Question:
La conversation secrète WhatsApp ou Facebook Messenger est-elle une méthode raisonnable pour transférer des mots de passe?
Tim
2017-05-30 01:26:03 UTC
view on stackexchange narkive permalink

J'ai le compte Netflix dans notre famille, ce qui signifie que j'ai le mot de passe.

C'est un mot de passe sécurisé, avec 16 caractères, y compris des symboles, des chiffres et des majuscules, par exemple 3? TeJ) 6RK] 4Z_a>c , qui a environ 80 bits d'entropie.

Cependant, je dois partager ce mot de passe avec d'autres membres de la famille, afin qu'ils puissent également s'y connecter. Est-ce que l'utilisation de la conversation secrète WhatsApp ou Facebook Messenger est une méthode acceptable pour cela?

Existe-t-il de meilleures méthodes?

Laissez-nous [continuer cette discussion dans le chat] (http://chat.stackexchange.com/rooms/59640/discussion-between-tim-and-restioson).
Simplement parce que je ne peux pas lire ceci sans le dire ... Ce mot de passe est inutilement difficile, 4 mots combinés en feraient tout autant et vous n'aurez pas à le partager (car ils s'en souviennent parce que ce n'est pas un tas depersonnages).https://xkcd.com/936/
@EpicKip Cela est apparu dans les commentaires qui ont été supprimés - c'est en fait plus sûr que les quatre mots (c'est 80 bits d'entropie) alors que 4 mots sont 48. Bien sûr, 48 bits est suffisant pour un compte Netflix mais je n'ai aucune raison de le faire.générer un mot de passe moins sécurisé simplement parce que le compte est moins critique.Mon gestionnaire de mots de passe les génère.De plus, personne ne se souvient de 4 mots la première fois qu'ils les entendent.Ce serait plus facile par téléphone.
1. dépend des mots (avec les calculatrices d'entropie, je peux rendre un mot de passe de 4 mots plus fort que le vôtre avec facilité) 2. certainement plus facile à retenir, même si ce n'est pas la première fois
@EpicKip Bien sûr, mais il n'y a pas besoin de s'en souvenir (mon ordinateur le fait) et l'exemple XKCD pris à sa valeur nominale est moins sûr.De plus, mon orthographe n'est pas très bonne, donc les mots ne sont peut-être pas les meilleurs!
Mais il est nécessaire de l'envoyer, ce qui n'est jamais une bonne idée, il suffit de dire que les "mots de passe sécurisés" ne sont pas nécessairement plus sûrs
@tim utilise cinq mots ou plus entre eux.«Le cheval correct identifie l'agrafe de batterie» ou quelque chose comme ça.Au moment où vous devez l'écrire pour une raison quelconque, vous le rendez déjà peu sûr!
@TSar vous vous attendez à ce que je retienne 200 mots de passe chacun de 5 mots !?Ça ne va pas arriver!Quel que soit le mot de passe que j'utilise, j'ai besoin d'un gestionnaire de mots de passe crypté (j'utilise Enpass) et mon responsable génère ces mots de passe mais pas les mots.
@Tim Si vous utilisez autant de mots de passe, le gestionnaire de mots de passe est la meilleure option pour les enregistrer.Cependant, gardez à l'esprit que si ce cas d'utilisation spécifique est pour un mot de passe partagé, pas pour stocker plusieurs d'entre eux.Pour un seul mot de passe partagé, je pense qu'une phrase de passe serait la meilleure option!
De plus, vous pouvez toujours utiliser Snapchat pour cela!
@Tim Il y a une raison de générer un mot de passe moins sécurisé ici;vous le partagez et ils n'utilisent pas votre gestionnaire de mots de passe.
`3? TeJ) 6RK] 4Z_a> c` comporte 16 caractères.Lorsque vous utilisez simplement a-Z, vous aurez besoin d'un mot de passe de 20 caractères pour rendre plus difficile la fissuration par force brute, en tenant compte du fait que le hacker SAIT que vous utilisez uniquement a-Z.`Netflix = MoviesForTheEntireFamily` est un mot de passe facile à retenir et bien BEAUCOUP plus fort que votre mot de passe actuel.
@Laoujin Avec égards, si quelqu'un veut forcer brutalement mon mot de passe * Netflix *, et qu'il peut gérer `3? TeJ) 6RK] 4Z_a> c`, je pense qu'il pourra également obtenir votre mot de passe suggéré.Dans les deux cas, s'ils essaient des mots de passe avec 80 bits d'entropie, je pense qu'ils sont assez désespérés pour entrer et qu'ils arrêteront d'essayer de force brutale et commenceront à me frapper avec une clé.Les attaques par force brute ne me préoccupent pas de mon mot de passe.https://xkcd.com/538/
@Laoujin En fait, basé sur les mesures d'entropie de XKCD, je reçois votre mot de passe comme étant 83 bits d'entropie - juste juste au-dessus du mien.Cela suppose 6 mots communs (66), chacun pouvant être en majuscule (6), un signe de ponctuation (4) dans l'une des 5 positions (2).Quel que soit le mot de passe que je choisis, nous regardons 1000x l'âge de l'univers pour le forcer brutalement, donc pour clarifier, je ne suis pas du tout préoccupé par la "force" de ce mot de passe.Re souvenir, ce n'est pas non plus un problème.Personne ne doit se souvenir de ce mot de passe.
Juste un aparté, ce sera une bête à taper sur une télécommande :)
@eckes C'est quelque chose que je n'avais pas envisagé.Heureusement, nous avons un Chromecast plutôt qu'un téléviseur intelligent.
Treize réponses:
David
2017-05-30 02:52:48 UTC
view on stackexchange narkive permalink

