Dahslane est un gestionnaire de mots de passe. C’est-à-dire que cette application se rappelle à votre place de codes trop compliqués ou trop vieux que vous n’arrivez pas à garder en tête. Cela permet évidemment d’accéder facilement à tous les services nécessitant un compte et un mot de passe sans compromettre la sécurité.
Imaginez donc notre surprise quand on voit que Dashlane affirme « qu’il est temps de tuer le mot de passe », alors qu’il s’agit précisément de son cœur d’activité. Et pour cela, les équipes responsables de l’application veulent, dès 2018, mettre en place « une série de produits innovants qui rendent pratiquement obsolètes la création, la saisie, le changement et la mémorisation des mots de passe ». Cette initiative porte un nom : Project Mirror.
Tuer le mot de passe en l’automatisant
Sans vraiment entrer dans les détails, l’entreprise explique qu’elle souhaite automatiser la totalité du processus au moment de s’identifier. Project Mirror entre déjà dans sa première phase, baptisée « Critical Account Protection ». Il s’agit d’un service qui identifie les comptes de l’utilisateur présentant un haut risque de sécurité et propose de changer automatiquement leurs mots de passe comme on peut le voir sur la vidéo ci-dessous.
https://www.youtube.com/watch?v=AcxWW3q2GgE
Si ce que l’on voit dans cette vidéo parait extrêmement simple et fluide, on n’y assiste pas pour autant à la mort du mot de passe. Dashlane se contente ici d’en générer un différent et plus sécurisé. La deuxième étape de Project Mirror permettra peut-être de réaliser ce processus en arrière-plan sans aucune intervention de l’utilisateur.
Espérons en tout cas qu’il ne s’agisse pas seulement d’une promesse rocambolesque et que cela n’engendrera pas de failles de sécurité que des hackers mal intentionnés se feraient une joie d’exploiter.
Pour aller plus loin
Les 100 mots de passe les plus piratés en 2017 sont toujours aussi… stupides
Utilisez-vous Google News (Actualités en France) ? Vous pouvez suivre vos médias favoris. Suivez Frandroid sur Google News (et Numerama).
EnPass n'a pas été audité par un organisme reconnu il me semble ;) Du côté de Keepass, il a une certification par l'ANSSI, et je connais un labo de sécurité privé qui l'a audité récemment sans rien trouver non plus.
Enpass et keepass font la même chose...
"Associer des mots sans rapports" ne veut pas dire utiliser du leet speak.
Dashlane est fort pratique, mais avec une confiance toute relative dans le service, les mots de passe secondaires oui, mais les accès banques et email sont dans la tête, c'est chiant, mais il paraît que ça aide a lutter contre Alzheimer alors...?
Ouai les bank ou paypal je suis d'accord. Amazon je supprime ma carte a chaque achat. ;)
Ca donne pas envie d'apprendre de nouvelles langues en plus ::/
Encore faut il l'activer
C'est plus une mémoire qu'il faut, mais un serveur complet
Ça dépend de la taille de la chaîne. L'info à laquelle tu fais référence sous entendait plutôt l'utilisation du leet speak qui s'avère être une sale idée.
Sauf qu'Amazon, paypal utilise la double authentification, çà ne les concerne pas ;)
Sauf qu'il faut se trimbaler la base de donnée sur une clé USB non? Ou il y a un moyen de stocker la base de donnée sur un serveur et de l'utiliser depuis plusieurs client?
Mouais faut pas réver, c'est pas les premiers à essayer...
Moi j'utilisais undeuxtroisquatrecinqsixsepthuit________huitseptsixcinqquatretroisdeuxun 1234567887654321onetwothreefourfivesixseveneighteightsevensixfivefour threetwooneUNODOSTRESCUATROCINCOSEISSIETEOCHO OCHOSIETESEISCINCOCUATROTRESDOSUNO Je t'avoue que Dashlane a changé ma vie...
D'autant que Dashlane te pousse à mettre bien plus que tes mots de passe dans le coffre : tes cartes bleues, tes papiers d'identité, et bientôt, ton sperme, ton génome complet... Moi je n'y mets que mes mots de passe secondaires. Tout ce qui est banque et adresses mails, je garde dans ma tête.
