Sujet Précédent Sujet Suivant

Gestionnaire de MDP

Fermé
Pliphano Messages postés 548 Date d'inscription lundi 9 janvier 2017 Statut Membre Dernière intervention 17 février 2020 - 29 mars 2017 à 11:06
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 - 29 mars 2017 à 15:25
Bonjour,

Par curiosité j'ai regardé comment étaient les chiffrements des logiciels de mots de passe. Je suis tombé sur lastpass

Selon leur site le chiffrement est le suivant :
"vos données sont protégées par un chiffrement AES sur 256 bits, un hachage salt et par SHA-256 PBKDF2"

Je pense que par chiffrement AES 256 ils veulent dire que les échanges entre leur serveur et le clien sont chiffrés en AES 256, ce qui semble pas mal, sans +

Je comprends également que les mots de passes ne sont pas stockés en clair et sont hachés par un SHA-256 PBKDF2 ce qui pas mal également.

Je voulais simplement savoir si je comprends bien, ou si je suis complément à côté étant donné la complexité de la cryptographie.

Merci !
A voir également:

3 réponses

Réponse 1 / 3
cs_PaTaTe Messages postés 2126 Date d'inscription mercredi 21 août 2002 Statut Contributeur Dernière intervention 19 février 2021 496
29 mars 2017 à 11:16
Les données sont cryptées côté serveur, envoyées au client et décryptées par ton client à l'aide de ton mot de passe.

D'ailleurs, LastPass te préviens : Si tu oublie ton mot de passe, il sera impossible de le réinitialiser, le contenu du compte est perdu car il est impossible à LastPass de décrypter le contenu sans mot de passe.

LastPass fait aussi le ménage en désactivant le gestionnaire interne des navigateurs pour éviter une fuite par ce côté là.

Perso, je l'utilise depuis des années sans soucis, même sur smartphone.
0
Pliphano Messages postés 548 Date d'inscription lundi 9 janvier 2017 Statut Membre Dernière intervention 17 février 2020 141
Modifié le 29 mars 2017 à 11:23
Et donc j'ai raison dans ce que je dis ?

D'ailleurs petite anecdote, crypter ne veut rien dire. On dit chiffrement.
Décrypter : Casser un chiffrement sans la clé
Déchiffrer : Utiliser la clé
0
cs_PaTaTe Messages postés 2126 Date d'inscription mercredi 21 août 2002 Statut Contributeur Dernière intervention 19 février 2021 496
29 mars 2017 à 13:32
Petite anecdote qui n'est vrai que pour Larousse et son petit ami Robert ...

Ah quand ces académiciens veulent parler de choses qui dépassent leur compréhension ^^

Un cryptage peut utiliser une table sans forcément utiliser de clé. C'est pas sécure car il suffit d'avoir cette table pour reconstituer l'original mais cela reste incompressible pour qui n'a pas les correspondances ^^

Les échanges serveurs/clients sont "chiffrées" puisque les données envoyées en SSL et sont chiffrées.

Les données toi seul sait les déchiffrer via ton login.
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144 > cs_PaTaTe Messages postés 2126 Date d'inscription mercredi 21 août 2002 Statut Contributeur Dernière intervention 19 février 2021
29 mars 2017 à 13:36
Salut

Petite anecdote qui n'est vrai que pour Larousse et son petit ami Robert ...

Ah quand ces académiciens veulent parler de choses qui dépassent leur compréhension ^^


C'est vrai pour la grande majorité des personnes bossant dans ce domaine de l'informatique ou des mathématiques. ;-)

https://chiffrer.info/
0
Pliphano Messages postés 548 Date d'inscription lundi 9 janvier 2017 Statut Membre Dernière intervention 17 février 2020 141
29 mars 2017 à 13:41 
Un cryptage peut utiliser une table sans forcément utiliser de clé.

Ça s'appelle du chiffrement, cf le chiffrement par substitution de Vigenère.

Cryptage ça veut rien dire et c'est utilisé comme tu le dis par ceux qui parlent de choses qui dépassent leur compréhension.

Et merci de répondre à ma question de base et de ne pas dévier sur un sujet que manifestement, je connais déjà.

A+
0
cs_PaTaTe Messages postés 2126 Date d'inscription mercredi 21 août 2002 Statut Contributeur Dernière intervention 19 février 2021 496
29 mars 2017 à 14:00
Si je ne me trompe pas PBKDF2 est un système de chiffrement de mot de passe, cela génère une clé de chiffrement utilisée pour le chiffrement de tes données.

Donc en gros tes données sont chiffrées AES 256 avec une clé chiffrée depuis ton mot de passe avec PBKDF2 (SHA-256)

Pas de récupération de mot de passe possible donc. Tu ne peux changer le mot de passe que si tu te souviens du précédent ^^

Celui qui veut te hacker devrait bien galérer ^^
0
Réponse 2 / 3
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768
Modifié le 29 mars 2017 à 14:51
Salut.

@pierre : keepass je connais, je l'utilisais - et Keeweb aussi...

Mais il a (ou avait) une petite faille... En 2015.

https://korben.info/keefarce-le-petit-soft-qui-pourrait-extraire-tous-vos-mots-de-passe-keepass-si-vous-netes-pas-vigilant.html

Pour preuve, je l'ai testé, et j'étais consterné... 