Facebook Messenger (utilisant des conversations secrètes) et WhatsApp implémentent un cryptage de bout en bout, ce qui signifie que lorsque vous envoyez un message, votre texte est crypté sur votre ordinateur et décrypté sur l'ordinateur de destination. Le texte de vos messages n'est visible par personne entre les deux, à moins qu'il ne casse le cryptage, ce qui, pour des raisons pratiques, ne se produira pas (à moins que vous ne fassiez l'objet d'une enquête de sécurité nationale, auquel cas vous avez de plus gros problèmes. que de partager votre mot de passe Netflix avec les voyous de la NSA).

Cependant, sachez que le chiffrement de bout en bout ne protège que le canal de communication lui-même. Il ne vous protège pas contre les menaces telles que:

  • Les logiciels malveillants, tels que les enregistreurs de frappe ou les captures d'écran qui ont été installés sur votre ordinateur ou la machine de destination
  • Amis / famille qui décidez de partager à nouveau ou de modifier votre mot de passe sans votre permission
  • Netflix, qui surveille ces choses et verra que votre compte est utilisé dans plusieurs endroits géographiques et donc probablement partagé conformément à leurs conditions d'utilisation. Netflix a des plans qui autorisent plusieurs flux entre les membres de la famille, ce n'est donc pas un problème en soi, sauf si votre mot de passe est largement partagé.
  • Application de la loi, si vous vivez dans une zone qui a criminalisé le partage de mot de passe
  • Comme l'a souligné daniel dans les commentaires, Facebook (qui possède à la fois Facebook Messenger et WhatsApp) pourrait accidentellement fournir une sécurité faible ou être complice de la violation de la sécurité de l'utilisateur (par exemple pour aider une enquête policière). Étant donné que les applications propriétaires (non open source), aucun de ces logiciels n'a été vérifié par des chercheurs en sécurité externes, Facebook peut donc avoir une mauvaise implémentation ou copier / inspecter vos données sur le périphérique source ou de destination. De plus, étant donné que ces applications créent et contrôlent les clés de cryptage utilisées pour implémenter le cryptage de bout en bout, vous devez supposer que Facebook peut interrompre le cryptage s'ils le souhaitent (ou à toute personne à qui ils donneraient les clés, par exemple aux forces de l'ordre).
  • Autre excellent point de Gert van den Berg dans les commentaires: certaines applications de messagerie seront automatiquement sauvegardées dans le cloud. La sécurité autour du stockage dans le cloud n'est pas aussi forte que le chiffrement de bout en bout utilisé dans le canal de communication. Voir, par exemple, les attaques Fappening pour plus d'informations sur la façon dont le cloud représente une menace pour la confidentialité des données. (Même pour les données prétendument supprimées!)
Cela pourrait valoir la peine d'ajouter à cela que les forces de l'ordre n'auraient pas à casser le cryptage, elles demanderaient à WhatsApp ou à Facebook les messages en texte brut, et WhatsApp les fournirait sans en informer les utilisateurs.(WhatApp peut avoir besoin de récupérer la clé de l'appareil de l'utilisateur pour déchiffrer les messages pour toujours le vendre comme un cryptage de bout en bout, mais ils pourraient également le faire sans en informer les utilisateurs)
@daniel: WhatsApp lui-même doit être capable de décrypter les messages (afin de les afficher à l'écran) donc il n'y a vraiment rien que leur application ne puisse pas faire avec eux.
@BoundaryImposition WhatsApp * l'application * doit pouvoir le faire;WhatsApp * l'organisation * (qui n'est en fait qu'une branche de Facebook de toute façon maintenant) ne le peut pas.Si vous avez accès au téléphone, tous les paris sont désactivés - vous comptez alors sur l'écran de verrouillage et le cryptage du stockage sur l'appareil restant sécurisé pour empêcher un utilisateur de se connecter simplement et de faire défiler l'écran pour le trouver.
@IMSoP: WhatsApp l'organisation crée WhatsApp l'application.Ce sont eux qui écrivent le code en cours d'exécution sur votre téléphone.Il peut tout faire.
@BoundaryImposition Oui, ils ont la capacité d'implémenter une porte dérobée, à l'avance;cela est vrai pour tous les logiciels auxquels vous faites confiance pour effectuer votre cryptage, jusqu'à un module de cryptage matériel.S'ils ne l'ont pas fait, cependant, le faire rétrospectivement ne leur permettra pas de décrypter les messages précédemment envoyés, sans avoir le téléphone déverrouillé afin d'installer la porte dérobée (à ce stade, vous pouvez simplement lire les messages sans la porte dérobée).
@IMSoP: Je n'ai jamais prétendu que cette capacité était limitée à WhatsApp.Le fait est que vous exécutez le code de quelqu'un d'autre, c'est comme s'il avait un accès physique à votre appareil, et les gens oublient cela.
@BoundaryImposition "vous exécutez le code de quelqu'un d'autre donc c'est comme s'il avait un accès physique à votre appareil" Désolé, je vois votre point, mais cette phrase n'est tout simplement pas vraie.
@xDaizu: Eh bien, c'est _est_ vrai, mais vous êtes bien sûr autorisé à ne pas être d'accord :)
Quoi, personne n'a encore publié [ce XKCD] (https://xkcd.com/538/)?!
@BoundaryImposition Ce n'est pas tout à fait la même chose que l'accès physique - le code ne peut s'exécuter qu'avec les autorisations dont il dispose, ou exploiter les vulnérabilités pour contourner ces autorisations par rapport à l'accès physique où vous pouvez faire ce que vous voulez.Cela dit, je pense que tout le monde se demande des détails ici.Le fait est que vous avez raison de dire que cette ligne dans la réponse n'est pas exacte: "Le texte de vos messages n'est visible par personne entre les deux à moins qu'il ne casse le cryptage".Il n'est pas nécessaire de casser le cryptage si vous contrôlez l'application.
Les autres risques incluent les sauvegardes automatiques de Whatsapp sur l'appareil et Google Drive qui utilise un niveau de cryptage inférieur à celui du canal de communication ... https://qz.com/656035/whatsapps-new-encryption-wont-protect-you-unless-vous-aussi-faites-toutes-ces-choses /
Pour le point Netflix ToS: il semblerait que pour le moment, Netflix considère le partage de mots de passe avec d'autres comme une première étape pour acquérir plus d'utilisateurs et il ne prévoit pas de s'attaquer à ceux qui partagent des mots de passe.Pour le moment, je pense qu'ils ont seulement commenté le partage au sein de la famille (comme la question l'indique) et cela pourrait changer à l'avenir.Voici un lien vers un article décent avec plus de liens: https://techcrunch.com/2016/07/11/psst-its-still-okay-to-share-your-netflix-password/
@Gallifreyan En l'occurrence, je ne connais pas ce mot de passe.Eux me battre avec une clé ne les mènerait pas aussi loin!Ils auraient besoin du mot de passe de mon ordinateur (normalement déverrouillé) ou de mon téléphone (6 chiffres / empreinte digitale) plus le mot de passe de mon gestionnaire de mots de passe (12 caractères aléatoires / empreinte digitale).On dirait qu'ils ont juste besoin de me couper le doigt pour regarder mon netflix: P
@David Vous affirmez que le chiffrement de bout en bout est utilisé.Avez-vous une source fiable qui étaye votre déclaration?Je ne pense vraiment pas qu'une telle déclaration émanant d'une entreprise comme Facebook / WhasApp puisse faire confiance de nos jours.
@Forivin Cela a été rapporté comme tel dans les médias (il suffit de google), mais ces rapports sont invariablement retracés sur Facebook eux-mêmes.Comme déjà dit, c'est un code propriétaire et n'a pas été vérifié par la communauté dans son ensemble.
ISMSDEV
2017-05-30 01:31:36 UTC
view on stackexchange narkive permalink

