Nous devons faire la distinction entre les gestionnaires de mots de passe hors ligne (comme Password Safe) et les gestionnaires de mots de passe en ligne (comme LastPass).

Les gestionnaires de mots de passe hors ligne sont relativement peu de risques. Il est vrai que les mots de passe enregistrés sont un point de défaillance unique. Mais alors, votre ordinateur est également un point de défaillance unique. La cause la plus probable d'une violation est la présence de logiciels malveillants sur votre ordinateur. Sans gestionnaire de mots de passe, les logiciels malveillants peuvent tranquillement s'asseoir et capturer tous les mots de passe que vous utilisez. Avec un gestionnaire de mots de passe, c'est légèrement pire, car une fois que le malware a capturé le mot de passe principal, il obtient tous vos mots de passe. Mais alors, qui se soucie de ceux que vous n'utilisez jamais? Il est théoriquement possible que le gestionnaire de mots de passe puisse être un cheval de Troie, ou avoir une porte dérobée - mais c'est vrai avec n'importe quel logiciel. Je me sens à l'aise de faire confiance aux gestionnaires de mots de passe largement utilisés, comme Password Safe.

Les gestionnaires de mots de passe en ligne ont l'avantage significatif que vos mots de passe sont disponibles sur l'ordinateur de n'importe qui, mais ils comportent également un peu plus de risques. En partie parce que la base de données en ligne pourrait être violée (que ce soit par piratage, décision de justice, initié malveillant, etc.) Aussi parce que LastPass s'intègre aux navigateurs, il a une plus grande surface d'attaque, donc il pourrait y avoir des vulnérabilités techniques (ce qui est peu probable avec une application autonome comme Password Safe).

Maintenant, pour la plupart des gens, ces risques sont acceptables, et je suggérerais que l'approche consistant à utiliser un gestionnaire de mots de passe comme LastPass pour la plupart de vos mots de passe est meilleure que d'utiliser le même mot de passe partout - qui semble être la principale alternative. Mais je ne stockerais pas tous les mots de passe là-dedans; faites un effort pour mémoriser vos plus importants, comme les services bancaires en ligne.

Je connais quelqu'un qui n'utilisera pas Password Safe et qui a à la place un cahier physique avec ses mots de passe sous forme obscurcie. Ce portable est évidemment beaucoup plus sûr contre les logiciels malveillants ... s'il présente un risque accru de perte / vol est une question intéressante.

[Divulgation: je travaille pour AgileBits, le créateur de 1Password. Comme il ne serait pas approprié pour moi de commenter l'architecture de sécurité des concurrents, je vais aborder les choses en général, et ne parler spécifiquement que de 1Password.]

Oui. Les gestionnaires de mots de passe créent un point de défaillance unique. Vous conservez tous vos œufs dans le même panier. Je pense évidemment qu'un gestionnaire de mots de passe bien conçu est le bon choix. Mais en fin de compte, c'est un choix que chaque individu doit faire pour lui-même.

Il est extrêmement important de regarder comment ce panier est protégé. Avec 1Password, vous pouvez lire les détails sur la manière dont les données sont stockées. Bien que nous utilisions beaucoup PBKDF2, il est très important que les gens choisissent un bon mot de passe principal. Le seul cas confirmé de violation de données 1Password que j'ai vu est lorsque quelqu'un a utilisé le même mot de passe principal que celui qu'elle a utilisé pour son courrier électronique POP3 / HTTP Road Runner non chiffré. Le même mot de passe a également été utilisé pour son compte Dropbox, qui a également été repris et c'est ainsi que nous supposons que l'attaquant a obtenu les données 1Password.

Quant à faire confiance aux personnes derrière un gestionnaire de mots de passe, c'est une question plus délicate . Je pense qu'il est prudent de dire que quiconque travaille dans le domaine de la gestion des mots de passe depuis un certain temps ne risquerait pas d'essayer de gagner de l'argent supplémentaire avec ses informations d'identification bancaires ou ses cartes de crédit. Même si nous étions des escrocs dans l'âme, ce serait juste une mauvaise affaire, car le simple soupçon d'un tel stratagème mettrait le vendeur à la faillite. Les détails de carte de crédit volés se vendent à un peu plus d'un USD chacun lorsqu'ils sont achetés en gros sur les marchés noirs. Les informations d'identification bancaires sont environ cinq fois plus élevées. Le calcul ne fonctionne tout simplement pas pour quiconque vit de la vente d'outils de gestion des mots de passe.

