La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Navigateurs web => Discussion démarrée par: corrector le 25 mai 2017 à 21:06:42
-
Tout est dans le titre. Quand on entre un mot de passe dans un formulaire HTML pour la première fois, le navigateur permet de l'enregistrer avec le login afin de pré-remplir le formulaire pour les prochaines fois; le mécanisme est aussi valable pour les mots de passe HTTP et FTP.
Certains navigateurs proposent en outre de chiffrer le répertoire des mots de passe avec une passe phrase.
-
J'ai voté "jamais".
Je n'ai pas confiance. Ni dans un navigateur, ni dans un autre logiciel.
Leon.
-
Non, parce que 1Password c'est vachement bien :)
-
Je n'ai pas confiance. Ni dans un navigateur, ni dans un autre logiciel.
Mais tu utilises un navigateur et d'autres logiciels quand même...
-
Précisions : beaucoup ne le savent pas, mais les données sont en clair et récupérables localement, par n'importe qui a un accès physique à votre machine logué.
Si votre PC est éteint, la protection de login de Windows ne sert à rien : l’accès à votre disque dur où la possibilité de booter sur une clé USB permet de récupérer les login / mot de passe, si votre disque dur n'est pas chiffré (fonctionnalité proposée uniquement à partir des éditions Pro de Windows).
-
Sauf à activer la Master Passphrase sur Firefox ou Chrome, ou iCloud Keychain sous Safari.
-
La Master Passphrase n'est pas mise en avant pour Firefox / Chrome, alors que à chaque rentrée d'un login / mot de passe, le navigateur propose l'enregistrement en clair.
Je pense que plus de 99% des utilisateurs de Windows ont leurs mots de passe en clair sur leur disque dur.
-
On est bien d'accord, de manière générale, les navigateurs sont des catastrophes pour la vie privée...
-
Sauf à activer la Master Passphrase sur Firefox ou Chrome, ou iCloud Keychain sous Safari.
Je n'ai pas vu où on active la passphrase sur Chrome!
-
On est bien d'accord, de manière générale, les navigateurs sont des catastrophes pour la vie privée...
De manière générale, le fait d'étaler sur la vie privée sur le Web est une catastrophe pour la vie privée.
De manière générale, le fait de confier toutes ses données à des tiers dans le "cloud" est une catastrophe, etc.
-
Dans les "Advanced Sync Settings" :
(https://pix.milkywan.xyz/1WuctFc7.png)
-
Certes.
Le rapport avec la choucroute?
-
Corrector, cherche a chiffrer les données, sans synchronisation externe.
Exemple avec Firefox :
(https://lafibre.info/testdebit/ubuntu/201705_firefox_mot_de_passe_principal.png)
-
Et voila, j'ai voté :) Oui, le plus souvent (sauf les mdp critiques)
Personne d'autre que moi n'utilise ma machine
-
Utiliser Chrome sans la synchro Google c'est un peu con, autant utiliser Chromium...
-
Précisions : beaucoup ne le savent pas, mais les données sont en clair et récupérables localement, par n'importe qui as un accès physique a votre machine logué.
Comment ça, ils ne savent pas?
Tu veux dire qu'ils utilisent un PC sans avoir aucune idée de ce qu'ils font? Pourquoi, ils sont bourrés tout le temps, comme les gens du Nord d'après je ne sais plus qui?
-
Et voila, j'ai voté :) Oui, le plus souvent (sauf les mdp critiques)
Personne d'autre que moi n'utilise ma machine
Même chose
-
Pour ma part, sous firefox je sauvegarde la plupart des mots de passe, mais j'ai effectivement activé le mot de passe maître.
Par contre c'est un peu embêtant, tant qu'on ne l'a pas tapé, même si on n'en a pas besoin il nous le demande dès qu'on va sur un site que l'on a enregistré (même si l'on est déjà connecté)
-
Précisions : beaucoup ne le savent pas, mais les données sont en clair et récupérables localement, par n'importe qui as un accès physique a votre machine logué.
Si votre PC est éteint, la protection de login de Windows ne sert à rien : l'accés a votre disque dur où la possibilité de booter sur une clé USB permet de récupérer les login / mot de passe, si votre disque dur n'est pas chiffré (fonctionnalité proposée uniquement à partir des éditions Pro de Windows).
what? c'est complètement faux.
Avec Chrome, les mdp sont toujours chiffrés avant d’être stockés sur disque (dans une base SQLite).
-
Corrector, cherche a chiffrer les données, sans synchronisation externe.
Alors pour ma part :
- J'utilise Google Chrome comme navigateur, parce que j'ai raisonnablement confiance dans le logiciel qui me semble un peu plus sûr que les alternatives (mais l'épisode de WebRTC (dont il a été longuement question sur lafibre) m'a vraiment choqué).
- J'utilise la synchronisation avec Google pour certaines données (dont les mots de passe enregistrés), donc ces données sont sauvegardées dans le cloud.
- J'utilise le chiffrement par passphrase de ces données synchronisées.
Mais "est-ce que vous protégez avec une passphrase vos données dans le cloud?" n'est pas du tout la problématique de ce topic, qui ne s'intéresse pas au cloud (je pourrais éventuellement ouvrir un autre topic, avec un autre sondage, pour ça).
La problématique de la sauvegarde des mots de passe dans le répertoire du navigateur a été précisée par vivien :
Précisions : beaucoup ne le savent pas, mais les données sont en clair et récupérables localement, par n'importe qui as un accès physique a votre machine logué.
-
Stockage dans un keepass externe au navigateur et sans addon pour relier les 2 ici
-
what? c'est complètement faux.