«Acceptable» est relatif au niveau de risque que vous souhaitez accepter.

Personnellement, je pense que WhatsApp convient à cela. Comme il a un bon cryptage de bout en bout. Mais je pense aussi que Facebook ne fonctionne que parce que c'est un mot de passe Netflix et non pas votre banque.

Comme je l'ai dit. Cela dépend de vous et de votre appétit pour le risque. Personnellement, je serais plus qu'heureux d'utiliser WhatsApp avec ma famille.

WhatsApp fait des choses sales avec des jetons de connexion sur le réseau local.Certains de mes colocataires ont pu usurper un compte qu'ils ont reniflé sur le réseau local pendant un certain temps (le jeton était valide pendant environ 12 heures).C'était littéralement un projet de week-end amusant pour eux ...
@Aaron Donc si je visite régulièrement un café, quelqu'un pourrait peut-être avoir mes comptes?
@Tim théoriquement oui.avoir votre jeton de connexion permet à un autre utilisateur de se connecter en tant que vous pendant un certain temps.quand vient le temps de régénérer ce jeton, ils ne pourront cependant pas le faire sans les crédits de votre compte.Si vous utilisez un wifi non sécurisé, je vous suggère fortement d'utiliser un VPN ou vos données cellulaires.
@Aaron Qu'en est-il sécurisé mais non fiable (université, restaurant avec mot de passe)?
@Tim WPA-PSK (clé pré-partagée) permettra à quiconque de voir votre trafic s'il a également le mot de passe du wifi (il s'agit de la configuration résidentielle typique ainsi que de nombreuses petites entreprises) L'authentification EAP peut fournir plus de sécurité en fonction de la façon dont elle est mise en œuvre,et est la norme pour les grandes entreprises et les universités (Wi-Fi où vous avez un nom d'utilisateur et un mot de passe uniques. Remarque: le nom d'utilisateur et le mot de passe seraient saisis dans les paramètres Wi-Fi et non dans une page Web (c'est ce qu'on appelle un portail captif, et a une utilisation généralement différente (pas pour la sécurité)))
@Tim Je voudrais juste souligner que si ces vulnérabilités peuvent exister, elles impliquent presque toutes quelqu'un qui doit être physiquement à portée du wifi que vous utilisez, sachez que vous allez transmettre des informations sensibles et avezspécifiquement vous espionner.La combinaison de toutes ces choses est assez improbable.
SecretSasquatch
2017-05-30 02:08:26 UTC
view on stackexchange narkive permalink