Comme cela a déjà été mentionné, dans certains schémas, les données ne sont jamais transmises au fournisseur dans aucun format. Cela est vrai pour 1Password. Nous ne voyons jamais comment quelqu'un utilise 1Password. Cependant, pour synchroniser les données entre les systèmes, nous nous appuyons sur des systèmes de synchronisation tiers. Ainsi, vos données cryptées peuvent être volées sur Dropbox ainsi que sur votre propre ordinateur si vous utilisez Dropbox pour synchroniser les données. Vous devez toujours supposer qu'il existe une possibilité non négligeable que vos données cryptées soient capturées. Cela revient ensuite à la qualité du cryptage de vos données, ce qui est quelque chose à examiner attentivement.

Les autres questions sur la confiance des fournisseurs du système de gestion des mots de passe se résument à faire confiance à nos compétences et à croire que nous n'avons pas n'a pas été contraint / soudoyé / «persuadé» de permettre une porte dérobée dans le système. C'est beaucoup plus compliqué. Comment les éditeurs gèrent-ils les bogues de sécurité lorsqu'ils sont découverts? Dans quelle mesure le comportement et la conception du produit sont-ils vérifiables indépendamment? Les créateurs comprennent-ils la crypto-monnaie qu'ils utilisent?

Pour les systèmes, comme 1Password, qui ne disposent d'aucune donnée des utilisateurs, il y a très peu de raisons pour que nous soyons même sollicités par des agences gouvernementales (et nous ne l'avons pas été.) En même temps, vous devez supposer que les gouvernements ont accès à vos données stockées sur des systèmes de synchronisation. Encore une fois, cela revient à la question de savoir comment ces données sont chiffrées.

Clause de non-responsabilité : J'ai créé PfP: Pain-free Passwords comme passe-temps, cela pourrait être considéré comme un concurrent LastPass.

J'ai été examiner les problèmes de sécurité de plusieurs gestionnaires de mots de passe à plusieurs reprises. En particulier, j'ai signalé jusqu'à présent douze problèmes de sécurité à LastPass et analysé les décisions de conception qui y ont conduit. Alors que paj28 a donné une très bonne réponse générale sur les gestionnaires de mots de passe, je peux fournir quelques détails.

Quand les gens parlent de la sécurité des gestionnaires de mots de passe en ligne, ils se concentrent généralement sur la sécurité des serveurs. L'accent est mis sur la facilité avec laquelle il est possible de compromettre le serveur et ce qui va se passer ensuite. Cependant, il ne s'agit que d'un seul vecteur d'attaque, car attaquer votre instance de gestionnaire de mots de passe local peut conduire aux mêmes résultats. En fait, attaquer l'extension du navigateur pourrait être un plan d'action plus prometteur, car les données y sont déjà décryptées et vous ne laisserez aucune trace dans aucun journal.

Permettez-moi d'examiner ces deux aspects séparément.

Attaquer l'extension de navigateur

Il existe de nombreuses données historiques sur les vulnérabilités dans l'extension de navigateur LastPass. Toutes ces vulnérabilités pourraient être exploitées par des pages Web arbitraires. À tout le moins, ce sont:

• Faille dans la fonctionnalité de saisie automatique (Mathias Karlsson)
• API interne exposée (Tavis Ormandy)
• Trois vulnérabilités de l'extension LastPass (la vôtre vraiment)
  • Une autre faille dans AutoFill (jugée non exploitable par LastPass, seulement pour être prouvée erronée par Tavis Ormandy plus tard)
  • Une autre API interne exposée
  • Exécution de code à distance, compromis d'extension complète
• Encore une fois faille dans la saisie automatique (Tavis Ormandy)
• Une fois de plus l'API interne exposée (Tavis Ormandy)
• Et une fois de plus l'API interne exposée , résultant en une exécution de code à distance (Tavis Ormandy)

Avez-vous remarqué un motif ici? LastPass lutte depuis des années pour sécuriser sa fonctionnalité de remplissage automatique et pour restreindre l'accès à son API interne. Chaque fois qu'un nouveau rapport prouvait que leur correctif précédent était incomplet.