KeeFarce fonctionne uniquement si l'utilisateur a déjà déverrouillé son accès à Keepass et nécessite d'être lancé sur la machine en local, mais si ces conditions sont réunies, il suffit d'un clic pour lancer l'injection DLL et exporter les noms d'utilisateur, les mots de passe, les notes, les URLs...etc. dans un petit fichier CSV.


Bref, à faire gaffe. Je ne sais pas si c'est toujours d'actualité.

EDIT : Ca fonctionne toujours KeeFarce... En 2 ans, rien a été fait... Ouch!

C'est la raison pour cela que j'utilise Keepass pour me créer la base de données.

Ensuite, j'utilisais KeeWeb pour consulter les mots de passe...

Car apparemment, KeeFarce a besoin que KeePass soit lancé...
KeeWeb n'étant pas KeePass... ^^


++
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144
29 mars 2017 à 14:46
Merci pour le lien. Après, faut la saleté sois sur la machine en local, ce qui limite déjà, et ça n'est valable que pour windows, alors que la plupart du temps, je suis sur linux. ;-)

Et ça date de 2015, j'ose espéré que la faille à été corrigé entre temps.
0
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768 > Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024
29 mars 2017 à 14:52 
Et ça date de 2015, j'ose espéré que la faille à été corrigé entre temps.

Regarde mon EDIT...

Consternant, non ? :P
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144 > little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024
29 mars 2017 à 14:54
Oui, bien dommage.

Bon, je vais partir du principe que j'ai peut de chance de chopper ça sur ma session windows. ;-)

Par contre, je crois qu'on fait un peu trop de HS sur la question principal. Je propose que l'on s'en tienne la. Je créerais peut être un post sur keepass quand je l'aurais testé.
0
cs_PaTaTe Messages postés 2126 Date d'inscription mercredi 21 août 2002 Statut Contributeur Dernière intervention 19 février 2021 496
29 mars 2017 à 14:52
Il y a aussi son système de plugins qui peut poser des problèmes de sécrité.

En effet, pour intégrer KeePass à un navigateur, il faut passer par un plugin (bizarrement issus de contributeurs externes qui n'ont peut être pas le même niveau de sécurité que le programme lui-même)

En plus, rien n’empêche une personne malveillante de développer un plugin, qui serait installé à l'insu de l'utilisateur et qui aurait la fonction de balancer nos ID/Pass on ne sait où.

Pas sécure selon moi ...
0
Réponse 3 / 3
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768
29 mars 2017 à 15:03
Salut. 

En effet, pour intégrer KeePass à un navigateur, il faut passer par un plugin (bizarrement issus de contributeurs externes qui n'ont peut être pas le même niveau de sécurité que le programme lui-même)

Euh... Oui, surtout que l'un d'autre eux est codé en AutoIT.

J'ai utilisé KeeFox. Et je ne le recommande pas... CF remarque ci-dessus. Et celle d'en dessous. ^^

Et c'est facile de "récupérer" le code source d'un programme développé en AutoIT. Quand on trouve l'exécutable (trouvable facilement sur le net)...


++
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144
29 mars 2017 à 15:09
Pour l'histoire des contributeur externe, je peux comprendre. (Même si je ne pense pas que l'integration navigateur pose gros soucis de sécurité, le tout restant en local pour la machine).

Mais pour le code source, tu es conscient que Keefox est un logiciel libre, et que le code source est téléchargable sur leur github ?

Le fait qu'un logiciel sois open source n'a jamais été un point négatif quand à la sécurité, bien au contraire.

Sais tu que AES et SSL (par exemple, histoire de parler de ce qui chiffre les transactions bancaires, par exemple) sont libre et que tu peux trouver leur code source dispo sur le net ?
0
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768 > Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024
29 mars 2017 à 15:16
Tu vas rire... ou pas :P

Mais j'ai confondu KeeFox et KeeForm... désolé xD


C'est KeeForm dont je n'ai pas confiance...


++
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144 > little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024
29 mars 2017 à 15:20
Ah, la, il s'agit d'un programme exe externe et non d'une extention firefox. Mais de même le code source est dispo sur leur site. ;-)

Je crois que je testerais keefox, n'utilisant que firefox.
0
little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024 1 768 > Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024
Modifié le 29 mars 2017 à 15:23
Salut. 

 Mais de même le code source est dispo sur leur site. ;-)

Le code source, ce sont des fichiers AU3, autoit...

Je peux ajouter un bout de code qui peut m'envoyer sur mon mail les informations que la personne met... A moi les mots de passe XD

Je recompile le tout et hop ^^

Et autoit n'est pas open source... Ce qui est fort dommage... Et bien fermé (que windows)...

Pas vraiment top...


++
0
Pierrecastor Messages postés 41473 Date d'inscription mercredi 5 novembre 2003 Statut Modérateur Dernière intervention 30 mai 2024 4 144 > little boy62 Messages postés 3593 Date d'inscription lundi 11 novembre 2013 Statut Membre Dernière intervention 16 décembre 2024
Modifié le 29 mars 2017 à 15:26

Je peux ajouter un bout de code qui peut m'envoyer sur mon mail les informations que la personne met... A moi les mots de passe XD

Comme tu peut ajouter un bout de code dans SSL, firefox, VLC, le noyeau linux, libre office, etc avec un keyloger, par exemple. Après, la question étant de savoir comment tu le diffuse pour que la personne pense télécharger une version officiel.
0

Discussions similaires

Durée de fonctionnement
mohmed950 -
Haldriel -

3 réponses