Existe-t-il un bon moyen de stocker les informations d'identification en dehors d'un gestionnaire de mots de passe?

ThoriumBR

2019-03-26 01:47:40 UTC

view on stackexchange narkive permalink

Installez un gestionnaire de mots de passe. Un bon gestionnaire de mots de passe est bien meilleur que tout ce que vous pouvez faire vous-même.

Ce sont des logiciels créés par des professionnels de la sécurité, qui suivent des règles de développement strictes, et sont testés par de nombreuses personnes et attaqués par un beaucoup de gens. Ils ont de meilleures chances de protéger vos mots de passe que tout ce qui a été inventé par la moyenne, même l'utilisateur au-dessus de la moyenne.

comment savoir quel est un bon mot de passe et s'ils suivent effectivement toutes les règles strictes de développement?

@NigelFds Certains, comme Password, sont audités par des tiers.https://support.1password.com/security-assessments/

J'utilise [Enpass] (https://enpass.io) et c'est très bien écrit.

@Schwern génial, c'est bon à savoir

@NigelFds Autre exemple: KeePass Il est open source peut être audité littéralement tout le monde et si vous le souhaitez vraiment, vous pouvez même le compiler vous-même.

Pour un usage professionnel, géré par le service informatique, je recommanderais 1Password ou LastPass.Les deux sont très appréciés et les fonctionnalités d'entreprise rendront l'entreprise heureuse et les utilisateurs beaucoup plus sécurisés.Je les ai utilisés tous les deux.Je recommanderais 1Password pour Mac et LastPass pour Windows / Linux.N'inventez pas le vôtre et n'ajoutez rien au «shadow IT» sur le lieu de travail.

@JesseM LastPass est un gestionnaire de mots de passe basé sur le cloud.Cela devrait immédiatement entrer en conflit avec toute politique de sécurité d'entreprise sensée.En outre, LastPass a eu divers incidents de sécurité et une brèche.Je ne le recommanderais à personne, même à des fins personnelles.Tenez-vous-en aux gestionnaires de mots de passe hors ligne.

@NigelFds En fin de compte, cela revient à faire confiance, mais il vaut mieux faire confiance à un "développeur + beaucoup de professionnels tiers" qu'à un simple "développeur".Il y a une raison pour laquelle KeePass et LastPass sont largement respectés.

Pour être juste, quel que soit le niveau de développement d'un gestionnaire de mots de passe, cela n'empêche pas les logiciels malveillants de se glisser dans d'autres logiciels, puis de lire paresseusement tous les mots de passe du gestionnaire de mots de passe.Bien sûr, les gestionnaires de mots de passe s'améliorent très lentement en rendant cela plus difficile (https://www.helpnetsecurity.com/2019/02/20/flawed-password-managers-allow-malware-to-steal-passwords-from-computer-memory/), mais en fin de compte, mettre les mots de passe sur le même système que tous vos autres logiciels est risqué (et un ordre du jour papier pourrait être plus sûr).

@scai _ "Cela devrait immédiatement entrer en conflit avec toute politique de sécurité d'entreprise sensée" _ Total BS.Tant que le cryptage approprié est utilisé, vous pouvez stocker vos secrets partout, y compris dans le cloud._ "De plus, LastPass a eu divers incidents de sécurité et une brèche" _ Veuillez lire [la réponse de Schwern] (https://security.stackexchange.com/a/206109/3992) et arrêtez de propager FUD.Aussi: utilisez TOUJOURS 2FA (si vous pouvez / est pris en charge par ce site Web).

Schwern

2019-03-26 05:25:48 UTC

view on stackexchange narkive permalink

Vous faites probablement référence aux articles récents sur les failles des gestionnaires de mots de passe.

C'est juste là dans les titres, les gestionnaires de mots de passe ont des défauts et vous devriez toujours en utiliser un car ils sont plus sécurisés que ce que font beaucoup de gens, comme conserver les mots de passe dans Excel, les envoyer par e-mail, les coller dans le chat où ils seront enregistrés par tout le monde ...

Tous les logiciels ont des défauts. Les gestionnaires de mots de passe, et les logiciels de sécurité en général, sont tenus à un niveau plus élevé que les logiciels ordinaires. Les failles dont ces articles parlent dans les gestionnaires de mots de passe ne sont pas des erreurs de débutant, mais des compromis entre les risques.