Dans le cas d'un mot de passe Netflix, le passage du mot de passe via FB Messenger ou WhatsApp sera suffisamment sécurisé. Les données, pendant leur transit, seront cryptées à l'aide de technologies de cryptage modernes. Gardez à l'esprit que le mot de passe sera visible à la fois dans votre boîte de réception et celle du destinataire - en texte brut. Cela peut présenter un risque si le compte Messenger / WhatsApp du destinataire est compromis (ou votre propre compte).

En théorie, si vous envoyez des messages contenant des informations confidentielles liées, disons, à la sécurité nationale, alors je le ferais recommande de ne pas envoyer ces données sensibles sur ces types de plates-formes de messagerie. La réalité est que les "pouvoirs" qui peuvent avoir la capacité d'obtenir vos journaux de discussion à partir de ces services de messagerie ne le feraient que si les informations qu'ils recherchaient étaient très précieuses.

D'après ce que je me souviens, les «conversations secrètes» de FB utilisent des clés spécifiques à l'appareil, de sorte qu'un simple compromis du compte ne devrait pas divulguer les conversations.Mais je pense qu'il est possible que de futures conversations secrètes soient envoyées à un nouvel appareil (après que l'attaquant soit entré dans votre compte), afin que vous puissiez être "intercepté" à l'avenir.
Ouais, chaque conversation est entre deux appareils uniquement.Cependant, mon mot de passe Facebook est à 100% une zone de faiblesse - je dois mettre à jour ce mot de passe.
Rob Gwynn-Jones
2017-05-30 10:13:48 UTC
view on stackexchange narkive permalink

Alors que d'autres ont souligné qu'un mot de passe Netflix en particulier n'est peut-être pas l'atout le plus précieux au monde, je préfère personnellement appliquer les meilleures pratiques lorsque cela est possible, ce qui, je pense que la plupart seraient d'accord, comprend ne pas transmettre les mots de passe par voie électronique lorsque cela est évitable. p>

Ma femme et moi utilisons KeePass, et pour les mots de passe dont nous avons tous les deux besoin (y compris Netflix), je suis passé par le processus unique de saisie manuelle du mot de passe dans sa base de données KeePass. Si jamais nous avons besoin de le changer, cela se produira également manuellement.

Est-ce exagéré? Peut être. Je contrerais en demandant - pourquoi pas? Ce n'est vraiment pas un inconvénient majeur, et tout le monde prend l'habitude de ne pas partager ses mots de passe via un pense-bête ou un e-mail. De plus, vous n'avez pas à vous soucier du fait que la NSA demande secrètement à Facebook de déchiffrer vos messages afin qu'ils puissent regarder House of Cards à votre guise :)

_ "pourquoi pas? Ce n'est pas vraiment un inconvénient" _ Bien sûr, si vous habitez dans la même maison ou à proximité.Et si vous êtes à trois heures de route?Cinq?Douze?Vingt-quatre heures et un billet d'avion de 5000 £?Pas si pratique maintenant!
Bien sûr, comme toute autre chose, il s'agit de peser le pour et le contre et de ne pas être dogmatique.Je pensais juste ajouter un point de vue qui n'avait pas encore été partagé dans cette discussion :)
Je doute fortement que la NSA soit intéressante à voler les mots de passe Netflix des gens pour regarder House of Cards.Ils interceptent et déchiffrent probablement le flux vidéo pendant sa lecture et le regardent comme ça :)
Une option serait d'avoir une base de données Keepass partagée et de l'envoyer, ou de la stocker en ligne, chiffrée avec une clé pré-partagée.Certains autres gestionnaires de mots de passe, tels que lastpass, ont une fonction de partage de mots de passe, où vous pouvez partager ce mot de passe avec un autre utilisateur.
Serge Ballesta
2017-05-30 12:55:09 UTC
view on stackexchange narkive permalink

Vous devez être conscient que le cryptage de bout en bout de Whatsapp ne peut pas être ce que vous attendez. Le protocole utilisé par Whatsapp est en effet sécurisé, mais il semble que l'implémentation ait volontairement choisi la facilité d'utilisation plutôt que la sécurité. Cela a été discuté à Sécurité Whatsapp, et un commentaire a donné un lien vers le Guardian expliquant que

Une vulnérabilité de sécurité qui peut être utilisée pour permettre à Facebook et à d'autres d'intercepter et de lire des messages cryptés a été trouvé dans son service de messagerie WhatsApp
...

