr~l;$.4MJ”D^”|9c.C0&j;FD\ztK&v6^~’
(entropie de 772, plus c’est haut plus le mdp est fort)
Ça c’est un mot de passe, généré automatiquement de 128 caractères (utilisable dans les champs qui acceptent de nombre, ex : les code pin de clef SSH)
ou encore:
$+=5\*8rRqh1_=pvLCJ,@VO”sA:Wg&GI
(entropie de 195 ce qui est déjà très bon)
Ça, c’est un 30 caractères, compatibles avec quasiment tout les sites web.
Ose me dire que ces mots de passe ne sont pas plus sécurisé que les tiens.
Ajoutes à ça le confort et la sécurité d’une base de donnée cryptée par mot de passe+ clef Physique(ex: Yubikey)/numérique(fichier clef), le confort d’un remplissage semi-automatisé des champs et il n’y a pas de réelle raison de ne pas l’utiliser, sauf ne pas vouloir apprendre, se familiariser avec un nouveau logiciel.
Je réitère mes propos, à l’heure du «tout internet»«tout connect黫tout numérique» avoir un tel annuaire est une nécessité, ne serait-ce que par le temps de cerveau que cela économise.
Tu dis que tu n’aimes pas ProtonPass parce que c’est en ligne, et je suis d’accord avec toi, je ne suis pas fan à l’idée d’avoir ma base de donnée de mot de passe en ligne. Comment tu fais dans ces cas là quand tu as plusieurs machines, ou ne serait-ce qu’une synchro entre un PC et un smartphone? Ta base de donnée doit bien être stockée à un endroit tout le temps accessible à tous tes appareils, donc forcément en ligne non?
En gros, je me sers de mon NAS (un RPI 4 avec OpenMediaVault) comme serveur de BDD de password.
Ma base y est hébergée dans un dossier/partage (Samba) spécifique, partage qui est monté au démarrage de ma(/mes) session(s) (PC). Je pointe le logiciel (KeepassXC) vers cet emplacement et vers le fichier, et zou, toutes les modifs sont sauvegardées de façon transparente et accessible par toutes mes bécanes ayant le dit partage (ne pas oublier les backup! Toujours! KeepassXC peut les automatiser, pour les autres faut vérifier). Et ça fait plusieurs années que ça tourne comme ça sans aucun problème de corruption ou autre.
Je préfère la solution centralisé: «un fichier accessible par toute mes machines» car Pas de problème de version et de désynchronisation.
à la solution :
«Un fichier par machine qui se synchronise à chaque changement.» Car je ne sais jamais quel est la version la plus à jour.
Dernière soluce’ qui est tout à fait réalisable avec l’utilisation de Syncthing.
Pour moi et mon utilisation le plus gros point de friction est au niveau du smartphone (un J7 de 2016).
Plusieurs difficultés à ça:
-Le manque de puissance de mon appareil ce qui rend très pénible(/impossible en fait) la moindre ouverture de base de donnée (car elle est décryptée à ce moment là) dû à un cryptage trop fort et complexe pour lui.
-Divers limitation d’android (version 8) ne permettant pas d’ouvrir ma BDD depuis mon NAS via une app cliente (-_-)…
-Limitation d’android ne permettant pas à Syncthing d’écrire sur la carte SD, elle est en protection contre l’écriture et je ne peux rien y faire.
-manque de place sur ma mémoire principale.
-Le coté sécurité, je n’était pas vraiment à l’aise à l’idée de me promener avec ma BDD tout le temps dans la poche dans un truc facilement volable. (un point de plus pour l’accès à distance de la BDD, au pire des cas l’accès est coupé vers le périphérique compromis)
Donc, rien qu’à cause du manque de puissance, je me passe de mes MDP sur mon tel’, ensuite si je devais vraiment mette ma BDD dessus et sync le tout avec Syncthing je suis pas certain que ça ne fasse pas des étincelles… Et puis j’en ai pas vraiment besoin sur mon tel’ (au pire avec KDE connect et le partage de presse-papier entre pc et smartphone je peux envoyer rapidement mes ID sur mon tel juste en les copiant sur le pc)
Si tu as un vieux pc portable dans un placard, tu peux faire un environnement de test voir si cette solution te convient.
