Oui.

L'utilisateur moyen doit utiliser des mots de passe longs aléatoires pour chaque site. Les mots de passe ne doivent pas être répétés, les mots de passe ne doivent pas suivre un modèle discernable. La compromission d'un mot de passe (par exemple, votre connexion Adobe ou LinkedIn) ne doit pas être autorisée pour permettre à l'attaquant de deviner plus facilement vos autres mots de passe. Ces exigences rendent la mémorisation des mots de passe presque impossible. Mais ce n'est pas la principale raison pour laquelle vous devriez utiliser un gestionnaire de mots de passe.

La raison principale est qu'il vous protège de manière fiable contre les attaques de phishing. Un gestionnaire de mots de passe intégré au navigateur ne remplira que un mot de passe spécifique au site si vous visitez réellement le bon site. Ainsi, vous ne saisissez pas accidentellement votre mot de passe Paypal.com dans www.paypal.com.us.cgi-bin.webscr.xzy.ru. Ceci est doublement vrai pour les utilisateurs moyens , qui, en moyenne, s'appuient sur la familiarité générale d'un site pour déterminer s'il est légitime ou non (une heuristique terriblement inefficace). Comme vous ne connaissez pas votre mot de passe , vous ne pouvez pas le saisir. Au lieu de cela, il ne se remplira automatiquement que si vous êtes sur le site authentique.

Utilisez un gestionnaire de mots de passe intégré au navigateur, ne vous faites pas hameçonner. C'est littéralement aussi simple que cela. Le phishing est de toute façon une menace bien plus répandue et sérieuse que la divulgation de mot de passe.

Il y a des réflexions intéressantes en cours dans les laboratoires de recherche Microosft qui soutiennent votre approche. http://research.microsoft.com/apps/pubs/default.aspx?id=227130 par exemple.

Ils font valoir que tous les comptes sécurisés par mot de passe ne sont pas égaux . Ils les classent comme suit:

• comptes indifférents (portes déverrouillées).
• comptes à faible conséquence (portes de jardin verrouillées).
• comptes à conséquences moyennes (porte d'entrée verrouillée).
• comptes à conséquences élevées (portes de coffre-fort).
• comptes ultra-sensibles (ces superbes portes que nous aimons imaginer se trouvent au NORAD).

et faites remarquer que créer les mots de passe est un gaspillage d'efforts on s'en fiche des comptes aussi forts que ceux des comptes à conséquences élevées. Si vous ne vous souciez pas d'un compte, pourquoi ne devriez-vous pas utiliser "mot de passe" comme mot de passe?

Je suis d'accord avec eux, mais j'utilise toujours un gestionnaire de mots de passe et j'ai des mots de passe forts uniques pour tout pour la simple raison pour laquelle je ne veux pas passer le temps à déterminer la valeur que j'accorde à chaque compte. Avec mon gestionnaire de mots de passe, je mets tout en place et je l'oublie.

Je recommanderais donc un gestionnaire de mots de passe à l'utilisateur moyen, car c'est le moyen le plus simple de les amener à utiliser des mots de passe forts .

D'autres ont souligné les avantages pour la sécurité, je me concentrerai simplement sur la commodité et les inconvénients.

Si vous utilisez votre gestionnaire de mots de passe pour tout ce que je fais, économisez pour les endroits où le gestionnaire est inaccessible , vous devenez conditionné à utiliser sa commodité.

Différents sites ont des politiques différentes, et il n'est donc même pas possible de laisser la porte déverrouillée parfois, vous devez mettre en majuscule la première lettre, ou toute dérivation rapide de votre mot de passe à utiliser partout.

Il y a de nombreuses fois où je ne me souviens pas si j'avais utilisé le mauvais mot de passe ou si j'avais besoin de mettre quelque chose en majuscule ou si j'utilisais le mauvais nom d'utilisateur ou e-mail.

Les meilleurs gestionnaires de mots de passe se souviennent de ces choses pour vous même si vous effacez le cache de votre navigateur. Cela présente l'avantage de sécurité supplémentaire de vaincre les tentatives de phishing lorsque vous utilisez les plugins qui enregistrent vos informations d'identification sur un domaine, comme le fait LastPass.

Ce n'est pas toujours aussi pratique que lorsque vous utilisez un navigateur de bureau, LastPass pour iPhone ne s'intègre pas à Safari, mais est lui-même un navigateur et peut être utilisé pour copier le mot de passe dans le presse-papiers.

Pour être honnête, d'un autre côté, si vous ne connaissez pas vos mots de passe sont et vous n'avez pas accès à votre responsable, vous ne vous connectez à rien.

