Après, il parait que les trojan stealer peuvent maintenant voler les mots de passe dans les password manager.

Voir :
Je me demande si avec une base de mots de passe centralisée dans un gestionnaire de mots de passe, on ne facilite pas en fait la tâche de certains malwares, qui n'ont plus qu'à piocher pendant qu'il est ouvert.

Tout est possible, mais avec une base de donnée qui n'est que sur des appareils t'appartenant, en chiffrage quasi-militaire, il va falloir "un peu" de CPU pour déchiffrer la base...
Mais il est clair que la précaution élémentaire de disposer autant de couples identifiants - mots de passes rend la mémorisation de ces mots de passe impossible. Donc le fait d'utiliser un utilitaire (que l'ANSSI a testé, et teste régulièrement...) ne peut qu'aider... On peut ne rien faire et pleurer derrière que l'on s'est fait pirater, mais il y a un moment où il faut faire ce qu'il faut.
Entre confier ses mots de passe à des navigateurs ou gérer un tant soi peu soi même ce genre de truc, j'ai choisi.
Il n'y a jamais de risque zéro, et considérer que peut-être que ceci ou que cela ou ne rien faire, re-choix!!

Merci beaucoup Fansat70 pour toutes tes explications.

Il n'y a pas besoin de CPU dans le cas cité, car c'est e mot de passe maître qui est volé, qui sert au chiffrement des mots de passe.

Que conseilles-tu Alain_p pour la gestion des mots de passes ?

Il n'y a pas besoin de CPU dans le cas cité, car c'est e mot de passe maître qui est volé, qui sert au chiffrement des mots de passe.

La formule est de d'avoir un mot de passe "costaud", et de prendre des précautions élémentaires d'utilisation de son matériel et de "vadrouille" sur le Net.
Clair que si l'on va d'abord chercher toutes les cochonneries que l'on met sous le nez en tant qu'attrape nigaud, entre autres sur des sites "de 2ème rideau", il ne sert à la limite à rien d'avoir des mots de passe!
Il n'y a pas de truc parfait, il y a un moment où la mémoire ne suffit pas et le pire des trucs non sécure est le pense-bête écrit!
Après, on peut crier au loup et dire que rien ne marchera, mais l'immobilisme n'a jamais rien arrangé... Ou alors, retour aux cavernes, c'est effectivement moins risqué!

Cela dépend si autour de toi, tu as des gens mal intentionnés qui pourraient tomber dessus, il vaut mieux bien la cacher. Mais c'est sûr sinon que ce n'est pas sur Internet. Mais un autre inconvénient de la feuille de papier est qu'au fur et à mesure des changements de mot de passe, de sites qui changent d'adresse etc..., tu arrives sur des feuilles avec plein de ratures dans lesquelles tu auras du mal à retrouver tes mots de passe sur la nieme feuille. Il vaut mieux les écrire dans un fichier éditable, mais donc c'est pareil, il doit être à l'abri des regards indiscrets.

Non, je suis plutôt d'accord avec Fansat70, un gestionnaire de mot de passe est le plus sûr, mais c'est aussi lourd à gérer. Dans le cas que je citais, il faut qu'il y ait un trojan stealer sur le PC, et donc comme le soulignait dans l'article l'auteur de keepass, que le PC soit déjà compromis. Donc effectivement, il faut d'abord ne pas télécharger de trucs louches, ne pas aller sur des sites louches etc....

Le problème des logins/mots de passe est compliqué. Effectivement, il y a en tellement maintenant que c'est impossible à mémoriser. Déjà, le login est par défaut maintenant l'adresse mail, parce que c'est unique et que cela permet de renvoyer un mail ou un code, en cas d'oubli de mot de passe, ou d'authentification à deux facteurs (par le mail). Donc il ne reste que le mot de passe à trouver. Il vaut mieux évidemment éviter de mettre le même mot de passe sur tous les sites, car une fois qu'il est compromis, tous les sites sont compromis. Un gestionnaire de mots de passe permet de générer un mot de passe aléatoire. Mais donc il vaut mieux éviter de perdre l'accès à son gestionnaire de mot de passe (fausse manip, crash disque...), car là impossible de retrouver ses mots de passe, autre que 'mot de passes oublié'. Pour moi, le principal risque est d'ailleurs plutôt d'oublier ou de ne pas retrouver ses mots de passe, donc il faut les enregistrer quelque part, de façon sécurisée.

Certains vont les enregistrer dans le navigateur. Comme fansat70, je n'aime pas trop, c'est une application web qui peut être compromise, il faut au moins mettre un mot de passe principal pour chiffrer les mots de passe. Mais de ce que je vois de collègues, c'est une solution de facilité, ils ne savent même pas qu'un mot de passe principal existe, et souvent ne se rappellent même pas les mots de passe enregistrés qu'ils ne tapent jamais, s'il faut l'utiliser ailleurs (ex : webmail). Quand je leur montre que l'on peut facilement les afficher, cela les fait un peu réfléchir.