#################################################################################
Syncthing:
logiciel que je recommande pour synchroniser des documents et dossier entre plusieurs machines. Si en plus tu as une petite machine restant allumé en continue, tu t’en sers comme machine centrale/machine tampon, vers et depuis laquelle vont et viennent les synchronisations, et non entre les machines directement, car il faut qu’elles soit allumées en même temps pour se sync (logique). En plus tu as des règles de rétention de versions de fichiers, ça peut donc faire “office de backup”. (un peu velu pour ceux qui ne sont pas techos, sans pour autant être impossible, loin de là)
KDE Connect:
Un bon petit utilitaire permettant de jumeler smartphone et PC. Ex: tu peux lire, écrire et envoyer des SMS depuis ton PC, modifier le volume, play/pause, notifications (dans les deux sens), exposer des dossiers vers l’autre appareil, transférer de fichier vers ton pc VIA WIFI !! (et donc à grand vitesse) et non via le bluetooth, coupe le son du pc l’hors d’un appel, etc… (y’a plein de p’tit réglage bien sympa)
Ça, oblige par contre, à mettre les mains dans le cambouis, on ne peut pas tout avoir :/
Pour du perso, j’ai un NAS chez moi et un Nextcloud en ligne, j’imagine que je pourrais me bidouiller un truc du même genre. Aujourd’hui je n’utilise pas de gestionnaire de mot de passe, mais j’y pense de plus en plus.
Derrière ma question, c’était aussi pour mettre ça en place en pro, pour mes utilisateurs. La solution du stockage sur un partage réseau sur une machine qui tourne H24, je ne suis pas certain que ça fonctionnerait chez nous. On a des utilisateurs qui travaillent sur plusieurs sites et en clientèle. On peut toujours leur demander de monter un VPN mais juste pour des mots de passe, ça risque de râler. Je crains qu’on n’ait pas trop d’autres solutions qu’un stockage en ligne, dont je ne suis pas fan, surtout depuis que LastPass s’est fait pirater sa base de données de mdp client par exemple.
Il y a peut être moyen d’exposer un service self-hosted au web (avec les soucis que ça donne…)ou un truc du genre.
J’utilisais Keeweb avant KeepassXC (j’ai migré, car je ne sentais pas le fait que le code stagne aussi longtemps).
Cette variante de (et compatible avec) Keepass propose une web interface pour ouvrir ses BDD (en plus d’une version installable). Peut être existe-t’il une solution logiciel que tu peux faire transiter.
Je viens de retourner dessus le site (/webapp)de Keeweb, il fonctionne encore. Il m’a donné une idée, d’ailleurs. Keeweb propose d’ouvrir des fichiers BDD depuis un :
-webdav (nextcloud le fait, de mémoire)
-onedrive
-google drive
-dropbox
Peut être est-il possible d’utiliser une de ces solutions pour y héberger la BDD ?
Je pense que le problème de sécurité ne devrait pas se poser, vu que les BDD sont cryptées et qu’en plus on peu y adosser des (/une?) clef physique type Yubikey.
Il y a probablement moyen de faire la même chose avec keepassXC (CAD utiliser des services cloud pour héberger le /les BDD). Je sais que ce dernier propose de partager certain login avec d’autres utilisateurs, via je crois leurs BDD perso (a tester, j’ai pas l’utilité de la chose, donc j’ai pas essayé)
Tout ce que j’écris dois quand même être mis au banc de test avant utilisation ^_^ ça peut (très probablement) cafouiller quelque part…
J’écris ça rapidement en même temps que je réfléchis un peu à la chose, déso. si c’est pas super ordonné.
[ Perso j’ai plus de 260 entrées uniques dans ma BDD de mot de passe,
soit autant de comptes.. ]
Et très probablement 80+ % de comptes inactifs qui ne vaillent pas la
peine d’être conservé.