Puis-je vous donner un exemple de la façon dont je pourrais vous exploiter?

L'un des forums (les fruits les moins suspendus) fait divulguer ses détails d'utilisateur, j'ai maintenant votre nom, votre adresse e-mail, votre mot de passe et je peux éventuellement résoudre certaines de vos habitudes de navigation.

Supposons que je n'ai pas votre mot de passe en texte brut, donc je vous envoie un e-mail vous informant que votre compte a été compromis, veuillez vous rendre sur ALFAR0ME0F0RUM.COM qui vous sert la page "changez votre mot de passe" comme prévu. Vous avez mis une variante de votre mot de passe normal, j'ai maintenant une variante de votre mot de passe normal en texte brut. Je peux maintenant facilement déchiffrer votre mot de passe d'origine, j'ai maintenant 2 de vos mots de passe recyclés.

Supposons maintenant que vous ayez utilisé un compte de messagerie non principal pour AlfaRomeoForum.com qui utilise les mots de passe recyclés. Je peux maintenant voir tous les services auxquels vous vous êtes inscrit avec cette adresse e-mail et deviner les mots de passe.

Vous avez acheté quelque chose en utilisant cette adresse e-mail, je sais maintenant ce que vous avez acheté et quand.

Ooh regarde, voici un service qui a ton adresse e-mail principale dessus (je suis connecté et c'est un nom d'utilisateur / mot de passe et tu as changé l'adresse e-mail à un moment donné)

Je peux maintenant téléphoner vous vous lever et vous poser des questions de sécurité en raison d'un problème avec votre commande. Vous avez configuré le compte il y a assez longtemps pour que vous ne vous souveniez pas qu'aucune question de sécurité ne vous a été posée lors de la configuration de ce compte de magasin.

Supposons que vous ayez un iPhone, je peux maintenant leur téléphoner pour un iCloud temporaire mot de passe, je peux répondre aux questions de sécurité parce que vous me les avez dites. J'ai maintenant accès à votre iMessage qui est également vos messages texte.

Je demande une réinitialisation du mot de passe de votre fournisseur de messagerie principal qui a besoin d'un code PIN qui est envoyé à votre téléphone par sms. J'ai maintenant accès à votre e-mail et je peux y accéder comme je l'ai fait pour l'autre.

Je ne peux actuellement pas penser à comment compromettre votre compte bancaire, mais pouvez-vous maintenant voir comment un seul trou de sécurité peut tout ouvrir? même si vous aviez utilisé votre adresse e-mail principale pour le compte d'origine qui a été compromis, j'aurais quand même pu partir à la recherche de vos comptes, c'est juste qu'ils auraient été plus difficiles à trouver.

si vous pensez que les gens ne le feraient pas voir ici

Oui, la plupart des gestionnaires de mots de passe vous empêchent de faire des choses comme mettre votre mot de passe sur le mauvais site.

L'idée traditionnelle de changer les mots de passe régulièrement s'applique vraiment aux sites sur lesquels l'acteur malveillant voudrait écouter déposer ou faire des choses en silence avec votre compte. Des choses comme les sites de médias sociaux ou les e-mails. Dans ces moments-là, il est bon de changer régulièrement votre mot de passe. Cela rend plus difficile la mémorisation des mots de passe et donc un autre avantage d'un gestionnaire de mots de passe.

De Schneier: "La principale raison de donner un justificatif d'authentification - pas seulement un mot de passe, mais tout justificatif d'authentification - un la date d'expiration est de limiter la durée pendant laquelle un identifiant perdu, volé ou falsifié peut être utilisé par quelqu'un d'autre. Si une carte de membre expire après un an, si quelqu'un vole cette carte, il peut tout au plus en tirer un avantage d'un an. Après cela, c'est inutile. "

Les sites sur lesquels les gens semblent se soucier le plus des mots de passe, comme les sites bancaires ou d'autres sites financiers, sont en réalité moins importants à changer fréquemment. Un acteur malveillant qui obtient ce mot de passe l'utilisera, et vous le remarquerez (si vous ne le remarquez pas, vous avez des problèmes bien plus importants que les mots de passe).

Cela étant dit, oui, les gestionnaires de mots de passe sont parfaits pour la moyenne les utilisateurs, mais il est encore plus important de se rappeler que les mots de passe sont une forme très peu sûre de protection de vos données. surveillez vos comptes, restreignez l'accès à vos comptes à partir d'emplacements qui ne vous sont pas familiers et surveillez vos comptes (oui, je le répéterai encore et encore).