Maintenant, il n'est pas inhabituel que les gestionnaires de mots de passe n'implémentent pas la saisie automatique en toute sécurité, la plupart d'entre eux ont eu des problèmes dans ce domaine lorsque j'ai vérifié. Bien que totalement évitables, ces problèmes sont suffisamment courants pour que j’ai même compilé une liste avec des recommandations pour éviter les pièges.

Mais les problèmes d'API internes sont assez remarquables. LastPass expose cette API aux sites Web de différentes manières. Il est censé être limité à lastpass.com, mais la logique est si complexe que les restrictions ont été contournées à plusieurs reprises dans le passé. Et tandis que LastPass faisait de son mieux pour minimiser la gravité de ses annonces officielles, chacun de ces problèmes permettait aux sites Web de lire tous les mots de passe à la fois. Pire encore, le dernier rapport de Tavis Ormandy a prouvé que l'API interne pouvait être utilisée pour que le composant binaire LastPass exécute du code arbitraire sur la machine de l'utilisateur. La même chose pourrait probablement être faite avec toutes les failles précédentes qui exposaient l'API interne.

On pourrait bien sûr se demander pourquoi LastPass n'a pas réussi à restreindre correctement l'accès à l'API interne. Mais la meilleure question est de savoir pourquoi cette API est exposée aux sites Web. En effet, une partie importante de la fonctionnalité LastPass n'est pas contenue dans l'extension, mais repose plutôt sur le site Web LastPass pour fonctionner. C'est une décision de conception très problématique, mais jusqu'à présent, LastPass ne semblait pas intéressé à le réparer.

Attaque des données côté serveur

Disons ceci très clairement: nous ne faisons pas confiance au serveur. Ce n'est pas que nous nous méfions particulièrement de LogMeIn, Inc. - du moins pas plus que toute autre entreprise. Mais nos mots de passe sont des données très sensibles, et même l'entreprise la plus éthique peut avoir un employé voyou. Ajoutez à cela la possibilité que les autorités américaines leur demandent de produire vos données, ce qui n'est même pas nécessairement associé à une enquête criminelle. Peu importe la possibilité que leurs serveurs soient piratés, comme cela s'est déjà produit une fois.

Il est donc très important que vos données sur le serveur soient cryptées et inutiles à quiconque peut obtenir saisissez-le. Mais qu'est-ce qui peut éventuellement empêcher les attaquants de le déchiffrer? Exactement une chose: ils ne connaissent pas votre mot de passe principal qui est utilisé pour dériver la clé de chiffrement. La question essentielle est donc la suivante: LastPass protège-t-il suffisamment votre mot de passe principal et votre clé de chiffrement?

Dans ce domaine, je ne suis au courant d'aucune recherche publiée à part la mienne, la plupart étant écrite dans ceci article de blog. Ma conclusion ici: LastPass souffre d'un certain nombre de défauts de conception ici, certains étant résolus maintenant tandis que d'autres sont toujours actifs.

Renforcement du mot de passe principal

Si les attaquants ont mis la main sur un tas de données chiffrées, l'approche de déchiffrement la plus simple est: devinez le mot de passe principal utilisé pour dériver la clé de chiffrement. Vous pouvez essayer un nombre illimité de suppositions localement, sur n'importe quel matériel que vous pouvez vous permettre, donc ce processus sera relativement rapide.

LastPass utilise l'algorithme PBKDF2 pour dériver la clé de cryptage du mot de passe principal. Tout en étant inférieur aux algorithmes plus récents comme bcrypt, scrypt ou Argon2, cet algorithme a la propriété importante de ralentir la dérivation de clé, de sorte que les attaquants faisant des devinettes localement seront ralentis. Le temps nécessaire est proportionnel au nombre d'itérations, c'est-à-dire: plus le nombre d'itérations est élevé, plus il sera difficile de deviner un mot de passe principal.