C’est assez symptomatique des bordéliques d’une logique puérile
incapables de réaliser des choix difficiles…
En gros, je me sers de mon NAS (un RPI 4 avec OpenMediaVault) comme serveur de BDD de password.
Ma base y est hébergée dans un dossier/partage (Samba) spécifique, partage qui est monté au démarrage de ma(/mes) session(s) (PC). Je pointe le logiciel (KeepassXC) vers cet emplacement et vers le fichier, et zou, toutes les modifs sont sauvegardées de façon transparente et accessible par toutes mes bécanes ayant le dit partage (ne pas oublier les backup! Toujours! KeepassXC peut les automatiser, pour les autres faut vérifier). Et ça fait plusieurs années que ça tourne comme ça sans aucun problème de corruption ou autre.
Je préfère la solution centralisé: «un fichier accessible par toute mes machines» car Pas de problème de version et de désynchronisation.
à la solution :
«Un fichier par machine qui se synchronise à chaque changement.» Car je ne sais jamais quel est la version la plus à jour.
Dernière soluce’ qui est tout à fait réalisable avec l’utilisation de Syncthing.
Pour moi et mon utilisation le plus gros point de friction est au niveau du smartphone (un J7 de 2016).
Plusieurs difficultés à ça:
-Le manque de puissance de mon appareil ce qui rend très pénible(/impossible en fait) la moindre ouverture de base de donnée (car elle est décryptée à ce moment là) dû à un cryptage trop fort et complexe pour lui.
-Divers limitation d’android (version 8) ne permettant pas d’ouvrir ma BDD depuis mon NAS via une app cliente (-_-)…
-Limitation d’android ne permettant pas à Syncthing d’écrire sur la carte SD, elle est en protection contre l’écriture et je ne peux rien y faire.
-manque de place sur ma mémoire principale.
-Le coté sécurité, je n’était pas vraiment à l’aise à l’idée de me promener avec ma BDD tout le temps dans la poche dans un truc facilement volable. (un point de plus pour l’accès à distance de la BDD, au pire des cas l’accès est coupé vers le périphérique compromis)
Donc, rien qu’à cause du manque de puissance, je me passe de mes MDP sur mon tel’, ensuite si je devais vraiment mette ma BDD dessus et sync le tout avec Syncthing je suis pas certain que ça ne fasse pas des étincelles… Et puis j’en ai pas vraiment besoin sur mon tel’ (au pire avec KDE connect et le partage de presse-papier entre pc et smartphone je peux envoyer rapidement mes ID sur mon tel juste en les copiant sur le pc)
Si tu as un vieux pc portable dans un placard, tu peux faire un environnement de test voir si cette solution te convient.
#################################################################################
Syncthing:
logiciel que je recommande pour synchroniser des documents et dossier entre plusieurs machines. Si en plus tu as une petite machine restant allumé en continue, tu t’en sers comme machine centrale/machine tampon, vers et depuis laquelle vont et viennent les synchronisations, et non entre les machines directement, car il faut qu’elles soit allumées en même temps pour se sync (logique). En plus tu as des règles de rétention de versions de fichiers, ça peut donc faire “office de backup”. (un peu velu pour ceux qui ne sont pas techos, sans pour autant être impossible, loin de là)
KDE Connect:
Un bon petit utilitaire permettant de jumeler smartphone et PC. Ex: tu peux lire, écrire et envoyer des SMS depuis ton PC, modifier le volume, play/pause, notifications (dans les deux sens), exposer des dossiers vers l’autre appareil, transférer de fichier vers ton pc VIA WIFI !! (et donc à grand vitesse) et non via le bluetooth, coupe le son du pc l’hors d’un appel, etc… (y’a plein de p’tit réglage bien sympa)
Oups, mauvais destinataire :/
Du ad hominem ??? Direct, comme ça, à froid ??
Et bin mon salaud, tu t’emmerde pas… Tu ne sais rien de moi et mes pratiques et besoins techniques/technologique…
Putain de troll
[ Tu ne sais rien de moi et mes pratiques ]
A l’évidence ton intimité ne nous regarde pas… :o)