Cependant, WhatsApp a la capacité de forcer la génération de nouvelles clés de cryptage pour les utilisateurs hors ligne , à l'insu de l'expéditeur et du destinataire des messages, et pour que l'expéditeur rechiffre les messages avec de nouvelles clés et les renvoie pour tous les messages qui n'ont pas été marqués comme livrés.

Le destinataire n'est pas désigné conscient de ce changement de cryptage, tandis que l'expéditeur n'est averti que s'il a accepté les avertissements de cryptage dans les paramètres, et seulement après que les messages ont été renvoyés. Ce rechiffrement et la rediffusion de messages précédemment non livrés permettent effectivement à WhatsApp d'intercepter et de lire les messages de certains utilisateurs.

[Whatsapp justifie cela pour faire face lorsque] le code de sécurité d'un contact a changé. Nous savons que les raisons les plus courantes que cela se produit sont parce que quelqu'un a changé de téléphone ou réinstallé WhatsApp. En effet, dans de nombreuses régions du monde, les gens changent fréquemment d'appareils et de cartes Sim. Dans ces situations, nous voulons nous assurer que les messages des gens sont livrés, pas perdus en transit.

Cela signifie que même s'il y a un cryptage de bout en bout, les administrateurs Whatsapp ont la possibilité de faire votre appareil émetteur envoie une nouvelle copie du message contenant le mot de passe avec une nouvelle clé de chiffrement qu'il connaît. Cela dépend de vous, mais en ce qui me concerne, je préfère les courriers cryptés S / MIME ou PGP qui ne souffrent pas de cette vulnérabilité.

Cet article du Guardian a été largement démystifié.C'est très pauvre en détails techniques et fondamentalement faux.[Voir les détails ici.] (Https://techcrunch.com/2017/01/20/security-researchers-call-for-guardian-to-retract-false-whatsapp-backdoor-story/)
@samiles: Merci pour votre commentaire.Je viens de lire l'article que vous liez.Rien ici ne dit que l'extrait que j'ai cité est faux: le système permet de ré-envoyer un message avec une clé différente pour faire face à l'utilisateur changeant son appareil et donc sa clé.Cela signifie que le système pourrait être subverti pour renvoyer un message à un destinataire différent, car l'action est lancée par le serveur et non par l'utilisateur.Mon article ne présente pas ce fait comme une porte dérobée (volontairement exploitée) mais comme une vulnérabilité (qui pourrait être exploitée).Et mon message dit: * le protocole ... est en effet sécurisé *
C'est une fonction de cryptage de bout en bout, pas une faille de sécurité.Dire aux gens (sans dire que vous faites cela, mais beaucoup ont suivi cet article du Guardian) que WhatsApp n'est pas sûr est dangereux.
@samiles: Je ne me demanderai pas si Whatsapp est sûr ou non.Le protocole de bout en bout est correctement implémenté et sécurisé.Mais le chiffrement de bout en bout tel qu'implémenté dans le courrier chiffré PGP ou S / MIME ne permet pas le réenvoi automatique d'un courrier avec une nouvelle clé.L'expéditeur doit le faire * à la main *.C'est clairement un choix de conception pour avoir une application plus facile à utiliser.Je ne dis pas que c'est inacceptable ni même mauvais.Je dis juste qu'il pourrait être détourné des serveurs Whatsapp pour renvoyer un message à un nouveau destinataire.Chaque utilisateur peut alors faire sa propre évaluation des risques ...
Je suis d'accord, c'est des informations utiles à avoir.Mais si WhatsApp est toujours assez bon pour les dissidents politiques, c'est assez bon pour les mots de passe Netflix;) Chaque fois que cet article du Guardian est mentionné, il vaut la peine d'ajouter que de nombreux professionnels de la sécurité le considèrent comme un journalisme mauvais et dangereux ...
@samiles pro hominem n'est pas un raisonnement valable.
@Sparhawk Ce n'est pas pro hominem.L'article du Guardian est BS.C'est une information inutile dans le contexte de cette question, et dangereuse en fait de répandre l'idée que WhatsApp n'est pas sûr à cause de ce problème particulier.
@Sparhawk [Les tweets de zeynep] (https://twitter.com/zeynep/status/822301430933573632?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fmashable.com%2F2017%2F01%2F20em-gu2%2F2017%retract-whatsapp-article% 2F) sont super à suivre pour plus d'informations à ce sujet, et pourquoi il est littéralement dangereux de diffuser des informations, pas seulement incorrectes.
@samiles Désolé, cela aurait dû être plus clair.Je faisais référence à cette partie: «Mais si WhatsApp est encore assez bon pour les dissidents politiques…»
@Sparhawk Le fait est que beaucoup de dissidents politiques utilisent WhatsApp, et cet article du Guardian a fait penser à certains d'entre eux qu'ils devraient passer aux SMS ou à quelque chose de moins privé et dangereux, d'une manière que le partage d'un mot de passe Netflix n'est clairement pas.Mais oui, belle reprise de mon "sophisme" ...
@samiles Je ne l'ai jamais vraiment interprété comme ça.L'article du Guardian suggère Signal comme une alternative viable… avec laquelle j'ai tendance à être d'accord.Je ne pense pas qu'ils suggèrent autre chose?(Bien que je sois trop paresseux pour le relire.)
Pour info, l'article du Guardian tel que depuis [a été modifié] (https://www.theguardian.com/technology/commentisfree/2017/jun/28/flawed-reporting-about-whatsapp) et décrit maintenant le problème avec précision dans la mesure où jesuis concerné.Signal, l'implémentation originale du protocole Signal, ne souffre pas de cette faille et n'appartient pas à une société géante basée aux États-Unis, donc je vais toujours préférer cela.
Conor Mancone
2017-05-31 02:21:22 UTC
view on stackexchange narkive permalink