Pendant longtemps, la valeur par défaut de LastPass était de 5 000 itérations. Il s'agit d'une valeur extrêmement faible qui offre très peu de protection. J'ai calculé qu'une seule carte graphique GeForce GTX 1080 Ti pouvait être utilisée pour tester 346 000 suppositions par seconde. C'est suffisant pour parcourir la base de données contenant plus d'un milliard de mots de passe connus de diverses fuites de sites Web en à peine plus d'une heure.

Suite à mes rapports, LastPass a augmenté la valeur par défaut à 100 000 itérations à mi-parcours -2018 ce qui est bien plus adéquat. Bien sûr, si vous êtes une cible importante qui pourrait s'attendre à ce que des ressources au niveau de l'état soient lancées pour deviner votre mot de passe principal, vous devez toujours choisir un mot de passe principal extrêmement fort.

Obtenir des données pour bruteforce

L'une de mes découvertes au début de 2018 était que le script https://lastpass.com/newvault/websiteBackgroundScript.php pouvait être chargé par n'importe quel site Web. Ce script contenait à la fois votre nom d'utilisateur LastPass et un morceau de données chiffrées (clé RSA privée). Votre nom d'utilisateur LastPass étant également le sel de dérivation du mot de passe, c'est tout ce dont quelqu'un a besoin pour forcer brutalement votre mot de passe principal localement.

Ce problème a bien sûr été résolu rapidement. Cependant, la faille était suffisamment évidente pour que je me demande si j'étais le premier à la découvrir. Bien que j'aie exhorté LastPass à vérifier dans ses journaux des signes d'exploitation de cette vulnérabilité dans la nature, à ma connaissance, cette enquête n'a jamais eu lieu.

Les «rondes côté serveur» comme protection inutile

Suite à un incident de sécurité en 2011, LastPass a implémenté un mécanisme de sécurité supplémentaire: en plus de vos itérations PBKDF2 côté client, ils ajouteraient 100 000 itérations supplémentaires sur le serveur. Donc, en théorie, si quelqu'un pouvait extraire des données du serveur, cela augmenterait l'effort requis pour deviner votre mot de passe principal.

En pratique, je pourrais prouver de manière concluante que ces 100 000 itérations supplémentaires ne sont appliquées qu'au hachage du mot de passe. Toutes les autres données utilisateur (mots de passe, clés RSA, OTP et plus) sont uniquement cryptées à l'aide de la clé de cryptage dérivée localement de votre mot de passe principal, pas de protection supplémentaire ici. Conclusion: cette "protection" supplémentaire est un gaspillage complet des ressources du serveur et n'apporte aucune valeur.

Entrer par la porte dérobée

Quelle que soit la faiblesse de la protection, les attaques par force brute seront toujours inefficaces contre les mots de passe principaux les plus puissants. Cependant, la conception de LastPass contient de nombreuses portes dérobées qui permettraient de déchiffrer les données sans dépenser aucun effort.

L'interface Web

LastPass vous fournit commodément une interface Web pour accéder à vos mots de passe sans l'aide d'une extension de navigateur. Cette fonctionnalité est cependant un piège: chaque fois que vous entrez votre mot de passe principal dans un formulaire de connexion sur le Web, il n'y a aucun moyen de savoir s'il hachera votre mot de passe principal avec PBKDF2 avant de l'envoyer au serveur ou s'il le transmettra aussi clairement text.

Vous vous souvenez que nous ne faisons pas confiance au serveur? Pourtant, une modification triviale du code JavaScript servi par le serveur suffit à compromettre tous vos mots de passe. Même si vous inspectez ce code JavaScript, il y en a trop pour que vous remarquiez quoi que ce soit. Et il serait possible de fournir le code modifié uniquement à des utilisateurs spécifiques.