1Password a un article sur la dernière faille ainsi que une discussion approfondie sur leurs forums. Ce n'est pas une erreur car c'est la conséquence d'un compromis pour éviter d'autres bogues de mémoire pires. L'important est que votre ordinateur doit déjà être compromis et que vous avez récemment saisi votre mot de passe principal. Comme jpgoldberg de 1Password l'a dit...

... nous devons considérer que pour que cela permette une attaque, l'attaquant doit

Être en mesure de lire la mémoire du processus 1Password lorsque 1Password est verrouillé

Ne pas être en mesure de lire la mémoire du processus 1Password lorsque 1Password est déverrouillé.

Numéro 1 exige que l'attaquant ait déjà sérieusement compromis l'appareil. Le numéro 2 signifie que l'attaquant (qui a sérieusement compromis votre appareil) n'a ce contrôle qu'à des moments étrangement limités.

Si votre ordinateur est déjà ainsi compromis, un attaquant peut lire la mémoire de processus de 1Password ils n'ont pas besoin de cet exploit. Ils peuvent simplement attendre que 1Password se déverrouille.

Et si votre ordinateur est compromis, conserver vos mots de passe dans une feuille de calcul Excel ne vous offre aucune protection.

Les gestionnaires de mots de passe peuvent faire d'autres choses pour renforcer votre sécurité.

Partagez et gérez vos mots de passe entre tous vos appareils, y compris les appareils mobiles.
Partagez et gérez les mots de passe et les informations d'identification avec vos collègues.
Stockez bien plus que des mots de passe en toute sécurité .
- Clés et phrases de passe GPG et SSH
- Générateurs de mots de passe à usage unique
- Clés de récupération
- Questions de sécurité
- Clés API
- Remarques
- Cartes de crédit (sans doute mieux que de les enregistrer sur des sites Web)
- Comptes bancaires
- Adhésions
- Licences logicielles
Vous informer des mots de passe non sécurisés
- Mots de passe réutilisés
- Violations de mot de passe
Générer des mots de passe sécurisés
Mots de passe à saisie automatique (évite d'être surfé sur l'épaule)
Auto- enregistrer de nouveaux comptes
Protection contre les ransomwares (s'il vous stocke r vault ailleurs)

Ceux-ci évitent les mauvaises pratiques telles que la réutilisation des mots de passe, l'utilisation de mots de passe faibles, leur partage par e-mail ou par chat ou un document partagé, leur écriture (que ce soit sur papier ou dans un fichier) et continuer à utiliser des mots de passe violés.

Le stockage des générateurs OTP dans les gestionnaires de mots de passe _décroît_ la sécurité, le cas échéant (tous les œufs dans le même panier).Je le fais toujours, cependant: /

Utiliser un générateur OTP (TOTP généralement) à partir d'un gestionnaire de mots de passe sécurisé avec un bon mot de passe (ou même 2FA) est toujours mieux que de ne pas utiliser cette fonctionnalité, car le TOTP-seed devient un deuxième secret que vous devez connaître en plus de l'utilisateurmot de passe.

"(...) garder vos mots de passe dans une feuille de calcul Excel ne vous offre aucune protection" -> en fait, d'après ce que je sais lorsque vous définissez un mot de passe sur un document Excel, les versions modernes d'Excel chiffrent cela en utilisant AES avec PBKDF2 en haut.C'est assez très bien, étant donné qu'AES n'est pas cassé (à notre connaissance) et que PBKDF2 le rend immunisé contre les attaques par force brute (tant que vous avez un bon mot de passe).

@RaduMurzea Mais vous pouvez toujours voir le mot de passe de chacun, en clair, sans trop d'effort: juste assez d'accès physique ou même "par-dessus l'épaule".Pire encore: vous pouvez en prendre quelques photos en un instant et en avoir une copie hors ligne.

-1

@IsmaelMiguel: Solution simple cependant: créez votre propre police où les caractères sont indiscernables et utilisez-la dans votre fichier Excel!;)

@Flater Oui, parce que votre secrétaire moyen sait vraiment comment créer une police ...

owacoder

2019-03-26 08:03:08 UTC

view on stackexchange narkive permalink

L'endroit le plus sûr pour stocker un mot de passe n'est nulle part. Il doit s'agir d'un jeton sécurisé qui n'existe que dans la mémoire du titulaire. Malheureusement, beaucoup utilisent un mot de passe trop simple et peu sûr, dans le but de le rendre plus facile à mémoriser. En revanche, les mots de passe plus sécurisés sont plus difficiles à retenir (pour la plupart des gens).