Principalement pour tenter d'être contraire, je voudrais souligner que le mot de passe est rarement le point le plus faible de la sécurité de votre mot de passe, et en fait trop la sécurité d'un mot de passe peut en fait vous rendre moins sûr. Les personnes sont souvent le point le plus faible, ce qui est particulièrement pertinent ici. Vous avez créé un mot de passe très sécurisé (c'est-à-dire difficile à retenir). Cela ne vous pose aucun problème car vous stockez votre mot de passe dans un gestionnaire de mots de passe. Les membres de votre famille font-ils cela? Quelles sont les chances qu'ils laissent votre message dans un endroit très accessible lorsqu'ils en ont besoin, car ils ne peuvent jamais s'en souvenir eux-mêmes? Quel membre de la famille va ensuite copier et coller ce message, puis l'envoyer par e-mail via une chaîne non sécurisée afin qu'il ne l'oublie pas?

Peut-être est-ce un et sécurisé un mot de passe mémorable sera plus sûr qu'un mot de passe sécurisé mais impossible à mémoriser, car dans ce dernier endroit, quelqu'un le stockera de manière non sécurisée car il n'a aucune intention de le mémoriser. Je dirais donc que si vous voulez vraiment garantir une sécurité maximale, vous devez trouver un mot de passe qui peut être mémorisé facilement. Ensuite, vous pouvez simplement les appeler et leur dire ce que c'est.

XKCD: Ça vaut toujours un lien: https://xkcd.com/936/

Ils resteront connectés à Netflix.Notez que le XKCD n'est pas pertinent ici car son "plus sécurisé" est moins sécurisé que le mien.(J'ai presque 80 bits d'entropie).Mais je comprends votre point de vue qu'ils sont le maillon faible
clairement, personne n'utiliserait réellement "correcthorsebatterystaple" comme mot de passe.Si vous mettez quelques mots en majuscule et ajoutez quelques symboles entre les mots, vous pourriez très facilement avoir plus de 80 bits d'entropie et avoir toujours un mot de passe mémorable.
@MaxVernon XKCD préconise très clairement 4 mots minuscules - et de nombreux générateurs de mots de passe les créent.
@MaxVernon, non, la mise en majuscule et l'ajout de symboles passe complètement à côté du point de la bande.Si vous avez besoin d'un mot de passe plus fort, n'ajoutez pas de transformations supplémentaires triviales.Ajoutez un mot ou deux supplémentaires.
@MaxVernon certaines personnes le feraient.Dropbox, par exemple, interdit explicitement l'utilisation de "correcthorsebatterystaple" comme mot de passe.Que vous pensiez que ce n'était qu'une fonction `` oeuf de Pâques '' ou non, quelqu'un a dû essayer de l'utiliser pour la trouver ...
Sas3
2017-05-31 19:51:29 UTC
view on stackexchange narkive permalink

Pour la plupart des gens normaux dont les modèles de menace n'impliquent pas de surveillance ciblée par l'État-nation ou un mandat des agences chargées de l'application de la loi, oui - le cryptage de bout en bout de WhatsApp serait suffisant.

D'autres ont signalé deux situations que je vais répéter pour être complet:

  1. Le fournisseur de services (dans ce cas, FaceBook / WhatsApp) peut extraire le texte en clair (mot de passe déchiffré) directement à partir de l'appareil dans certaines circonstances.
  2. Les enregistreurs de frappe et autres logiciels malveillants sur les terminaux (téléphones / ordinateurs portables) eux-mêmes pourraient accéder directement au texte en clair.

Une technique que j'utilise lorsque faire face à cette situation, c'est obscurcir le contexte lui-même, augmentant la difficulté pour l'adversaire. c'est-à-dire, envoyez le mot de passe mais ne mentionnez pas dans le même canal à quoi il sert; mentionner le contexte dans un canal séparé. par exemple,

Canal 1: SMS / appel vocal: "Hey, je vais vous envoyer un message séparé avec le mot de passe NetFlix dans une minute".