Paramètres du compte

Même si vous utilisez l'extension de navigateur de manière cohérente, chaque fois que vous accédez aux paramètres du compte, cela chargez le site Web lastpass.com. Là encore, il n'y a aucun moyen pour vous de savoir que ce site Web n'est pas compromis et ne volera pas vos données en arrière-plan.

Plusieurs autres éléments de la fonctionnalité d'extension sont également mis en œuvre en revenant à le site Web lastpass.com, et LastPass ne voit pas le problème ici.

OTP de récupération

LastPass a le concept de mots de passe à usage unique (OTP) que vous pouvez utiliser pour récupérer les données de votre compte si jamais vous oubliez le mot de passe principal. Ces OTP permettent de déchiffrer vos données mais ne sont normalement pas connus du serveur.

Pour rendre la récupération encore plus fiable, LastPass créera automatiquement un OTP de récupération par défaut et le stockera dans les données d'extension. Le problème ici: le processus de récupération a été conçu de telle manière que l'extension donnerait immédiatement à lastpass.com cette récupération OTP à la demande, sans même vous en informer. Ainsi, un serveur LastPass compromis pourrait demander à l'extension votre OTP de récupération et l'utiliser pour décrypter vos données.

Selon LastPass, ce problème a été résolu en août 2018. Je ne sais pas comment ils l'ont résolu cependant, au moins, je ne pouvais voir aucune des solutions évidentes dans leur code.

Exposition de la clé de chiffrement

Il y a aussi un certain nombre d'occasions où l'extension exposera directement votre clé de chiffrement locale aux serveurs LastPass. Cela vise à aider la fonctionnalité Web LastPass à mieux s'intégrer à l'extension de navigateur, mais annule les effets du chiffrement des données localement. Les actions suivantes sont toutes problématiques:

• Ouverture des paramètres de compte, défi de sécurité, historique, signets, surveillance du crédit
• Association à un compte personnel
• Ajout une identité
• Importer des données si le composant binaire n'est pas installé
• Imprimer tous les sites
• Cliquer sur une notification de violation

Le dernier est particulièrement sérieux car le serveur LastPass peut vous envoyer des notifications de violation à volonté. Cela permet donc à LastPass d'accéder à vos données à tout moment, plutôt que d'attendre que vous utilisiez vous-même des fonctionnalités problématiques.

Plus de défauts de conception

• Comme vous pouvez le constater par vous-même en ouvrant https://lastpass.com/getaccts.php lorsque vous êtes connecté, le coffre-fort LastPass n'est en aucun cas une masse de données chiffrées. Il contient plutôt des données cryptées ici et là, tandis que d'autres champs comme l'URL correspondant au compte utilisent simplement le codage hexadécimal. Ce problème a été signalé dans cette présentation de 2015 et de plus en plus de champs ont été chiffrés depuis, mais pas encore tous. En particulier, un rapport que j'ai déposé a souligné que les domaines équivalents non chiffrés permettaient au serveur LastPass de modifier cette liste et d'extraire vos mots de passe de cette manière. Ce problème particulier a été résolu en août 2018 selon LastPass.
• La même présentation gronde LastPass pour son utilisation de AES-ECB pour le chiffrement. Entre autres choses, il indique lesquels de vos mots de passe sont identiques. LastPass a fait la transition vers AES-CBC depuis, mais quand j'ai regardé mon "coffre-fort", j'ai vu un tas d'informations d'identification cryptées AES-ECB là-bas (vous pouvez le dire car AES-ECB est simplement un blob encodé en base64 alors que le LastPass (variante d'AES-CBC commence par un point d'exclamation).
• L'OTP de récupération étant créé automatiquement et stocké dans les données d'extension, toute personne ayant accès à votre appareil et à votre adresse e-mail peut accéder à votre compte LastPass. Ceci est en fait documenté et considéré comme un risque faible. Peut-être qu'un de vos collègues vous a fait une blague en vous envoyant un e-mail à votre nom parce que vous avez oublié de verrouiller votre ordinateur - la prochaine fois, il pourrait reprendre votre compte LastPass même si vous êtes déconnecté de LastPass.
• En parlant d'être déconnecté, le délai d'expiration de session par défaut est de deux semaines. Bien que ce soit certainement pratique, il y a une raison pour laquelle la plupart des produits traitant des données sensibles ont des intervalles d'expiration de session beaucoup plus courts, généralement bien en dessous d'un jour.
• Pour combiner une valeur avec un secret (par exemple en tant que signature), on utilisera généralement SHA256-HMAC. LastPass utilise plutôt une approche personnalisée, appliquant deux fois le hachage SHA256. Bien que les attaques que HMAC est censé traiter ne semblent pas jouer un rôle ici, je ne parierais pas sur quelqu'un avec une meilleure connaissance de la cryptographie que moi ne trouvant pas de vulnérabilité ici après tout. De plus, le côté serveur produira parfois également des jetons SHA256 - je me demande quel genre de bogue se passe là où je ne peux pas le voir et s'il est vraiment sécurisé.

