logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 10-09-2019 16:24:35

Grompf
Adhérent(e)
Distrib. : Kubuntu LTS
Noyau : Linux 5.11.0-41-generic
(G)UI : KDE Plasma
Inscription : 08-06-2016

Les navigateurs web conservent-ils tous les mots de passe en clair ?

Bonjour,
Sur un de mes PC, je me suis mis à utiliser Vivaldi en lieu et place de Firefox.
Dernièrement, je me suis intéressé aux problèmes de mots de passe et je me suis rendu compte qu'en allant dans les paramètres de Vivaldi, je pouvais voir en clair tous les mots de passe enregistrés.
En d'autres termes, une personne qui aurait un accès physique à mon PC pourrait se procurer les mots de passe conservés par Vivaldi.

J'avoue mon étonnement.

Tous les navigateurs procèdent de la sorte ?

CONFIGURATION :
1. HP Elitebook 820 G3 -  Debian Gnome
2. Lenovo Thinkpad T550 i5 - carte graphique : Intel Corporation (HD Graphics 5500) - Debian Gnome

Hors ligne

#2 10-09-2019 16:35:58

Debian Alain
Membre
Lieu : Bretagne
Distrib. : sid (unstable) / bullseye (stable)
Noyau : Linux sid 6.4.0-3-amd64
(G)UI : Gnome X.org (X11) / GDM3
Inscription : 11-03-2017
Site Web

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

oui pour chromium et apparemment oui pour firefox-esr .

Hors ligne

#3 10-09-2019 16:36:47

saitama-san
Membre
Inscription : 28-07-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

En définissant un mot de passe "maitre", Firefox doit les chiffrer.
A mon avis, il est préférable de passer par un gestionnaire de mot de passe.
PS: si quelqu'un à un accès physique, faut pas s'étonner de pouvoir récupérer certaines choses

Dernière modification par saitama-san (10-09-2019 16:38:07)

Hors ligne

#4 10-09-2019 22:05:20

Grompf
Adhérent(e)
Distrib. : Kubuntu LTS
Noyau : Linux 5.11.0-41-generic
(G)UI : KDE Plasma
Inscription : 08-06-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Oui, bien sûr qu'un accès physique permet bcp de choses.
Mais je suis quand-même étonné de découvrir que les navigateurs web permettent ça.

Je suis justement en train de m'amuser à mettre en place qqch avec un gestionnaire de mots de passe (KeePassXC) et j'en profite pour changer mes mots de passe.

Du coup je me suis intéressé à la question.

CONFIGURATION :
1. HP Elitebook 820 G3 -  Debian Gnome
2. Lenovo Thinkpad T550 i5 - carte graphique : Intel Corporation (HD Graphics 5500) - Debian Gnome

Hors ligne

#5 10-09-2019 22:36:34

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Le meilleur moyen pour se protéger c'est de tout retenir dans sa tête.
C'est bon pour la mémoire et c'est inviolable notre cerveau.

Perso j'ai confiance en firefox pas de doute sur ça, mais j'ai pas confiance de laisser en clair mes mots de passe visible à n'importe qui..
Quand j'amene mon pc avec moi dehors, je préfère qu'il soit sécurisé et donc aucun mot de passe en clair.
Même les extensions m'inspirent pas confiance en terme de sécurité.

Ma mémoire elle, je sais qu'elle me fera pas un mauvais tour et ne laissera jamais fuiter un mot de passe.

Parfois rien ne peut remplacer l'être humain, même les technologies les + avancées...

Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#6 11-09-2019 11:36:40

Anonyme
Invité

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

melissa6969 a écrit :

.....
C'est bon pour la mémoire et c'est inviolable notre cerveau....



ça dépend si tu parles pendant ton sommeil big_smile

out.gif

Dernière modification par Anonyme (11-09-2019 11:37:23)

#7 11-09-2019 12:33:16

otyugh
CA Debian-Facile
Lieu : Quimperlé/Arzano
Distrib. : Debian Stable
Inscription : 20-09-2016
Site Web

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

melissa6969 a écrit :

Le meilleur moyen pour se protéger c'est de tout retenir dans sa tête.
C'est bon pour la mémoire et c'est inviolable notre cerveau.


security.png


virtue_signaling.pngpalestine.png

En ligne

#8 11-09-2019 13:13:27

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Anonyme a écrit :

.....
ça dépend si tu parles pendant ton sommeil big_smile


je parle mais c'est des phrases qui n'ont aucun sens, c'est codé en dur dans ma tête lol


Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#9 14-09-2019 10:19:00

Grompf
Adhérent(e)
Distrib. : Kubuntu LTS
Noyau : Linux 5.11.0-41-generic
(G)UI : KDE Plasma
Inscription : 08-06-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Le coup de la mémoire, je veux bien, mais regardons un peu ce qui est couramment recommandé en matière de mots de passe :
1. Des mots de passe solides. Pas mon prénom, ni des trucs du genre "password" ou "12345678".
2. Ne pas utiliser le même mot de passe sur différents services
3. Changer les mots de passe de temps en temps

Plus les services sont "sensibles", plus ces recommandations sont importantes. En effet, plus les services sont "sensibles", plus ils risquent d'intéresser les pirates et, en plus, plus les dégâts sont importants. Si un individu mal intentionné accède mon compte Debian-Facile, quels seraient les dégâts ?
1. Il pourrait propager des messages insultants sur ce forum en se faisant passer pour moi
2. Il pourrait voir quelle est l'adresse e-mail que j'utilise pour me connecter à Debian-Facile

En revanche le mot de passe de mon e-mail, ou celui d'un site commercial, là, ça peut faire plus de dégâts...

Et la mémoire dans tout ça ? Et bien s'il faut respecter les prescriptions données plus haut et les appliquer à je-ne-sais combien de services en ligne, ça en fait des mots de passes différents, compliqués et sensés changer régulièrement. Ben oui : mon adresse e-mail principale, mon adresse e-mail secondaire, NextCloud, SimpleNote, mon agenda en ligne, les factures en ligne de la carte de crédit, les CFF (les chemins de fer suisses), un certain nombre de sites commerciaux, etc. etc.
Et il peut y avoir encore des services que l'on utilise à titre professionnel.
Et il y a Mastodon et Twitter. Et ajoutons tous les divers forums, même si c'est moins sensible, sur lesquels il m'arrive de traîner : Debian-Facile, Mint (FFLM), etc.

Sincèrement, il y a beaucoup de monde qui arrive à respecter les normes de prudence élémentaire et à tout retenir dans la tête ?


-------

Remarque :
Sur Mac, avec Safari, pour lire les mots de passe, il faut d'abord rentrer le mot de passe du compte actif dans la session. C'est déjà une petite sécurité en plus par rapport à ce que j'ai constaté sur Vivaldi et Firefox.

Dernière modification par Grompf (14-09-2019 10:20:34)


CONFIGURATION :
1. HP Elitebook 820 G3 -  Debian Gnome
2. Lenovo Thinkpad T550 i5 - carte graphique : Intel Corporation (HD Graphics 5500) - Debian Gnome

Hors ligne

#10 14-09-2019 14:04:05

Herve5
Adhérent(e)
Lieu : mi à Toulouse mi Paris, France
Distrib. : Debian 6.1.0-13 bullseye
Noyau : Linux 6.1.0-13-amd64
(G)UI : xfce 4.18
Inscription : 02-03-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Grompf a écrit :

Sincèrement, il y a beaucoup de monde qui arrive à respecter les normes de prudence élémentaire et à tout retenir dans la tête ?


Honnêtement non, et encore dans ta liste tu ne cites pas les n mots de passes que m'impose mon employeur, un pour chacun des services.

J'utilise Keepass, propre, trans-plateforme, et pour lequel mon unique mot de passe est une phrase entière de quinze mots avec, oui, des caractères-au-delà-de-128...

J'avais même commencé à transporter le fichier Keypass dans la mémoire cryptée d'une clé Nitrokey, mais quand même, ça faisait un peu trop orgueilleux pour mon niveau au bout d'un moment big_smile alors j'ai encore la NK, mais elle ne me sert plus que de backup...

Je signale que Keepass est vraiment très flexible (on peut le paramétrer pour envoyer dans le presse-papier le mot de passe du service choisi d'un clic, lui faire effacer le presse-papier au bout d'un délai (et se verrouiller tout seul), et toutes les méthodes de déverrouillage sont possibles, y compris exiger la présence d'un fichier donné sur une clé insérée avant même d'autoriser l'entrée du mot de passe... J'ai donc encore de la marge de progression dans l'hystérie big_smile

Concernant Firefox, je lui demande effectivement de protéger les mots de passes ordinaires par un mot de passe propre à Firefox (que rien n'empêche de choisir identique à celui de la machine...)

H.


