Sondage

Enregistrez-vous vos mdp?

Jamais de la vie, c'est dangereux
Oui, le plus souvent (sauf les mdp critiques)
Oui, toujours, c'est plus pratique et plus sûr que de les noter
J'utilise une extension pour gérer mes mdp
Réponse 5 : obi wan kenobi

Auteur Sujet: Sondage : est-ce que vous enregistrez vos mots de passe dans le navigateur?  (Lu 10835 fois)

0 Membres et 1 Invité sur ce sujet

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
Avec chiffrement réversible donc analogue à en clair dans la logique, tant qu'il n'y a pas de mot de passe maître.

réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.

Et si quelqu'un a accès au disque en dehors de la session utilisateur, il ne peut reverse.

C'est donc l’équivalent d'avoir un mot de passe maître mais ce mot de passe n'est stocké nul part et n'est pas connu de l'utilisateur.

La fonction utilisée est CryptProtectData.


underground78

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 7 434
  • Orsay (91)
    • FreePON : suivi géographique du déploiement fibre EPON chez Free
Sauf à activer la Master Passphrase sur Firefox ou Chrome, ou iCloud Keychain sous Safari.
C'est ce que je fais au boulot.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.

Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?

Voici le scénario que j'imagine :

1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clé USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?

Voici le scénario que j'imagine :

1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clé USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.

En fait c'est vrai pour Firefox/Windows, mais pour Chrome/Windows avec mot de passe non, comme l'a pointé kgersen.

Chrome, comme nombre d'autres applications, utilise DPAPI qui est une lib standard de Windows qui en gros, chiffre un ficher contenant une clé maître avec un hash de ton mot de passe Windows (+ user ID + salt), et chiffre vraiment tes mots de passe avec cette clé maître ensuite.

Pour les changements de mot de passe, Windows garde un historique des hashs de tes anciens mots de passe déchiffrable seulement avec ton mot de passe actuel (CREDHIST). Pour les resets brutaux, les mots de passe DPAPI sont perdus il me semble.

Docs sur le sujet :
https://www.passcape.com/index.php?section=docsys&cmd=details&id=28
https://cdn.elie.net/talks/reversing-dpapi-and-stealing-windows-secrets-offline-slides.pdf

Si le mot de passe utilisateur est récupérable avec des forensics de base sur d'autres applications ou du bruteforce de hashs NTLM ou qu'il n'y a pas de mot de passe etc. ça limite l'intérêt bien sûr.

Sous Linux Chrome peut utiliser optionnellement d'autres applications gérant les mots de passe comme gnome-keyring (et Firefox pareil que sous Windows, qu'une clé générée par lui dans son profil pour l'occasion).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
sous Linux, Chrome utilise GNOME Keyring ou KWallet 4 ou pas d'encryption suivant la détection de  l’environnement de l'utilisateur (ou un paramétrage explicite de Chrome).

https://chromium.googlesource.com/chromium/src/+/lkcr/docs/linux_password_storage.md

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
OK, sur ce point Chrome est plus sécurisé que Firefox.

Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
OK, sur ce point Chrome est plus sécurisé que Firefox.

On peut aussi dire qu'il implèmente un contrôle des dommages limité, dans certains cas précis et théoriques. Un attaquant qui a un accès physique à la machine peut faire beaucoup de choses, comme implanter ce qu'il veut en termes de logiciels.

En fait, il ira sûrement installer un logiciel de contrôle à distance bien avant d'essayer de déchiffrer des structures absconses, s'il fait le choix de booter sur une machine à l'arrêt en partant sur le principe que son seul point de contact est le système de fichiers.

Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?

La même chose, mais sans mot de passe. Ça ajoute une couche d'obscurité, Firefox aussi ajoute une couche d'obscurité.

corrector

  • Invité
Bref, il faut retenir que le navigateur n'a pas des droits particuliers quand il s'exécute, et que si il y a accès, alors les autres logiciels exécutés dans le mêmes conditions y ont accès, c'est à dire n'importe quel spyware que l'utilisateur a l'amabilité de lancer.

ezivoco_163

  • Abonné Orange Fibre
  • *
  • Messages: 823
  • Toulouse (31)
Sondage : est-ce que vous enregistrez vos mots de passe dans le navigateur?
« Réponse #32 le: 27 décembre 2019 à 09:43:01 »
bonjour, perso je ne fais jamais enregistrer mes mots de passe dans chrome ni autre navigateur.

Tout dans keepass et sans add on.

Par contre, j'avoue avoir assez peur de keylogger ou autre logiciel malveillance qui pourraient intercepter la saisie automatique de keepass !

tomfibre

  • Abonné Sosh fibre
  • *
  • Messages: 323
Sondage : est-ce que vous enregistrez vos mots de passe dans le navigateur?
« Réponse #33 le: 28 décembre 2019 à 17:34:08 »
J'aurais aimé une réponse "occasionnellement" (pour des sites ou je me connecte rarement.)

Eddy123

  • Abonné SFR THD (câble)
  • *
  • Messages: 221
  • Ain (01) réseau Liain
Sondage : est-ce que vous enregistrez vos mots de passe dans le navigateur?
« Réponse #34 le: 10 avril 2020 à 17:50:17 »
Bonjour, y-at-il un topic dédié à la gestion des mots de passe ?
J'aimerai bien (on a un peu de temps libre en ce moment) sécurisé mes différents mots de passe. J'ai vu que chrome pouvait générer lui même des mots de passe fort. Que conseillez-vous ? J'ai créé un mot de passe google très fort, mais étrangement il ne me le demande jamais sur mon pc du boulot, pc perso, ou téléphone. Est-ce normal ?

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)