La réponse de Jeffery est particulièrement perspicace - le principal risque est d'ordre économique. L'une des plus grandes menaces peut être l'échec des gestionnaires de mots de passe (ceux qui ne gagnent pas assez d'argent pour leur auteur). Un acteur malveillant peut «sauver» le développeur en achetant le produit et en modifiant le programme pour qu'il s'envoie des données (peut-être de manière difficile à détecter). Il est donc probablement important de vous assurer que le gestionnaire de mots de passe que vous utilisez semble réussir financièrement pour son auteur.

Je suis récemment devenu inquiet à propos de l'application de gestion de mots de passe que j'utilisais depuis longtemps (et pour laquelle j'avais déjà payé ). Le développement semblait s'être en grande partie arrêté, l'application est devenue gratuite (un gros drapeau rouge à mon avis) et la propriété a peut-être changé de mains. Je suis passé à une autre application, mais il est difficile de savoir si mes données ont été compromises.

Vos mots de passe sont-ils vraiment sûrs?

J'ai utilisé Lastpass et je me demande toujours comment nous pouvons être sûrs qu'ils n'envoient pas notre mot de passe principal avec la base de données à leurs serveurs. Ils pourraient même configurer le client pour qu'il interroge le serveur et le faire pour des utilisateurs spécifiques uniquement, pour empêcher la découverte. Cela concerne bien sûr la NSA et le Patriot Act, ou d'autres agences qui peuvent forcer les entreprises à faire quelque chose comme ça et à garder le secret.

Oubliez la NSA

Pour moi, garder tout à l'abri des agences est quelque chose de différent que de garder mes identifiants secrets. Je voudrais garder tout secret pour eux, mais ils ont simplement tellement de ressources et de main-d'œuvre différentes que je ne peux que faire un effort. S'ils me ciblent spécifiquement, je suis probablement perdu. Ils peuvent pirater mon routeur domestique, mon téléphone, mon ordinateur portable, installer des enregistreurs de frappe, etc. et je n'en aurais pas la moindre idée. Les agences qui ont un pouvoir légal (même si nous ne sommes pas d'accord avec elles ou si elles sont d'autres pays) seront difficiles à arrêter.

Alors oubliez simplement la NSA et le GCHQ, etc. - car cela ne nous mènera nulle part. Eh bien ... oubliez ça dans ce contexte.

Lastpass ou Keepass ou ...?

Si Lastpass importait nos mots de passe par défaut, et si cela devait être découvert, ils seraient dans grande difficulté. J'utilise Lastpass depuis environ un an, mais je me suis arrêté à cause de la façon dont il interagit avec le navigateur. Je n'aime pas les méthodes intrusives pour insérer des menus déroulants dans les formulaires Web, et cela a ralenti mon navigateur. Quand j'ai utilisé Lastpass, je l'ai utilisé pour tous ces forums triviaux où peu importait si je perdais le mot de passe ou la connexion. Pour les mots de passe plus sérieux, j'utilise Keepass.

J'utilise Keepass et je le fais depuis des années. Keepass est-il sûr? C'est hors ligne! Mais savez-vous avec certitude qu'il n'envoie jamais de données? Je l'utilise pour me connecter à des sites Web comme Amazon, Apple, FAI, Paypal, grands magasins - en bref: ces sites Web qui ont mon numéro de carte de crédit.