Si vous ne pouvez pas vous fier à votre mémoire, vous devez absolument utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe empêchent même l'accès physique de compromettre vos mots de passe. Un petit livre de mots de passe physique ne vaut que la serrure de votre porte, qui est beaucoup moins sécurisée qu'un mot de passe principal pour un gestionnaire de mots de passe qui n'est stocké que dans votre mémoire.

Cela implique-t-il qu'un mot de passe pour un service peut exister uniquement dans sa tête?L'autre côté doit encore le stocker;peu importe que vous puissiez rappeler un mot de passe complexe mais que sa fin soit compromise - ceci est particulièrement intéressant si vous utilisez le même mot de passe pour d'autres services.Ironiquement, le mot de passe principal d'un gestionnaire est aussi proche que possible de s'appuyer sur votre mémoire.

@lucasgcb - Un stockage correct des mots de passe à des fins de comparaison devrait inclure le hachage cryptographique ainsi que le salage, de sorte que le mot de passe lui-même n'est jamais réellement stocké.Un salage approprié empêche également les comparaisons de hachage si vous ** utilisez ** le même mot de passe pour différents services.

Bien que les services le devraient, ils ne disposent malheureusement pas toujours d'un stockage approprié (même Facebook a récemment gâché cela https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/).C'est pourquoi les mots de passe doivent être non seulement forts mais uniques pour chaque objectif, je doute que même les esprits les plus fiables soient capables de s'y conformer sans ajouter de modèles clairs - donc même si vous avez une mémoire fiable, un gestionnaire de mots de passe est toujours supérieur pour la sécurité.

Je ne suis pas d'accord sur le dernier point.Nous avons beaucoup plus d'expérience en matière de sécurisation physique d'éléments et de documents que de sécurisation de données.La question de savoir si les exigences de sécurité physique sont adaptées à l'environnement est une autre question.

@Dan - Je suis d'accord avec l'expérience de sécurisation d'objets physiques, mais la plupart des verrous, qu'ils soient cadenas ou intégrés à la porte, peuvent être cambriolés en environ 5 minutes ou moins en utilisant uniquement des outils à main.Je sais par expérience en matière d'entrée par effraction en tant que pompier.Les mots de passe sécurisés devraient prendre * beaucoup * plus de temps à se rompre.En comparaison, les précautions moyennes prises pour la sécurité physique (pour les résidences ou les entreprises) ne sont tout simplement pas aussi bonnes qu'un mot de passe sécurisé.

@owacoder D'accord, mais la sécurité physique est bien plus qu'un simple verrou.Comme je l'ai mentionné, il s'agit de peser les choses.Par exemple, une personne dans sa propre maison avec un tiroir verrouillé est-elle plus ou moins susceptible de se faire voler ses informations d'identification que d'être infectée par quelque chose de néfaste sur un ordinateur?Je ne dis certainement pas que la sécurité physique est nécessairement une meilleure option, je dis simplement que ce n'est pas une option _mauvaise_ en soi.

@Dan - D'accord.Nous sommes sur la même longueur d'onde, je pense.La sécurité de calcul physique * et * doit être utilisée.J'essayais simplement de souligner que notre sécurité physique perçue et réelle n'est souvent pas égale.Nous percevons notre sécurité physique comme étant beaucoup plus grande avec une serrure sur la porte, mais de manière réaliste, cela peut simplement ajouter un élément dissuasif.Tout à fait d'accord avec la probabilité d'être infecté par rapport à une intrusion, cependant.

@lucasgcb de l'autre côté ne devrait certainement PAS stocker votre mot de passe.Ils devraient utiliser un hachage de votre mot de passe, salé au minimum.

Il n'est même pas vrai que l'intérieur de la mémoire du propriétaire soit l'endroit le plus sûr pour stocker un mot de passe sous tous les modèles de menace.Le stockage d'un mot de passe non mémorisable ou invisible sur un support physique peut rendre plus difficile la divulgation par le propriétaire du mot de passe par des moyens coercitifs ou trompeurs, qui peuvent ou non être des menaces plus importantes que les moyens d'accéder au support physique.

Tschallacka

2019-03-26 13:53:34 UTC

view on stackexchange narkive permalink

Le chiffrement des documents Microsoft Office est assez bon et sécurisé à toutes fins utiles, tant que vous n'ouvrez pas le document et que vous n'avez pas de certificat de sécurité poussé par un administrateur informatique.

