Dur Comme Faire

Aller au contenu | Aller au menu | Aller à la recherche

PasswordComposer

Si comme moi, vous passez beaucoup de temps sur Internet, vous visitez sans doute une multitude de forums et de sites qui requièrent une authentification. Au niveau du choix du mot de passe, il y a deux écoles : la bonne (avoir un mot de passe différent pour chaque site) et la mauvaise (utiliser le même mot de passe pour tous les sites). Bien entendu, la bonne est la plus difficile à mettre en oeuvre mais de loin la plus sûre.

Imaginons qu'un pirate arrive à compromettre l'un des sites sur lequel vous avez un compte. Si cela arrive et que vous utilisez le même mot de passe partout, tous vos accès sont à la merci de ce pirate. Bien sûr, encore faut-il que celui-ci sache retrouver les sites sur lesquels vous avez des comptes mais cela est tout à fait faisable si la personne est motivée ou bien vous connait.

La solution est clairement d'utiliser un mot de différent pour chaque site malgré la lourdeur de cette solution. Heureusement, Nick Wolff a ecrit il y a quelques mois un bookmarklet qui facilitait cette tâche mais restait peu pratique à utiliser de manière intensive. Pour remédier à cela, Johannes la Poutré a développé une extension pour Firefox qui reprend le même principe mais avec une bien meilleure ergonomie.

Le fonctionnement est le suivant. Une fois l'extension installée, une icone apparait dans les formulaires à côté des champs de type password.

Lorsque vous cliquez sur cette icone, une boîte de dialogue apparait vous demandant de saisir le mot de passe maître. Il s'agit du seul et unique mot de passe que vous aurez à retenir. Password Composer utilisera ce mot de passe et l'hôte de la page sur laquelle vous êtes pour générer un mot de passe, puis renseignera les champs de type password avec celui-ci.

Le mot de passe est donc unique mais vous n'avez absolument pas besoin de le retenir ni même de le connaitre car il sera regénéré à chaque fois. La seule contrainte est de faire attention au sous-domaine car il est pris en compte lors de la génération du mot de passe. Ainsi, le mot de passe pour www.domaine.com sera différent de celui pour domaine.com.

L'intérêt de cette extension est qu'elle combine le meilleur des deux méthodes. Elle permet de ne retenir qu'un seul mot de passe tout en ayant des mots de passe différents pour chacun des sites sur lesquels vous avez des comptes.

vendredi 6 mai 2005 à 12h38 - Boîte à outils

Rétroliens

Aucun rétrolien pour le moment.

Les rétroliens pour ce billet sont fermés.

Commentaires

Autre solution, plus "bidouille" : associer le mot de passe au nom du site lui-m?me. Exemples : le mot de passe = le nom du site lui-m?me (p?rilleux, maintenant que j'ai l?ch? l'id?e...), ou encore = la r?p?tition (x 4) de la 1?re lettre (Ebay -> e -> 5 -> mot de passe : 5555), ou de la 2e lettre. Etc...

Pascal G le vendredi 6 mai 2005 à 13h02

et si tu veux te connecter sans avoir firefox, vu que tu ne connais pas le mot de passe final, tu fais comment ?

c'est une situation plus courante qu'il peut sembler de prime abord. par exemple je surfe beaucoup depuis mon t?l?phone, me connecte ? ma messagerie, sur des forums, etc.

YoGi le vendredi 6 mai 2005 à 14h15

Et si tu formates l'ordi ou desinstalle firefox , tu perds tout tes mdp ...

FG le vendredi 6 mai 2005 à 14h18

YoGi> En effet, c'est un cas qui ne peut ?tre g?r? mais de mon point de vue, cela ne concerne que peu de gens.

Personnellement, avec mon Nokia 3330, je n'ai m?me jamais surf? sur le net.

JMF le vendredi 6 mai 2005 à 14h19

FG> Tu n'as pas compris le principe. Le mot de passe n'est stock? nulle part. Il est reg?n?r? ? chaque fois par PasswordComposer car il est bas? sur le mot de passe ma?tre qui est fourni par l'utilisateur et le nom de l'h?te de la page courante.

JMF le vendredi 6 mai 2005 à 14h44

non mais je me fais l'avocat du diable. j'imagine que sur tout bon site tu peux demander ? changer ton mot de passe (et le r?cup?rer s'il est moins bon).

YoGi le vendredi 6 mai 2005 à 19h41

JMF : donc on peut avoir deux FF sur deux PC diff?rents, suffit d'y mettre le m?me mdp maitre et c'est r?gl?? C'est bon ?a, tr?s bon.

C?dric le lundi 9 mai 2005 à 19h49

C?dric> Tout ? fait.

JMF le lundi 9 mai 2005 à 20h11

Je pressentais des risques dans cette technologie et j'avais raison.

Quand j'ai voulu cr?er un compte GMX, j'ai utilis? ce fameux g?n?rateur de mots de passe (c'?tait avant l'extension Firefox, je l'utilise sur Safari)

La page d'inscription n'est pas la m?me que celle de confirmation (ce qui est tr?s fr?quent), r?sultat, mot de passe foutu et impossible de terminer mon enregistrement (mais le login que je voulais prendre lui, je ne pouvais plus le prendre pour r?sessayer).

Bref, pas assez s?r. Une m?thode alternative avec trois mots de passe
blog.empyree.org/?2003/10...

David Latapie le mardi 17 mai 2005 à 02h34

David Latapie> Que la page d'inscription et la page de confirmation soient diff?rentes ne pose aucun probl?me ? cette m?thode. Ce qu'il ne faut pas c'est que les h?tes soient diff?rents. Honn?tement, si c'est le cas c'est qu'il y a un probl?me d'architecture, non ?

De plus, je ne vois pas en quoi cela remet en cause la s?ret? du proc?d?.

JMF le mardi 17 mai 2005 à 11h59

Pas assez s?r ici n'avait rien ? voir avec la s?curit? informatique, mais avec l'assurance d'y retrouver ses petits. Peut-?tre que ta m?thode est diff?rente de celle que j'ai test? (j'ai encore le javascript, si ?a t'int?resse)

Enfin, chat ?chaud??

David Latapie le lundi 20 juin 2005 à 17h54

Par ailleurs, o? se trouve les fils RSS par discussion ? Je n'ai pas envie de suivre les commentaires de tous les billets, juste ceux des discussions o? j'interviens.

David Latapie le lundi 20 juin 2005 à 17h56

David Latapie>o? se trouve les fils RSS par discussion ?
Il n'y en a pas pour le moment. Peut-?tre plus tard si je trouve du temps pour m'occuper de mon blog.

JMF le mardi 21 juin 2005 à 10h30