Certains mots de passe que je mémorise et que je ne garde nulle part sauf dans mon esprit.

Certains services comme celui-ci offrent la "commodité" du cloud et d'autres non. Si vous autorisez le stockage de vos mots de passe dans le cloud, vous accordez davantage confiance à l'application, car il existe une seule source d'attaque pour récupérer les données représentant les mots de passe stockés de tous les utilisateurs. En supposant que ces mots de passe sont cryptés uniquement pour chaque utilisateur, le risque pourrait être atténué, mais quel que soit le degré d'atténuation, cela reste un point d'attaque unique.

Contrairement aux applications qui ne stockent les mots de passe que localement (ou vous permet de migrer votre base de données manuellement). Ici, votre niveau d'effort est peut-être plus élevé, mais le point d'attaque se trouve sur une machine sur laquelle vous avez vraisemblablement plus de contrôle et c'est un point d'attaque beaucoup moins intéressant car il n'a que vos mots de passe. Cela ne vous immunise pas complètement, bien sûr; un cheval de Troie pourrait certainement être écrit pour les rechercher et les envoyer ailleurs.

En fin de compte, vous devez décider où vous voulez échanger la sécurité pour plus de commodité, mais c'est certainement un compromis dans la plupart ( sinon tous) cas. Ma propre vision de la situation est que si je n'ai pas écrit l'application, je ne sais pas ce qu'elle fait et j'ai beaucoup moins de chances de lui faire confiance.

Voici quelques articles qui pourraient vous intéresser:

• "Gestionnaires de mots de passe: risques, pièges et améliorations" (2014)

Résumé:

Nous étudions la sécurité des gestionnaires de mots de passe populaires et leurs politiques sur le remplissage automatique des mots de passe dans les pages Web. Nous examinons les gestionnaires de mots de passe intégrés au navigateur, les gestionnaires de mots de passe mobiles et les gestionnaires tiers. Nous montrons qu'il existe des différences significatives dans les politiques de saisie automatique entre les gestionnaires de mots de passe. De nombreuses politiques de remplissage automatique peuvent avoir des conséquences désastreuses lorsqu'un attaquant du réseau distant peut extraire plusieurs mots de passe du gestionnaire de mots de passe de l'utilisateur sans aucune interaction avec l'utilisateur. Nous expérimentons ces attaques et des techniques pour renforcer la sécurité des gestionnaires de mots de passe. Nous montrons que nos améliorations peuvent être adoptées par les gestionnaires existants.

• «Analyse des vulnérabilités et des risques de deux gestionnaires de mots de passe dans le cloud et dans un navigateur commercial» (2013)

Résumé:

Les internautes sont confrontés aux défis redoutables de la gestion de plus en plus de mots de passe pour protéger leurs précieux actifs sur différents services en ligne. Le gestionnaire de mots de passe est l'une des solutions les plus populaires conçues pour relever ces défis en enregistrant les mots de passe des utilisateurs et en remplissant automatiquement les formulaires de connexion au nom des utilisateurs. Tous les principaux fournisseurs de navigateurs ont fourni un gestionnaire de mots de passe en tant que fonctionnalité intégrée; des fournisseurs tiers ont également fourni de nombreux gestionnaires de mots de passe. Dans cet article, nous analysons la sécurité de deux gestionnaires de mots de passe commerciaux très populaires: LastPass et RoboForm. Tous deux sont des gestionnaires de mots de passe (BCPM) basés sur le navigateur et le cloud, et tous deux comptent des millions d'utilisateurs actifs dans le monde. Nous étudions la conception et la mise en œuvre de la sécurité de ces deux BCPM en mettant l'accent sur leurs mécanismes cryptographiques sous-jacents. Nous identifions plusieurs vulnérabilités de niveau de risque critique, élevé et moyen qui pourraient être exploitées par différents types d'attaquants pour briser la sécurité de ces deux BCPM. De plus, nous fournissons quelques suggestions générales pour aider à améliorer la conception de la sécurité de ces BCPM et similaires. Nous espérons que notre analyse et nos suggestions pourront également être utiles pour d'autres produits et recherches sur la sécurité des données basés sur le cloud.

Les emplacements de téléchargement des articles et d'autres articles connexes sont détaillés sur https: // www.wilderssecurity.com/threads/password-manager-security-papers.365724/, un fil de discussion que j'ai créé.

La condition est un accès hors ligne des informations d'identification. Par exemple, un petit cahier sur lequel vous écrivez tous vos détails de sécurité pour toutes les banques, magasins, sites Web, même les serrures à combinaison, les adresses et tous les autres détails auxquels vous souhaitez pouvoir accéder depuis n'importe quel endroit dans le monde.

L'accès en ligne aux identifiants est OK mais pas parfait, car vous devrez vous trouver à proximité d'un PC connecté à Internet avant de pouvoir accéder à l'une de vos informations.

Les systèmes en ligne présentent également un risque pour les pirates informatiques, les gouvernements et les employés individuels des entreprises de contrôle de voler les données ou de les rendre indisponibles lorsque vous en avez besoin. Lisez la rubrique "Route de la soie" pour des exemples de perte répétée et persistante d'informations personnelles.

Une meilleure solution serait un périphérique matériel que vous emportez avec vous, comme une petite clé USB, qui contient un logiciel simple pour stockez et cryptez vos informations et récupérez-les lorsque vous les branchez sur un PC ou un Mac. Idéalement, il aurait le Bluetooth pour être accessible sur votre téléphone mobile. Il peut avoir besoin d'une petite batterie pour cela. Et si vous n'êtes pas à proximité d'un ordinateur / téléphone portable et que vous avez toujours besoin d'accéder aux données stockées, alors peut-être qu'il viendrait avec un petit écran LCD, comme ces porte-clés de sécurité RSA - un petit écran qui pourrait utiliser pour accéder aux informations. Le tout n'a pas besoin d'être plus grand qu'une carte de crédit ou un briquet Zippo. Et il pourrait également avoir une carte micro SD amovible qui pourrait contenir une sauvegarde de toutes vos informations (cryptées bien sûr) afin que vous ne subissiez pas une perte de données complète si vous perdiez l'appareil physique.

C'est à mon avis la meilleure solution. (1) accessible n'importe où avec ou sans PC et accès à Internet (2) données stockées complètement localement sans aucun tiers où que ce soit pour poser un risque de sécurité et une dépendance.

Une autre approche est le courrier électronique. La plupart d'entre nous ont des e-mails Yahoo ou Google ou d'autres e-mails en ligne. Et nous avons des milliers d'e-mails stockés sur les serveurs Yahoo qui contiennent des tonnes d'informations personnelles, y compris des adresses, des numéros de téléphone, des détails de compte et même des mots de passe. Ce droit là est un énorme référentiel d'informations personnelles, il est en ligne, il est disponible sur le PC de n'importe qui via un simple navigateur, même sur votre smartphone. Et pour les données les plus sensibles, vous pouvez concevoir une méthode de cryptage personnelle. Ainsi, bien que l'e-mail soit en texte clair, les données sont cryptées d'une manière ou d'une autre, que vous seul connaissez.

J'ai trouvé que le trousseau OSX était un endroit idéal pour conserver les mots de passe et les informations associées. Encore plus avec la nouvelle intégration IOS & iCloud. Pour moi, c'est un équilibre acceptable entre commodité, disponibilité et sécurité.

J'aurais aimé qu'Apple soit plus transparent sur le fonctionnement interne pour ne pas avoir à fonder entièrement mes évaluations sur la rétro-ingénierie tierce; mais là encore, je ressentirais la même chose si la seule information disponible provenait également d'Apple.

Je pense qu'il existe des méthodes plus faciles pour pirater vos mots de passe que d'essayer de violer le cryptage de LastPass. Par exemple, la journalisation du clavier. Si vous pensez vraiment que vos informations d'identification sont en danger ou sont piratées, vous devez utiliser un ordinateur Linux propre. Choisissez un mot de passe vraiment dur (24 caractères?).