Avec Chrome, les mdp sont toujours chiffrés avant d’être stockés sur disque (dans une base SQLite).
Avec chiffrement réversible donc analogue à en clair dans la logique, tant qu'il n'y a pas de mot de passe maître.
-
Utiliser Chrome sans la synchro Google c'est un peu con, autant utiliser Chromium...
Tu peux sync de la même manière avec Chromium
-
Je sais, je le fais d'ailleurs au boulot.
-
Avec chiffrement réversible donc analogue à en clair dans la logique, tant qu'il n'y a pas de mot de passe maître.
réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.
Et si quelqu'un a accès au disque en dehors de la session utilisateur, il ne peut reverse.
C'est donc l’équivalent d'avoir un mot de passe maître mais ce mot de passe n'est stocké nul part et n'est pas connu de l'utilisateur.
La fonction utilisée est CryptProtectData (https://msdn.microsoft.com/en-us/library/windows/desktop/aa380261.aspx).
-
Sauf à activer la Master Passphrase sur Firefox ou Chrome, ou iCloud Keychain sous Safari.
C'est ce que je fais au boulot.
-
réversible dans le contexte de l'utilisateur. Seul Windows peut reverse, Chrome lui-même ne peut pas directement.
Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?
Voici le scénario que j'imagine :
1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clé USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.
-
Si on prend le dossier avec le profil chrome et qu'on le met sur un autre PC : Chrome récupère bien les mots de passe, non ?
Voici le scénario que j'imagine :
1/ Le voleur profite de la pause déjeuner pour booter l'ordinateur sur une clé USB Linux
2/ Le disque n'est pas chiffré, Il récupère le dossier utilisateur de Chrome
3/ Il met ce dossier sur un autre Windows et démarre Chrome
4/ Il récupère les mots de passes stockés.
En fait c'est vrai pour Firefox/Windows, mais pour Chrome/Windows avec mot de passe non, comme l'a pointé kgersen.
Chrome, comme nombre d'autres applications, utilise DPAPI qui est une lib standard de Windows qui en gros, chiffre un ficher contenant une clé maître avec un hash de ton mot de passe Windows (+ user ID + salt), et chiffre vraiment tes mots de passe avec cette clé maître ensuite.
Pour les changements de mot de passe, Windows garde un historique des hashs de tes anciens mots de passe déchiffrable seulement avec ton mot de passe actuel (CREDHIST). Pour les resets brutaux, les mots de passe DPAPI sont perdus il me semble.
Docs sur le sujet :
https://www.passcape.com/index.php?section=docsys&cmd=details&id=28
https://cdn.elie.net/talks/reversing-dpapi-and-stealing-windows-secrets-offline-slides.pdf
Si le mot de passe utilisateur est récupérable avec des forensics de base sur d'autres applications ou du bruteforce de hashs NTLM ou qu'il n'y a pas de mot de passe etc. ça limite l'intérêt bien sûr.
Sous Linux Chrome peut utiliser optionnellement d'autres applications gérant les mots de passe comme gnome-keyring (et Firefox pareil que sous Windows, qu'une clé générée par lui dans son profil pour l'occasion).
-
sous Linux, Chrome utilise GNOME Keyring ou KWallet 4 ou pas d'encryption suivant la détection de l’environnement de l'utilisateur (ou un paramétrage explicite de Chrome).
https://chromium.googlesource.com/chromium/src/+/lkcr/docs/linux_password_storage.md
-
OK, sur ce point Chrome est plus sécurisé que Firefox.
Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?
-
OK, sur ce point Chrome est plus sécurisé que Firefox.
On peut aussi dire qu'il implèmente un contrôle des dommages limité, dans certains cas précis et théoriques. Un attaquant qui a un accès physique à la machine peut faire beaucoup de choses, comme implanter ce qu'il veut en termes de logiciels.
En fait, il ira sûrement installer un logiciel de contrôle à distance bien avant d'essayer de déchiffrer des structures absconses, s'il fait le choix de booter sur une machine à l'arrêt en partant sur le principe que son seul point de contact est le système de fichiers.
Si l'utilisateur Windows n'a pas de mot de passe, comment DPAPI chiffre ?
La même chose, mais sans mot de passe. Ça ajoute une couche d'obscurité, Firefox aussi ajoute une couche d'obscurité.
-
Bref, il faut retenir que le navigateur n'a pas des droits particuliers quand il s'exécute, et que si il y a accès, alors les autres logiciels exécutés dans le mêmes conditions y ont accès, c'est à dire n'importe quel spyware que l'utilisateur a l'amabilité de lancer.
-
bonjour, perso je ne fais jamais enregistrer mes mots de passe dans chrome ni autre navigateur.
Tout dans keepass et sans add on.
Par contre, j'avoue avoir assez peur de keylogger ou autre logiciel malveillance qui pourraient intercepter la saisie automatique de keepass !
-
J'aurais aimé une réponse "occasionnellement" (pour des sites ou je me connecte rarement.)
-
Bonjour, y-at-il un topic dédié à la gestion des mots de passe ?
J'aimerai bien (on a un peu de temps libre en ce moment) sécurisé mes différents mots de passe. J'ai vu que chrome pouvait générer lui même des mots de passe fort. Que conseillez-vous ? J'ai créé un mot de passe google très fort, mais étrangement il ne me le demande jamais sur mon pc du boulot, pc perso, ou téléphone. Est-ce normal ?
-
Oui :
https://lafibre.info/attaques/gerer-ses-mot-de-passe/
-
Merci 😁