Canal 2: WhatsApp msg: "Voici ce dont nous venons de parler: 3?TeJ)6RK Often4Z_a>c"

Teun Vink
2017-05-30 10:23:59 UTC
view on stackexchange narkive permalink

D'autres ont déjà souligné le risque limité de perdre le mot de passe et l'utilisation du cryptage de bout en bout par WhatsApp, mais j'aimerais souligner une dernière chose:

gardez à l'esprit que ceci le chiffrement de bout en bout n'est utile que pour transférer le mot de passe. Une fois que l'autre personne l'a reçu, toute personne ayant accès au téléphone (déverrouillé le cas échéant) peut le voir dans l'historique du chat.

Il peut être judicieux de demander à l'autre personne de supprimer le message de son l'historique des discussions une fois qu'ils l'ont reçu. Vous ne voulez pas qu'ils utilisent leur historique de chat WhatsApp comme un post-it numérique avec leur mot de passe dessus.

Juste pour ajouter, la messagerie secrète Facebook peut être définie avec une fonction de minuterie de suppression automatique semblable à Snapchat.Donc pas besoin de supprimer manuellement le chat après la lecture.
@MaxPayne, vous voudriez qu'ils soient au bon endroit lorsque vous envoyez le message, sinon ils se retrouveront avec une serviette Starbucks avec "le mot de passe netflix de Tim 3? TeJ) 6RK] 4Z_a> c" dans leur poche.
Chris H
2017-05-30 18:36:53 UTC
view on stackexchange narkive permalink

En supposant que vous les incitez à s'en occuper, et que votre exposition à la perte de ce mot de passe ne serait pas trop mauvaise (c'est-à-dire que ce n'est pas votre banque):

Je serais toujours tenté de obscurcissez-le d'une manière simple pendant le transport et envoyez la clé sur un autre canal. Par exemple. étant donné votre exemple de 3? TeJ) 6RK] 4Z_a>c , envoyez 3? TfJ) 6RK] 4Z_b>d , puis téléphonez-leur et dites-leur de reculer les lettres minuscules. Cela rend inutile d'épauler les surfeurs.

J'éviterais également de mentionner le nom du compte / l'email et le service dans le même fil dans quelques messages, afin qu'ils n'apparaissent pas sur le même écran ("ce mot de passe que vous vouliez: 3? TeJ ) 6RK] 4Z_a> c "plutôt que" Mot de passe Netflix: 3? TeJ) 6RK] 4Z_a> c ").

Une base de données de mots de passe partagée en ligne peut être plus sécurisée mais avec tout le monde sur différents appareils, c'est un problème et vous devez toujours partager la connexion pour cela. Bien que cela devrait être possible sans envoyer de mot de passe, ce ne sera pas anodin de guider quelqu'un pour une seule fois.

Mark
2017-05-31 01:31:55 UTC
view on stackexchange narkive permalink

Option A: vous rencontrez les personnes en question en personne
Option B: vous les appelez (Dieu sait qui a mis vos fils sur écoute
Option C vous leur envoyez une lettre cryptée par courrier postal et envoyez la clé par un autre signifie. (Quelle est la chance de se faire espionner sur 2 médias)
Option D: ne vous inquiétez pas et prenez le risque

A n'est pas une option B est une bonne idée - je ne sais pas pourquoi personne ne l'a suggéré, C est trop lent et cher et D est une option, mais si j'envoie des coordonnées bancaires ou similaire, cette question peut s'appliquer.
Phill W.
2017-05-31 15:55:20 UTC
view on stackexchange narkive permalink

Que diriez-vous de changer le mot de passe en quelque chose qui ressemble plus à "tous vos prénoms et âges, classés par ordre d'âge avec un espace entre chaque mot", puis dites ceci aux autres membres de votre famille.

OK, il est peu probable que vous ayez beaucoup de caractères spéciaux, mais la longueur même de celui-ci devrait offrir une certaine protection.

C'est une très bonne idée - et il existe de nombreuses façons de le faire, notamment l'adresse de la maison, etc.
AnoE
2017-06-02 03:49:46 UTC
view on stackexchange narkive permalink

Juste pour donner un point de vue différent de toutes les autres réponses jusqu'à présent:

Non

Cependant, je dois partager ce mot de passe avec d'autres membres du famille, afin qu'ils puissent également s'y connecter. L'utilisation de la conversation secrète WhatsApp ou Facebook Messenger est-elle une méthode acceptable pour cela?

Non. Peu importe que votre mot de passe Netflix ne soit probablement pas si important; peu importe ce que Facebook dit de son cryptage.

Le fait est que vous ne pouvez pas savoir ce qu'ils font en interne. Chiffrent-ils chaque message avec une clé de déverrouillage principale supplémentaire? Rechiffrent-ils les messages en cours de route? Je suppose que ni Whatsapp ni Facebook (les applications) n'ont fait l'objet d'une ingénierie inverse / d'un examen par les pairs. Et même s'ils l'avaient été, ils pourraient être modifiés à chaque mise à jour.

Les raisons sont nombreuses. "Nous voulons que vos conversations privées puissent faire l'objet de recherches - bien sûr, VOUS seul pouvez les rechercher ...", "Nous voulons nous assurer que vos conversations privées restent présentes lorsque vous perdez votre téléphone", etc. etc. Stockage de vos données est leur activité principale, après tout.