Sauf que spotify ou SoundCloud on s'en branle un peu que ce soit hack, ton paypal, ta banque, Amazon la oui c'est déjà plus chaud
Keepass la valeur sûr !
En attendant c'est leur site qui est down en ce moment xD https://www.dashlane.com/fr
CIVIC rendra ces procédés obsolètes. https://www.civic.com/
Utilise une solution open source et tu connaitra tout, comme Bitwarden ou Keepass
T pas au courant qu'ils ont découvert une dernière faille liée à la mémoire, le patch te ferait baisser tes performances de 30%
Bravo, tu viens exactement de décrire le but et le fonctionnement d'un gestionnaire de mots de passe quel qu'il soit.
Dans quoi?
Je génère aléatoirement tous mes mots de passe (lettre, chiffres, symboles), donc je n'en connais quasiment aucun à part le master de la BDD, ce n'est pas vraiment un problème dans le fond.Le soucis avec ce genre d'outils en Ligne comme DashLane c'est qu'on ne connait pas les procédés de sécurité qu'ils ont mis en place
Ou encore si la base de donnée en ligne se fait pirater... Un gestionnaire de mot de passe je dit oui! Par contre par un truc dans le cloud qui se fera piraté un jour ou l'autre c'est garanti!
Lorsqu'une BDD leak, tu seras bien content qu'il nécessite des mois de calcul pour péter le hash de ton mot de passe, ça laisse le temps à l'attaque d'être dévoilée et toi de changer le mot de passe. Donc non, ça ne suffit pas, la mnémotechnique c'est bien, mais souvent ça se devine facilement.
Si épicétou
La même ?
Moi j'utilise 123456, et si on me demande une lettre, une majuscule ou quoi et ben j'utilise pas le service. Comme ça pas de problème :-)
Ce qu'il veut dire c'est qu'associer des mots sans rapports s'avère tout aussi compliqué à "hacker" qu'une chaîne aléatoire.
c'est à dire ? y a des service comme spotify, soundcloud j'arrive jamais a me rappeler du mdp... bon je me connecte qu'une fois tous les 2ans quand je change de tel par exemple.... et quand j'y pense que le mdp de mon compte spotify fait a peine 9 caractere.... et soundcloud j'oublie tous le temps que j'utilise un compte gmail....
Tu n'as pas besoin d'un mdp composé de 20 lettres et nombres en majuscule ou non pour ne jamais te faire "hacker". Des mots de apsses simples et mémo-techniques suffisent amplement.
Je génère aléatoirement tous mes mots de passe (lettre, chiffres, symboles), donc je n'en connais quasiment aucun à part le master de la BDD, ce n'est pas vraiment un problème dans le fond. Le soucis avec ce genre d'outils en Ligne comme DashLane c'est qu'on ne connait pas les procédés de sécurité qu'ils ont mis en place. Par exemple, qu'est-ce qui te dit que leur implémentation d'AES pour chiffrer la base est correcte ? Qu'est-ce qui dit que le pseudo-aléatoire utilisé pour généré les mots de passe n'est pas biaisé ? ...
C'est impossible de retenir +100 mots de passe sécurisés différents ;)
Le top c'est d'utiliser un outil certifié comme KeePass ;)
non le top c'est d'avoir une bonne mémoire (dans sa tête) ;)
Le top c'est d'auto héberger ton service de gestionnaire de mot de passe comme ENPASS !
Mouais c'est juste le challenge de sécurité de lastpassquoi...
Attention quand même à ne pas devenir trop dépendants d'un de ces fournisseurs. En gros si c'est l'appli qui génère le mot de passe, qui le retient et qui l'insère dans le champs, le risque c'est que l'utilisateur ne soit jamais au courant du mot de passe lui même et donc qu'il ne puisse pas se passer de l'outil de gestion de mot de passe... D'autre part, cela veut aussi dire qu'en partant du mot de passe unique (ou de l'empreinte digitale), on peut récupérer tous les mots de passe d'un utilisateur. C'est plutôt gênant si le système d'empreinte vient à être piraté un jour, ou si le système de sauvegarde/chiffrement de Dashlane vient également à être craqué, dans ce cas tout le monde est foutu :)
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix