Gestionnaire de MDP
Pliphano
Messages postés
548
Date d'inscription
Statut
Membre
Dernière intervention
-
Pierrecastor Messages postés 41491 Date d'inscription Statut Modérateur Dernière intervention -
Pierrecastor Messages postés 41491 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
Par curiosité j'ai regardé comment étaient les chiffrements des logiciels de mots de passe. Je suis tombé sur lastpass
Selon leur site le chiffrement est le suivant :
"vos données sont protégées par un chiffrement AES sur 256 bits, un hachage salt et par SHA-256 PBKDF2"
Je pense que par chiffrement AES 256 ils veulent dire que les échanges entre leur serveur et le clien sont chiffrés en AES 256, ce qui semble pas mal, sans +
Je comprends également que les mots de passes ne sont pas stockés en clair et sont hachés par un SHA-256 PBKDF2 ce qui pas mal également.
Je voulais simplement savoir si je comprends bien, ou si je suis complément à côté étant donné la complexité de la cryptographie.
Merci !
Par curiosité j'ai regardé comment étaient les chiffrements des logiciels de mots de passe. Je suis tombé sur lastpass
Selon leur site le chiffrement est le suivant :
"vos données sont protégées par un chiffrement AES sur 256 bits, un hachage salt et par SHA-256 PBKDF2"
Je pense que par chiffrement AES 256 ils veulent dire que les échanges entre leur serveur et le clien sont chiffrés en AES 256, ce qui semble pas mal, sans +
Je comprends également que les mots de passes ne sont pas stockés en clair et sont hachés par un SHA-256 PBKDF2 ce qui pas mal également.
Je voulais simplement savoir si je comprends bien, ou si je suis complément à côté étant donné la complexité de la cryptographie.
Merci !
A voir également:
- Gestionnaire de MDP
- Reinitialiser pc sans mdp - Guide
- Gestionnaire de périphérique - Guide
- Gestionnaire de fichiers - Télécharger - Gestion de fichiers
- Generateur mdp - Télécharger - Sécurité
- Gestionnaire des taches windows 11 - Guide
3 réponses
Les données sont cryptées côté serveur, envoyées au client et décryptées par ton client à l'aide de ton mot de passe.
D'ailleurs, LastPass te préviens : Si tu oublie ton mot de passe, il sera impossible de le réinitialiser, le contenu du compte est perdu car il est impossible à LastPass de décrypter le contenu sans mot de passe.
LastPass fait aussi le ménage en désactivant le gestionnaire interne des navigateurs pour éviter une fuite par ce côté là.
Perso, je l'utilise depuis des années sans soucis, même sur smartphone.
D'ailleurs, LastPass te préviens : Si tu oublie ton mot de passe, il sera impossible de le réinitialiser, le contenu du compte est perdu car il est impossible à LastPass de décrypter le contenu sans mot de passe.
LastPass fait aussi le ménage en désactivant le gestionnaire interne des navigateurs pour éviter une fuite par ce côté là.
Perso, je l'utilise depuis des années sans soucis, même sur smartphone.
Salut.
@pierre : keepass je connais, je l'utilisais - et Keeweb aussi...
Mais il a (ou avait) une petite faille... En 2015.
https://korben.info/keefarce-le-petit-soft-qui-pourrait-extraire-tous-vos-mots-de-passe-keepass-si-vous-netes-pas-vigilant.html
Pour preuve, je l'ai testé, et j'étais consterné...
Bref, à faire gaffe. Je ne sais pas si c'est toujours d'actualité.
EDIT : Ca fonctionne toujours KeeFarce... En 2 ans, rien a été fait... Ouch!
C'est la raison pour cela que j'utilise Keepass pour me créer la base de données.
Ensuite, j'utilisais KeeWeb pour consulter les mots de passe...
Car apparemment, KeeFarce a besoin que KeePass soit lancé...
KeeWeb n'étant pas KeePass... ^^
++
@pierre : keepass je connais, je l'utilisais - et Keeweb aussi...
Mais il a (ou avait) une petite faille... En 2015.
https://korben.info/keefarce-le-petit-soft-qui-pourrait-extraire-tous-vos-mots-de-passe-keepass-si-vous-netes-pas-vigilant.html
Pour preuve, je l'ai testé, et j'étais consterné...
KeeFarce fonctionne uniquement si l'utilisateur a déjà déverrouillé son accès à Keepass et nécessite d'être lancé sur la machine en local, mais si ces conditions sont réunies, il suffit d'un clic pour lancer l'injection DLL et exporter les noms d'utilisateur, les mots de passe, les notes, les URLs...etc. dans un petit fichier CSV.
Bref, à faire gaffe. Je ne sais pas si c'est toujours d'actualité.
EDIT : Ca fonctionne toujours KeeFarce... En 2 ans, rien a été fait... Ouch!
C'est la raison pour cela que j'utilise Keepass pour me créer la base de données.
Ensuite, j'utilisais KeeWeb pour consulter les mots de passe...
Car apparemment, KeeFarce a besoin que KeePass soit lancé...
KeeWeb n'étant pas KeePass... ^^
++
Salut.
Euh... Oui, surtout que l'un d'autre eux est codé en AutoIT.
J'ai utilisé KeeFox. Et je ne le recommande pas... CF remarque ci-dessus. Et celle d'en dessous. ^^
Et c'est facile de "récupérer" le code source d'un programme développé en AutoIT. Quand on trouve l'exécutable (trouvable facilement sur le net)...
++
En effet, pour intégrer KeePass à un navigateur, il faut passer par un plugin (bizarrement issus de contributeurs externes qui n'ont peut être pas le même niveau de sécurité que le programme lui-même)
Euh... Oui, surtout que l'un d'autre eux est codé en AutoIT.
J'ai utilisé KeeFox. Et je ne le recommande pas... CF remarque ci-dessus. Et celle d'en dessous. ^^
Et c'est facile de "récupérer" le code source d'un programme développé en AutoIT. Quand on trouve l'exécutable (trouvable facilement sur le net)...
++
D'ailleurs petite anecdote, crypter ne veut rien dire. On dit chiffrement.
Décrypter : Casser un chiffrement sans la clé
Déchiffrer : Utiliser la clé
Ah quand ces académiciens veulent parler de choses qui dépassent leur compréhension ^^
Un cryptage peut utiliser une table sans forcément utiliser de clé. C'est pas sécure car il suffit d'avoir cette table pour reconstituer l'original mais cela reste incompressible pour qui n'a pas les correspondances ^^
Les échanges serveurs/clients sont "chiffrées" puisque les données envoyées en SSL et sont chiffrées.
Les données toi seul sait les déchiffrer via ton login.
Petite anecdote qui n'est vrai que pour Larousse et son petit ami Robert ...
Ah quand ces académiciens veulent parler de choses qui dépassent leur compréhension ^^
C'est vrai pour la grande majorité des personnes bossant dans ce domaine de l'informatique ou des mathématiques. ;-)
https://chiffrer.info/
Ça s'appelle du chiffrement, cf le chiffrement par substitution de Vigenère.
Cryptage ça veut rien dire et c'est utilisé comme tu le dis par ceux qui parlent de choses qui dépassent leur compréhension.
Et merci de répondre à ma question de base et de ne pas dévier sur un sujet que manifestement, je connais déjà.
A+
Donc en gros tes données sont chiffrées AES 256 avec une clé chiffrée depuis ton mot de passe avec PBKDF2 (SHA-256)
Pas de récupération de mot de passe possible donc. Tu ne peux changer le mot de passe que si tu te souviens du précédent ^^
Celui qui veut te hacker devrait bien galérer ^^