Vous ne savez jamais, vous ne pouvez pas vraiment savoir, et cela peut changer à n'importe quelle mise à jour. Cela devrait vous donner une pause suffisante.

Pourquoi est-ce que ce n'est pas grave que ce soit "seulement" Netflix? Parce que cela conduit à la complaisance. Si vous avez l'habitude de simplement discuter de vos mots de passe sans importance, vous ne vous en soucierez plus tôt ou tard et enverrez également les mots importants.

Y a-t-il de meilleures méthodes?

Bien sûr. La cryptographie à clé publique a été inventée pour rendre inutile la publication de mots de passe en clair. Demandez à votre famille de créer des clés privées / publiques, demandez-leur d'envoyer leurs clés publiques par courrier électronique en clair, demandez-leur de se vérifier mutuellement par téléphone ou lors de votre prochaine rencontre à RL, puis vous êtes prêt à partager les secrets que vous aimez, dans le futur.

Faisable? Probablement pas, car l'intérêt actuel du grand public pour les questions de sécurité est aussi marginal qu'il l'est. Mais encore - mieux.

Ensuite, il y a Threema, qui a fait l'objet d'un examen par les pairs et qui est au moins open source dans le service de sécurité, là où ça compte. Bien sûr, ici ce n'est pas non plus anodin de s'assurer que vos messages ne sont pas également chiffrés vers un destinataire principal, mais au moins vous avez quelques choses à vérifier, avec la source.

Non, je suis sur le point de demander à ma mère de 50 ans et à mes frères et sœurs de 14 ans de créer des clés privées et publiques ... ma question n'était pas "quelle est la meilleure option" c'était "WhatsApp est-il adapté" et vous ne l'avez pasm'a convaincu du contraire que WhatsApp ne convient pas à cette tâche.Re: commencer à envoyer des mots de passe critiques, pourquoi ferais-je cela?Quels mots de passe critiques seraient jamais partagés?
De plus, si vous perdez votre téléphone, vos messages sont perdus.C'est évident - ils chiffrent avec des clés sur l'appareil, alors comment les récupérer.https://www.whatsapp.com/faq/en/general/24460358 non seulement cette réponse est inutile et paranoïaque, mais elle est erronée.Et leur politique de confidentialité indique clairement que les messages ne sont pas stockés.
Nous sommes sur security.SE, @Tim.Vous avez déjà pris votre décision et je ne vois pas du tout pourquoi vous posez la question.Je vous ai donné la réponse du point de vue de la * sécurité *.J'ai été franc avec ma possibilité que mes suggestions ne soient probablement pas facilement configurées dans un réseau familial (bien que Threema puisse simplement être utilisé, ce n'est qu'une application).Mon argument est catégoriquement qu'il est atroce de faire confiance à la «sécurité» de l'une quelconque des offres «secrètes» des grands joueurs, en partie à cause de la paranoïa et en partie de l'expérience des dernières années (des décennies, en fait).
Mais je note que vous n'abordez pas les points auxquels j'ai lié.Ils ne stockent pas les messages parce qu'ils disent qu'ils ne le font pas, et leur politique de confidentialité dit qu'ils ne le font pas et qu'ils ne peuvent pas en raison du chiffrement de bout en bout.Mon esprit n'était pas pris, mais je ne m'attendais pas à ce que les gens suggèrent à des personnes non technophiles de créer des clés.La paranoïa a raison - c'est une réponse paranoïaque, à laquelle j'ai demandé plusieurs éclaircissements et vous n'en avez donné aucun.Re theema.Le problème est qu'il y a trop d'applications différentes.Telegram, Theema, il y a des tas.Je ne veux pas installer 6 applications, une pour chacun de mes amis paranoïaques de sécurité.
Si vous modifiez pour faire référence aux affirmations que vous avez faites et clarifier mes questions, j'annulerai mon vote défavorable, mais c'est une réponse qui n'aide pas les gens et répand des informations erronées.
@Tim, c'est OK, nous pouvons être d'accord pour ne pas être d'accord.C'est à cela que sert le vote, après tout.;)
luizfzs
2017-06-05 21:56:08 UTC
view on stackexchange narkive permalink

Pour une transmission sécurisée / un accès unique, vous pouvez utiliser ViaCrypt. Vous écrivez votre contenu, générez un lien unique et l'envoyez à votre destination. Le lien ne peut être valablement ouvert qu'une seule fois, ce qui signifie qu'une fois que quelqu'un clique dessus, un accès ultérieur au lien ne montrera plus votre message car il a déjà été invalidé.

Écrire comme réponse parce que je ne le fais toujours pas ' J'ai la réputation de commenter.

Cela ne répond pas à la question car je demandais si WhatsApp est sécurisé, pas pour d'autres applications sécurisées.
Je sais que @Tim, c'est pourquoi j'ai voulu l'écrire en commentaire, comme il est indiqué dans ma réponse.Je l'ai écrit parce qu'il ajoute des informations concernant la transmission sécurisée, qui est la catégorie dans laquelle la question appartient.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...