Il offre quelques points faibles

https://docs.microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

Auparavant, si le créateur original d'un mot de passe de fichier oubliait le mot de passe ou quittait l'organisation, le fichier était rendu irrécupérable. En utilisant Office 2016 et une clé séquestre, qui est générée à partir du magasin de certificats de clé privée de votre entreprise ou organisation, un administrateur informatique peut «déverrouiller» le fichier pour un utilisateur, puis laisser le fichier sans protection par mot de passe ou attribuer un nouveau mot de passe à le fichier. Vous, l'administrateur informatique, êtes le gardien de la clé de dépôt qui est générée à partir du magasin de certificats de clé privée de votre entreprise ou organisation. Vous pouvez transmettre silencieusement les informations de clé publique aux ordinateurs clients une seule fois via un paramètre de clé de Registre que vous pouvez créer manuellement ou vous pouvez le créer via un script de stratégie de groupe. Lorsqu'un utilisateur crée ultérieurement un fichier Word, Excel ou PowerPoint protégé par mot de passe, cette clé publique est incluse dans l'en-tête du fichier. Plus tard, un professionnel de l'informatique peut utiliser l'outil Office DocRecrypt pour supprimer le mot de passe joint au fichier, puis, éventuellement, protéger le fichier à l'aide d'un nouveau mot de passe. Pour ce faire, le professionnel de l'informatique doit disposer de tous les éléments suivants:

Le responsable informatique ou une personne ayant accès aux certificats racine peut déchiffrer tous les documents. Donc, si un attaquant malveillant pouvait y accéder, il pourrait déchiffrer tous les documents protégés par mot de passe.

Il y a le problème secondaire des fichiers temporaires Microsoft Office. Au moment où le fichier est ouvert dans Microsoft Office et que le mot de passe correct est entré, Microsoft Office crée un fichier temporaire qui affiche le contenu. Toute personne naviguant sur ce fichier peut simplement le sélectionner et voir le contenu dans le volet de prévisualisation de l'Explorateur Windows tant que quelqu'un l'a ouvert.

Dans la plupart des réseaux Windows, il est possible de simplement accéder au PC d'un collègue et regardez dans les documents sur son PC ou dans tout partage sur lequel ils peuvent avoir ces documents.

Donc, en soi, en surface, cela peut sembler sûr, mais en bas, quelqu'un doit juste infecter un poste de travail avec un programme qui attend que tous les documents cryptés auxquels il a accès soit ouvert et qui lise simplement le contenu du fichier temporaire. Et la plupart des gens laisseront simplement ce document de mot de passe ouvert en arrière-plan une fois ouvert.

La plupart des gestionnaires de mots de passe ont mis en place des protections pour ne déchiffrer que lorsque cela est nécessaire, puis stocker le mot de passe pendant un court instant dans le presse-papiers avant de l'écraser , minimisant l'exposition possible du mot de passe.

En comparaison, les gestionnaires de mots de passe offrent plus de sécurité.

Par «à toutes fins utiles», vous entendez en fait «pas à toutes fins utiles».Parce que si même un administrateur système médiocre peut accéder à ce que vous avez l'intention de protéger, vous avez augmenté la surface sociale d'attaque d'au moins un facteur de 2, ce qui explique comment les mots de passe sont piratés dans de nombreux cas réels.Cela sans prendre en compte les nombreuses faiblesses logicielles flagrantes fournies par le stockage de mots de passe .norm.

Eh bien, si c'est fait sur un PC sans le certificat de groupe poussé, et que vous seul connaissez la clé de cryptage / mot de passe, personne n'accédera à vos documents tant que le fichier est fermé.Le meilleur des cas est que vous stockiez ce document sur un PC déconnecté d'Ethernet, à vide dans une boîte insonorisée dans une cage de Faraday.Il protégera les documents contre un simple regard sur le contenu.

Notez que l'outil DocRecypt et les fichiers temporaires ne s'appliquent pas à MS Access, ce qui peut être utilisé pour stocker des mots de passe sans ce point faible.Cependant, un point faible supplémentaire pour presque toutes les applications Office est l'automatisation COM.Toute application peut vérifier si les fichiers Office sont ouverts et lire leur contenu s'ils utilisent l'automatisation COM, ce qui est beaucoup plus facile que de lire la mémoire du gestionnaire de mots de passe et ne nécessite aucun privilège spécial.