Mais de toute façon, il y a d'autres risques de se faire hacker son mot de passe : site sur lequel on le rentre compromis. Phishing qui envoie sur un site contrefait...

Le mieux pour moi serait d'utiliser un certificat personnel pour s'authentifier, mais il faudrait qu'il soit valable pour tous les sites, ce qui n'est pas toujours possible. Et c'est une solution très peu pratiquée, hors contexte professionnel, car il faut avoir une autorité de certification qui le délivre. Pour une authentification ssh, on peut utiliser une paire de clé sss privée/publique que l'on génère soi-même... Il semble que pour l'instant, les trojan stealer ne volent pas les certificats, c'est trop lourd à gérer ensuite.

Mais donc la meilleure protection, c'est de rester méfiant, sur les mails que l'on reçoit, sur les sites que l'on visite, ne pas télécharger de crack vérolé etc, et donc de ne pas utiliser le même mot de passe partout... En de nombreuses années de pratique informatique et de surfs sur le web, je n'ai jusqu’ici  jamais eu de problème, mais je ne jurerais pas que cela ne m'arrivera jamais.

J'évite en particulier de donner mon numéro de carte bancaire partout, car on a plein d'exemple de sites hackés où ces informations sont volées. Je limite à quelques sites de confiance (sans garantie absolue d'ailleurs).

Après, on voit le problème que pose cette gestion de mots de passe, avec une multiplication lourde d'authentification à deux facteurs pénible, d'applications bancaires pour valider les achats etc... Il devient pratiquement obligatoire d'avoir un smartphone, et de ne pas le perdre ! (et je ne fais pas personnellement une confiance absolue à un smatrphone, sur lequel je n'ai pas de compte root, mais qui lui peut être hacké comme on l'a vu avec l'application israélienne Pegasus...).

Je suis mitigé sur les gestionnaires de mot de passe. Ça encourage presque les hackers à cibler directement un gestionnaire populaire plutôt que les différentes bases de données des sites internet.

Comme le dit @alain_p, il faut déjà avoir une "hygiène" d'utilisation d'internet plus que sérieuse, pour pouvoir utiliser ensuite un gestionnaire de mot de passe.
Perso, j'utilise le gestionnaire cité car la base de données n'est pas stockée ni gérée par un tiers sur internet.
Et le pourquoi de l'utilisation d'un gestionnaire?
Tout bêtement qu'étant enregistré (sous plusieurs identifiants) sur quelques centaines de sites divers et (a)variés pour des raisons X ou Y (Certains sites contraignent à ouvrir un compte pour faire quoi que ce soit, et j'utilise pour tout site le couple identifiant/mot de passe le plus sécure possible...).
Il m'est donc impossible de mémoriser chaque couple identifiant / mot de passe, différents sur chaque site... Le foutoir et que certains sites ont des règles qui gèrent les mots de passe "à la Dubout",  certains (de plus en plus rares, heureusement) en sont encore à limiter à 12 caractères (!!!). Même si l'on a 12  caractères Maj/Min, Chiffres et carac spéciaux, ce n'est pas le pied! Si l'on rajoute selon les sites des règles différentes pour la définition des caractères spéciaux, encore trop de sites ne gérant  des mots de passe "musclés" vers 32 carac. et au-dessus, faire cela sans gestionnaire, je ne vois pas bien!
Quant à noter sur le torche balle sur le coin du bureau ou dans le portefeuille, on oublie...
En résumé, quelle que soit la formule utilisée, si vous n'avez pas une certaine rigueur de base, et que vous vous baladez n'importe où n'importe comment, autant aller dans un élevage de crocos et tester combien de temps vous allez pouvoir laisser votre tête dans la gueule d'un croco... 

J’utilise un gestionnaire de mot de passe depuis 4 ans et c’est une bénédiction. En plus d’être une nécessité, parce qu’avec 500 comptes c’est impossible de tout retenir, si on ne met pas le même mot de passe partout. Sur un post-it ou n’importe quel papier chez moi c’est banni, et en utiliser une poignée répartis un peu partout ne me semblait largement plus pertinent au vu de la facilité à atteindre la limite de ma mémoire au regard du nombre de comptes.

Tous les connus sont multiplateformes, je n’ai pas rencontré de souci. Le seul problème avec les mots de passes aléatoires énormes est pour se connecter occasionnellement à un appareil pas à moi, car pas de copier/coller ou de remplissage automatique et c’est long et fastidieux.

Cela ne résout certes pas le problème des fuites, mais bon, pas de solution parfaite.

l'énorme probleme des gestionnaires de mdp : à un moment où à un autre ils apparaissent en clair à l'écran. L'idée ne me plait pas.

Je n’ai pas remarqué ça, que ce soit Bitwarden, 1Password ou Dashlane, jamais en temps normal : ça se remplit automatiquement dans le champ du site, ou si on a besoin de le copier, on clique dessus dans la liste (où il apparaît caché et avec un nombre de points différent du nombre de caractères réel pour brouiller les pistes). Pour d’autres que je n’ai pas testés, peut-être, mais c’est mal foutu alors.