--
Hervé S.
Lenovo Thinkpad P53 / Debian 12 Xfce ; Tuxedo InfinityBook / Ubuntu

Hors ligne

#11 14-09-2019 15:32:52

framend
Modo-Moule zébrée
Lieu : .$_ENV["HOME"]
Distrib. : Debian «Sid»
Noyau : uname -r
(G)UI : sway
Inscription : 17-11-2018

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Un excellent système pour garder des passphrases longues plutôt facilement en mémoire, c'est d'utiliser des expressions inoubliables modifiées.

Par exemple: LEchocodeDFC'3STchouette!

infiniment plus simple à mémoriser que S4rg98!'Stb18rj45 et pratiquement aussi fort.

“It is not daily increase but daily decrease, hack away the unessential. The closer to the source, the less wastage there is.” - Bruce Lee (philosophe)

Hors ligne

#12 14-09-2019 17:28:19

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

tu peux faire + simple pour les mots de passe.
ça respecte pas les "standards" (mais qu'est-ce qu'un standard déjà finalement.??)

prenons un exemple avec un mot idéal Polonaise.
mis en mot de passe, tu peux en faire 500 avec le même mot mais à différentes sauces, des chiffres, lettres, caractères, à l'envers, et j'en passe.

Pol0n@ai$e
p-0-LoNaI-$-€
p0--l-on@_i-s-€
€-Si-@N0_l-oP

alors si tu combines deux mots dans le genre idéal

Polonaise et couleurs
tu as de quoi t'amuser pour faire un mot de passe sécurisé.

les miens c'est deux mots qui permettent de mettre des chiffres et caractères spéciaux en lieu et place et/ou ajouter aux lettres, du coup avec deux mots d'une certaines longueur, combiné et mélangé j'ai des mots de passe fiables et qui sont bien fournis comme conseillé, donc sécurisé et dur à trouver, du coup c'est très simple à retenir pour moi, parce que je connais mes deux mots utilisés, et je sais quels caractères je mets et à quel endroit selon le site, technique made in Melissa  wink

pour les forums et sites sans importance, je mets des mots de passe bidons parce que j'ai aucune info intéressante, puisque j'utilise des emails "temporaires" donc on a absolument rien à me voler smile
comme ici, email temporaire, et mot de passe bidon, si on me "crack" le compte, bah les gens seront déçus de voir que l'email pointe vers un email temporaire qui aujourd'hui n'existe plus lol

Dernière modification par melissa6969 (14-09-2019 17:33:58)


Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#13 14-09-2019 18:19:51

saitama-san
Membre
Inscription : 28-07-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Des gens qui travaillent sur un domaine comme le NIST ou l'ANSSI ont quand même des arguments un peu factuels et pas sorti d'un chapeau.

melissa6969 a écrit :

les miens c'est deux mots qui permettent de mettre des chiffres et caractères spéciaux en lieu et place et/ou ajouter aux lettres, du coup avec deux mots d'une certaines longueur, combiné et mélangé j'ai des mots de passe fiables et qui sont bien fournis comme conseillé, donc sécurisé et dur à trouver, du coup c'est très simple à retenir pour moi, parce que je connais mes deux mots utilisés, et je sais quels caractères je mets et à quel endroit selon le site, technique made in Melissa  wink


un mot de passe basé sur un pattern, c'est vraiment moyen, du coup affirmer avoir des mots de passes "sécurisés" ça me semble un peu exagéré.

Il faudra forcément se souvenir de quelques mots de passes (les sécuriser un maximum dans ce cas) mais l'utilisation d'un gestionnaire de mot de passe me semble inévitable (et certainement mieux qu'un mot de passe bidon).

Hors ligne

#14 14-09-2019 18:37:34

framend
Modo-Moule zébrée
Lieu : .$_ENV["HOME"]
Distrib. : Debian «Sid»
Noyau : uname -r
(G)UI : sway
Inscription : 17-11-2018

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Pour en conserver en mémoire un grand nombre je les crées (vaguement) autour du thème visé, exemple :

Mail : L3COURRIERdufacteur_35TLA

Site de traduction pro: traduc'C'3STformidable*

Ensuite à la création ou au changement je note (post-it) dans un calepin (vraiment très) innacessible et où la phrase de passe n'est pas associée à quoique se soit, genre login ou nom de site etc. (faut quand même un backup).
Un second post-it à proximité du bureau (non visible) me permet de le memoriser tranquillement pendant quelques jours, puis destruction.

Certains mots de passe (pour les comptes user et admin par exemple) ne sont par ramenés à des phrases cohérentes, mais sont mémorisés de la même manière (pas de backup pour eux par contre).