Monica Apologists Get Out

2019-03-26 18:58:36 UTC

view on stackexchange narkive permalink

Bien sûr! Voici un schéma qui ne sera pas compromis très souvent, s'il est exécuté parfaitement [1]:

Gardez une liste des sites pour lesquels vous avez des mots de passe. Mettez-le dans un endroit suffisamment sûr. [2]
Gardez une liste de mots de passe. Gardez-le plié dans votre portefeuille. Soyez vigilant pour le montrer lors de l'ouverture de votre portefeuille ou lorsque vous utilisez un mot de passe. Détruisez les mots de passe que vous avez mémorisés.
Si votre portefeuille est perdu ou volé, profitez de l'énorme mal de tête de changer tous vos mots de passe.

Donc, à peu près ce que fait un gestionnaire de mots de passe de base: mémorisation, mappage vers des sites et confidentialité. C'est juste beaucoup plus de travail que d'utiliser un gestionnaire de mots de passe. Si vous faites des erreurs, cela devient beaucoup moins sécurisé que d'utiliser un gestionnaire de mots de passe. Étant donné la faillibilité humaine, un gestionnaire de mots de passe est peut-être meilleur?

[1]: Le principal problème contre ce schéma est que vous finirez par ne plus vous entraîner à le faire, et ce sera un énorme gâchis lorsque vous en aurez besoin pour changer réellement les mots de passe.

[2]: «Assez sécurisé» variera considérablement en fonction de vos besoins. Êtes-vous une personne ennuyeuse dont la sauvegarde de ses identifiants bancaires? Un coffre-fort dans votre sous-sol est probablement très bien. Vous cachez-vous de la NSA? Ce schéma n'est probablement pas suffisant, honnêtement.

Michael

2019-03-26 18:45:05 UTC

view on stackexchange narkive permalink

Je recommande toujours vivement d'utiliser un gestionnaire de mots de passe. Si cela est impossible et que toutes les conditions suivantes sont vraies:

Les gens peuvent choisir leurs propres mots de passe.
Personne ne doit partager les mots de passe.
- ( Les fichiers Excel protégés rendent cela improbable.)

... alors vous pouvez suggérer une carte de mot de passe à conserver dans leur portefeuille .

La mise en garde sur les cartes de mot de passe est que vous devez les essuyer après utilisation.La plupart des gens tracent leur doigt sur la carte en suivant leur mot de passe.Cela laisse une trace évidente pour quelqu'un qui obtient votre carte.

@Adonalsium TBF, le site de la carte de mot de passe dit cela._ "Ne lisez pas avec votre doigt, ou le maculage indiquera à un voleur où se trouve votre mot de passe." _

@LightnessRacesinOrbit ... C'est probablement là que j'ai lu ce conseil à l'origine.Zut.

Cette carte de mot de passe me semble une idée affreusement mauvaise.Il comporte 8 lignes de 30 caractères, soit 240 positions de départ.Cela représente environ 8 bits d'entropie, ou à peu près aussi sûr qu'un mot de passe contenant une lettre minuscule et un chiffre.

@dgnuff, Si quelqu'un connaît la graine qui a généré _votre_ carte, peut-être.Mais sinon, c'est de la stéganographie hors ligne.

@dgnuff N'y aurait-il pas une entropie supplémentaire du choix de la direction et du nombre de caractères?Oui, je dois choisir parmi 240 caractères pour commencer, mais ensuite je choisis une direction (8 diagonales inc.), Et un certain nombre de caractères (8 - ??? selon si / comment je choisis d'enrouler).

@Michael Cela suppose que votre carte est compromise.Peu probable, mais toujours un scénario d'attaque possible.

@Delioth Pas tant que ça.Le nombre de caractères 1 à 32 est juste cinq autres bits d'entropie, et 8 directions est 3, de sorte que seulement 8 bits supplémentaires, soit environ 16 au total.Vous êtes maintenant à deux chiffres et deux lettres minuscules équivalentes.

opsecwin

2019-03-27 08:27:58 UTC

view on stackexchange narkive permalink

Une feuille de calcul chiffrée avec un mot de passe (par exemple dans Excel 2016) utilisera par défaut " ECMA-376 Document Encryption" qui utilise le chiffrement AES-256 bits. À condition que le mot de passe ne soit pas un mot du dictionnaire, il ne serait ni meilleur ni pire que tout autre gestionnaire de mots de passe du point de vue du risque de données.

La feuille de calcul serait conforme à la norme FIPS-140-2 et vous vous conformeriez à la majorité des lois de cryptage si la clé ou le lecteur devait être effacé avec la méthodologie d'effacement sécurisé comme indiqué dans NIST 800-88.

Pour un utilisateur gérant quelques mots de passe, je ne vois pas de problème à court terme avec Excel et un mot de passe, ni de problème juridique.