Au bout d'assez peu de temps la mémoire musculaire s'en empare et tu les as au bout des doigts big_smile

Par contre un navigateur conservant des mots de passe ? NON ! Jamais… plutôt les noter sur un post-it à coté de l'écran. mwahaha.gifcrash.gif

“It is not daily increase but daily decrease, hack away the unessential. The closer to the source, the less wastage there is.” - Bruce Lee (philosophe)

Hors ligne

#15 14-09-2019 19:01:57

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

@saintama-san
Avec n'importe quel mot même le + bidon possible, tu peux faire un mot de passe sécurisé.
Avec coucou tu peux très bien sortir un mot de passe de 30 caractères en ayant un peu d'imagination..
Et personnellement je sais que mes mots de passe sont sûrement mieux sécurisés que la personne qui va mettre azerty1234567890

Puis je suis qui pour qu'on me pirate, qu'est ce qu'il aurait le pirate de ma part.
Un email d'une personne lambda.
Un compte en banque d'une simple travailleuse.
Faut pas non plus être complètement parano et perché dans un monde où on voit le mal partout.
Toi comme moi on est pas la cible des pirates à moi que tu detiennes les codes de lancement de la bombe nucléaire française wink

Et pour les forums comme ici un mot de passe bidon est très bien.
Je vais pas m'encombrer d'un gestionnaire de mot de passe pour rien.
Ça me servira le jour où j'aurai des problèmes de mémoire.
Pour l'heure pas besoin d'être assisté d'un énième truc moderne (+ ou moins fiable)
Ma mémoire est fiable depuis des décennies et fait parti intégrante de mon corps donc c'est très bien c'est mon coffre fort à moi et uniquement à moi. :-)

Dernière modification par melissa6969 (14-09-2019 19:04:09)


Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#16 14-09-2019 23:03:18

Grompf
Adhérent(e)
Distrib. : Kubuntu LTS
Noyau : Linux 5.11.0-41-generic
(G)UI : KDE Plasma
Inscription : 08-06-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Ben moi je découvre KeePass. Une bonne phrase, avec des espaces, ça devrait aller comme protection.
J'ai des mots de passe à peu près corrects sur les services que je considère comme sensibles.
Sur les forums, je suis moins rigoureux. Je vais juste faire un ajustement pour arranger un peu, mais c'est tout.

CONFIGURATION :
1. HP Elitebook 820 G3 -  Debian Gnome
2. Lenovo Thinkpad T550 i5 - carte graphique : Intel Corporation (HD Graphics 5500) - Debian Gnome

Hors ligne

#17 15-09-2019 07:55:54

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

Et moi juste pour ça
https://www.forbes.fr/technologie/gesti … reloaded=1
J'utiliserai jamais un gestionnaire de mot de passe.
J'en reviens à ce que je dis toujours.
C'est pas parce que c'est moderne et pseudo sécurisé que ça signifie que c'est inviolable.
On a une mémoire elle est faite pour ça.
Si faut compter sur un logiciel pour retenir nos mots de passe alors bientôt on va se faire essuyer les fesses par une machine et on va finir tellement dépendant du modernisme qu'on va ressembler à des robots.

Le modernisme à ses limites,et les pirates eux trouveront toujours des parades pour hacker même le logiciel le + sécurisé au monde.
Alors que notre mémoire est inviolable, elle peut pas se faire hacker.

Dernière modification par melissa6969 (15-09-2019 07:56:36)


Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#18 15-09-2019 08:43:29

saitama-san
Membre
Inscription : 28-07-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

J'irai même plus loin en interdisant l'écriture. La tradition orale c'est bien mieux et ça fait marcher la mémoire lol
En ne connaissant pas les mots de passes stockés dans un gestionnaire de mot de passe, on ne peut pas me contraindre à le divulguer sous la contrainte big_smile

@Grompf : je déconseillerai l'utilisation des espaces. il y a d'autres caractères spéciaux disponibles.
Utiliser un gestionnaire de mot de passe pour des sites de moindre importance, c'est justement l'objectif.
A l'utilisation, ont connaît déjà certains mot de passe (session, messagerie) qu'il n'est pas utile d'enregistrer.

A l'occasion, je mettrai quelques sources intéressantes sur les mots de passe. Parce qu'entendre qu'on est pas la cible de pirate, c'est mal comprendre comment le monde fonctionne. Si on est pas une cible de choix, l'essentiel du travail c'est de collecter le plus large possible.
L'utilisation ne vient que plus tard mwahaha.gif

Hors ligne

#19 15-09-2019 08:56:35

Herve5
Adhérent(e)
Lieu : mi à Toulouse mi Paris, France
Distrib. : Debian 6.1.0-13 bullseye
Noyau : Linux 6.1.0-13-amd64
(G)UI : xfce 4.18
Inscription : 02-03-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

melissa6969 a écrit :


L'article auquel tu fais allusion ne cite pas ses sources ; elles sont là :https://keepass.info/help/kb/sec_issues.html#keefarce
En gros l'idée est que si quelqu'un a déjà pris la main sur ton PC il peut noter au passage un mot de passe extrait de Keepass (ce qui est quasiment une évidence ; plus précisément l'article décrit juste un moyen de le faire facilement sur Windows).
Dans tous les cas, si quelqu'un contrôle ton PC, que tu lances Keepass pour copier un mot dans le presse-papier ou que tu le tapes juste au clavier, comment dire... tout est déjà foutu big_smile

Après, il doit y avoir des tas gestionnaires attrape-gogos, assurément ("regardez, le premier exercice de mon petit-fils à la Fac sur les bases de données, il en a fait un freeware"), mais les open source comme Keepass qui fédèrent depuis des années des communautés de spécialistes prudents sont tout-à-fait clairs pour moi. (Et ce n'est pas demain que je confierai la gestion de mes données à google, comme quasiment préconisé dans la conclusion...)

Je ne crois pas au hackage de Keypass, le retour sur investissement pour un hacker est beaucoup trop faible (comparé par exemple à hacker l'interface de ta banque).
Le seul type d'instance intéressée à hacker Keepass est selon moi une agence de renseignement (genre, la CIA veut absolument savoir le contenu du PC de Snowden) : ça a dû être certainement tenté, peut-être même aussi en France par la DGSI. Mais, la DGSI se moque pas mal de mon cas smile

Tu as de la chance de pouvoir tout mémoriser, moi non neutral


--
Hervé S.
Lenovo Thinkpad P53 / Debian 12 Xfce ; Tuxedo InfinityBook / Ubuntu

Hors ligne

#20 15-09-2019 10:22:16

melissa6969
Banni(e)
Inscription : 30-11-2016

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

@herve5
le problème il est en parti ici justement.
si tu installes un gestionnaire de mot de passe sur ton laptop avec qui tu te déplaces (train, métro, et endroits à forte population donc risque accru de se faire voler) c'est dans le but d'avoir un "coffre-fort" mais si on peut te hacker ton "coffre-fort" ça revient comme laisser les clés sous le paillasson devant la porte d'entrée...
et ils disent que c'est sous windows mais que les autres OS ne sont pas épargnés pour autant, le risque existe..

après si le hacker arrive à avoir des tas de mot de passes de différents clients de banque, il peut vite se faire de l'argent facile (si son but est de remplir son propre compte en banque alors toutes victimes potentielles est bonne à prendre)
bon après c'est sûr qu'avoir des infos ultra confidentielles des gouvernements à revendre des millions d'euros sur le darkweb, ça serait une mine d'or pour les hackers, c'est indéniable big_smile

j'ai toujours eu une très bonne mémoire, à l'école j'écoutais et je notais le cours, et je m'en souvenais de 90% du cours, pas besoin de réviser pendant des heures (trop cool pour faire les devoirs, j'y passais 5 minutes) tongue

Quamdiu est spes est, Est vitae.
Fiet in posterum melius

Hors ligne

#21 15-09-2019 11:11:18

Herve5
Adhérent(e)
Lieu : mi à Toulouse mi Paris, France
Distrib. : Debian 6.1.0-13 bullseye
Noyau : Linux 6.1.0-13-amd64
(G)UI : xfce 4.18
Inscription : 02-03-2019

Re : Les navigateurs web conservent-ils tous les mots de passe en clair ?

melissa6969 a écrit :

le problème il est en parti ici justement.
si tu installes un gestionnaire de mot de passe sur ton laptop avec qui tu te déplaces (train, métro, et endroits à forte population donc risque accru de se faire voler) c'est dans le but d'avoir un "coffre-fort" mais si on peut te hacker ton "coffre-fort" ça revient comme laisser les clés sous le paillasson devant la porte d'entrée...


Tout-à-fait. Mais si l'on me vole la machine, le fichier Keepass est crypté.
C'est si on pénètre ma machine lors que j'utilise moi-même Keepass que je suis à risque.
C'était ça, l'article cité : un scénario crédible pour la machine de Snowden, pas pour la mienne...


--
Hervé S.
Lenovo Thinkpad P53 / Debian 12 Xfce ; Tuxedo InfinityBook / Ubuntu

Hors ligne

Pied de page des forums