À long terme , une solution de coffre-fort de mots de passe qui permet la rotation des enregistrements / départs, comme CyberArk ou Thycotic, serait bien meilleure avec la journalisation et d'autres fonctionnalités. Une autre solution simple et gratuite est Buttercup.

Vulnérable au simple surf à l'épaule.

@Schwern pas si c'étaient des mots de passe très complexes

@Ulkoma 1) Le mot de passe peut ne pas être le choix de l'utilisateur;les mots de passe de travail partagés sont souvent faibles car ils sont partagés d'une manière difficile à mettre à jour, comme une feuille de calcul.2) Les utilisateurs et les organisations qui utilisent des feuilles de calcul pour stocker les mots de passe ont probablement une mauvaise discipline des mots de passe.3) (Voici le kicker) les téléphones ont des appareils photo incroyables.Une bonne sécurité comporte de nombreuses couches, donc si l'une d'entre elles est violée, comme un mot de passe facilement mémorisable, ou si votre hypothèse comme "mon mot de passe est trop complexe pour surfer sur l'épaule" est fausse, vous avez d'autres couches de protection pour arrêter l'attaquant.

Billal Begueradj

2019-03-27 15:42:30 UTC

view on stackexchange narkive permalink

Sheneir sur Notez votre mot de passe:

Jesper Johansson de Microsoft a exhorté les gens à noter leurs mots de passe.

C'est un bon conseil, et je le dis depuis des années.

Simplement, les gens ne peuvent plus se souvenir des mots de passe assez bien pour se défendre de manière fiable contre les attaques par dictionnaire, et sont beaucoup plus sûrs s'ils choisissent un mot de passe trop compliqué à retenir et ensuite écris le. Nous sommes tous doués pour sécuriser de petits morceaux de papier. Je recommande aux gens d'écrire leur mot de passe sur un petit morceau de papier et de le conserver avec leurs autres petits morceaux de papier précieux: dans leur portefeuille.

Choquant d'entendre des conseils comme celui-ci de Microsoft.Cependant, pour être honnête, cela remonte à presque 15 ans.

Non, c'est FUD.Lisez la réponse de Schwern.

Un gestionnaire de mots de passe écrit votre mot de passe *, puis le crypte * puis le stocke là où il ne sera pas perdu.Nous ne sommes pas doués pour sécuriser les petits morceaux de papier, nous les perdons tout le temps.Et avec le nombre croissant de comptes, vous aurez un très gros portefeuille.

Paris

2019-03-26 05:07:06 UTC

view on stackexchange narkive permalink

Votre seule solution est de sélectionner des mots de passe, difficiles à casser mais faciles à retenir, alors vous n'avez pas besoin de les noter nulle part!

Mais sérieusement, vous pouvez peut-être demander à votre support informatique d'installer un serveur de gestion de mots de passe pour toute votre entreprise, alors vous n'avez pas besoin d'en installer un sur votre machine.

Je pense que l'hésitation est d'utiliser un gestionnaire de mots de passe en général, pas l'installation locale.

Mais généralement, les mots de passe sont pour quelque chose, souvent pour des ressources sur le Web.Donc, si vous envoyez le mot de passe via le Web, vous pouvez également le stocker sur un serveur accessible uniquement en interne dans le réseau de votre entreprise, sécurisé par votre vrai mot de passe, plusieurs utilisateurs peuvent partager des mots de passe pour certaines ressources, bla bla, :-)

Le problème avec cette réponse est que vous ne pouvez pas forcer les utilisateurs à faire cela.L'envoi de quelque chose qui ressemble à l '[«exemple de base de batterie de cheval correcte»] (https://xkcd.com/936/) (mais expliqué plus simplement) dans le cadre de la politique peut les aider à apprendre.

@CaptainMan, vous pourriez écrire une politique de mot de passe qui n'autorise que les mots du dictionnaire et a une grande longueur minimale, mais c'était plus une idée boiteuse au cas où un gestionnaire de mots de passe ne serait vraiment pas souhaité.mais je crois vraiment qu'offrir à tout le monde un gestionnaire de mots de passe décent où ils n'ont rien à installer ira très loin.Je suis maintenant dans la première entreprise qui en utilise un et c'est d'une grande aide par rapport à la façon dont il a été géré dans mes emplois précédents.

Désolé, cela ne s'adapte à la réalité dans aucun type de vie moderne.J'ai 130 mots de passe * et je suis un adoptant tardif *, et je cherche activement à éviter les mots de passe.Cela ne finit jamais.Facturation sans papier?Mot de passe.Programme de récompenses au détail?Mot de passe.Livraison de pizzas?Mot de passe.Uber?Mot de passe.Votre remboursement d'impôt n'a-t-il pas été piraté?Mot de passe.E-fichier?Un autre mot de passe.401K?mot de passe.GP?Mot de passe.Spécialiste?Mot de passe.Laboratoire?Mot de passe.Jouer à un jeu?Mot de passe.Carte de bibliothèque?Mot de passe.Nouvelle voiture?Mot de passe.Acheter un manuel?Mot de passe.Vous ne pouvez pas tous les suivre sans duplication ou écriture.

Stian Yttervik

2019-03-26 21:52:25 UTC

view on stackexchange narkive permalink

Beaucoup recommandent des gestionnaires de mots de passe. Je ne suis pas en désaccord, c'est en effet un bon conseil, mais il y a une autre possibilité.

Il est assez faisable de les laisser enregistrer des informations sur où trouver le mot de passe sans affaiblir considérablement l'intégrité du mot de passe - la plupart des vecteurs d'attaque. Demandez à chacun d'apporter un livre personnel (pensez: Alice au pays des merveilles ou quelque chose), qui sont conservés ensemble dans une seule étagère et faites de chaque mot de passe une combinaison de 3-4 mots du livre. Vous pouvez ensuite écrire partout où vous le souhaitez le numéro de page, le numéro de ligne et le numéro de mot de ces mots. Oui, la recherche de mot de passe sera plus lente mais cela augmentera la sécurité de vos mots de passe contre les tentatives de force brute, cela garantira qu'un accès physique au bureau est nécessaire, ainsi qu'un who's-book-is-which pour casser le code en plus à l'accès électronique à leur mot de passe «enregistré». C'est une énorme amélioration par rapport au stockage des mots de passe en texte clair dans un fichier sur le poste de travail - qui ne nécessite qu'une seule tentative de phishing réussie pour fonctionner.

En prime, les mots de passe sont plus sûrs et plus faciles à retenir. Obligatoire xkcd

Mais, encore une fois, s'ils ne peuvent pas être dérangés de ne pas écrire les mots de passe dans un fichier Excel - il peut être difficile d'établir une procédure aussi lourde comme ça. YMMV.

C'est assez stupide.Écrivez simplement vos mots de passe dans un cahier et verrouillez-le dans un tiroir (ou un coffre-fort ignifuge pour les mots de passe critiques).

Peu importe la façon dont les mots de passe sont stockés, une seule tentative de phishing réussie les compromettra toujours.

@orangedog mais pas tous.

Je pense que vous ne savez pas ce qu'est une attaque de phishing.

@orangedog À peine, il semble plutôt que je suis assez convaincu.

@OrangeDog Il ne veut pas dire que "certains de ses mots de passe sont immunisés contre le phishing".Il veut dire qu'ils ne sont pas compromis en tant que groupe lorsque vous faites une seule erreur.

@Michael uniquement si le gestionnaire que vous utilisez est en ligne, n'a pas 2fa et que vous êtes spécifiquement hameçonné pour le mot de passe principal.

Je ne parle pas des gestionnaires de mots de passe (bien qu'ils aient le problème que vous venez de décrire).Je parle de votre commentaire ci-dessus: _ "écrivez vos mots de passe dans un cahier et enfermez-le dans un tiroir" _ où si quelqu'un trouve / vole / etc.une clé, ils ont clairement une liste de vos mots de passe.

Kolappan N

2019-03-27 14:22:54 UTC

view on stackexchange narkive permalink

Je suis d'accord avec les autres réponses selon lesquelles un gestionnaire de mots de passe est plus sécurisé que les méthodes personnalisées. Notez également que les feuilles de calcul Excel protégées peuvent être facilement compromises par rapport à un gestionnaire de mots de passe.

Cela dit, si vous avez décidé de ne pas utiliser un gestionnaire de mots de passe, vous pouvez utiliser l'approche suivante

Avoir deux fichiers Excel protégés par mot de passe.
Utiliser des mots de passe différents pour chaque Excel.
Stocker la liste des noms d’utilisateurs, des services, etc. dans une feuille et attribuer un numéro / test (par exemple: A001 pour Adobe, S001 pour Stack Overflow, etc ...) pour chaque enregistrement.
Stockez le numéro unique et le mot de passe correspondant dans un autre Excel.

user197001

2019-03-26 02:44:11 UTC

view on stackexchange narkive permalink

Si vous ne voulez pas de programme de gestion de mots de passe, imprimez-les et stockez-les dans un coffre-fort ou quelque chose de sécurisé plutôt que dans un cahier comme vos collègues utilisent.

C'est bien comme sauvegarde pour vos mots de passe très importants, comme le mot de passe de votre gestionnaire de mots de passe, mais pour tous les mots de passe quotidiens, vous en avez besoin dans un emplacement * pratique * et sécurisé.Un coffre-fort ne le coupera pas.

Garder le mot de passe VPN sur un coffre-fort n'est pas pratique.Pour votre portefeuille froid Bitcoin, c'est bien, mais pas pour tout.

Jeffrey Roosendaal

2019-03-26 21:05:42 UTC

view on stackexchange narkive permalink

Cela ne répond pas vraiment à la question sur les collègues , mais pour un usage personnel, cela fonctionne très bien si vous ne voulez vraiment pas utiliser un gestionnaire de mots de passe (comme moi).

Vous pouvez facilement le stocker dans votre esprit: mais ne vous souvenez pas des mots de passe, souvenez-vous d'une formule .

Par exemple, commencez par un mot de base, disons " Mot de passe », et pensez à quelques règles personnalisées:

Nombre de lettres dans le nom du site Web (Facebook: 8), et ajoutez-le à la fin.
Mettre la correspondance en majuscule voyelles (Facebook: A et O)
Remplacez le Nième caractère par un nombre égal au nombre de syllabes (Facebook: 2)

Vous vous retrouvez avec P2sswOrd8 .

Vous pouvez désormais "stocker" une quantité infinie de mots de passe pour la plupart uniques dans votre tête (même avec seulement 3 règles).

Ce n'est vraiment pas une question sur la façon de créer des mots de passe mémorables.Nous avons déjà une question canonique à ce sujet.Les modèles de mot de passe sont intrinsèquement non sécurisés et votre système ne tient pas compte de la nécessité de changer le mot de passe.Que faites-vous, changez les règles pour chaque mot de passe que vous avez lorsque vous devez en changer un seul?

Votre réponse à la question consiste essentiellement à utiliser une formule de mot de passe, et il existe déjà une réponse qui couvre cette option.Votre formule d'exemple a beaucoup de défauts, et je ne recommanderais pas du tout cette formule si je recommandais des formules.

Il s'agissait de stocker les informations d'identification, et c'est ainsi que je les * stocke *.En cas de piratage, utilisez simplement un mot de base de sauvegarde.C'est le mot de passe qui a été piraté, pas la formule.Aussi, où ai-je prétendu que c'était parfait?Les règles ci-dessus ne sont qu'un * exemple *, montrant à quel point il est facile de créer des mots de passe uniques avec même des règles simples et faciles à retenir.Et qui sait, cela peut aider OP.

Attendez, donc dans votre formule, vous devez toujours vous souvenir d'un mot unique par site?Comment stockez-vous ce mot?Non, vous ne stockez rien, vous générez le mot de passe.Et non, ce n'est pas parfait, ce n'est pas bon non plus.Il existe des modèles beaucoup plus sûrs à choisir.

[L'entropie de cette méthode de génération de mot de passe] (https://security.stackexchange.com/questions/6095) est considérablement faible.Si l'on connaît votre «formule», il lui suffit de connaître le mot de base et le nom du site Web cible pour en déduire le mot de passe.Si vous pensez que votre formule est secrète, une fois qu'elle est découverte (grâce à la rétro-ingénierie des mots de passe divulgués ou à l'ingénierie sociale de vous-même), vous serez en mesure de déduire tous vos mots de passe passés et futurs.N'oubliez pas que [la sécurité par l'obscurité] (https://en.wikipedia.org/wiki/Security_through_obscurity) est une illusion.

Bien que ce type de formule soit cryptographiquement faible, cette idée devrait toujours bien fonctionner en raison de facteurs réels.Si votre mot de passe a été volé via Phishing, Data Breach, etc., l'attaquant est toujours limité par les protections standard de force brute sur d'autres systèmes, ce qui ne leur donne pas suffisamment de suppositions au fil du temps pour déchiffrer raisonnablement même un chiffrement de base.Même si cela ne prend que quelques secondes pour se briser sur un système compromis, un portail qui vous verrouille pendant un certain temps après chaque mauvaise tentative pourrait vous empêcher de rester dehors pendant plusieurs vies.