Journal Comment gérez-vous vos mots de passe (et l’autoremplissage des formulaires) ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
9
4
avr.
2025

Salut Nal,

Pour stocker mes mots de passe, j’utilise Bitwarden dont j’étais très content : simple, léger, opensource.

Je débourse même 10€ par an pour héberger mes mots de passe chez eux.

J’utilise Bitwarden pour:

  1. Générer, sauver et autoremplir les login/password depuis Firefox

  2. Compléter les formulaires avec mes données, y compris bancaires.

  3. Autoremplir les logins password des apps android (particulièrement utile pour ma banque qui me le réclame à chaque fois car je n’ai pas de capteur d’empreinte digitale sur mon téléphone).

Il y a quelques temps, une mise à jour à nettement modifié le comportement de Bitwarden:

  • L’ouverture du popup Bitwarden est beaucoup plus lente. Genre 5-6 secondes sur mon (excellent et moderne) Thinkpad contre moins d’une seconde avant.

  • Cliquer sur un compte ne remplit plus automatiquement les formulaires ! Il faut copier/coller (un comble !). Bon, ils se sont rendus compte de leur erreur car, un peu après, un bouton "remplir" a fait son apparition. Mais cela reste nettement moins pratique.

  • Sur la page même, le popup d’autocomplétion prend beaucoup plus de place qu’avant et, dans certains car, cache des informations essentielles.

Bref, l’utilisabilité est nettement tombée et j’envisage donc de tester des alternatives.

Idéalement, j’aimerais un système qui fonctionne en ligne de commande et en mode déconnecté.

Du coup, je suis curieux de savoir les configs que vous utiliez pour sauver vos mots de passe, les utiliser automatiquement dans Firefox/Android. Je suis très friands des systèmes les plus geeks utilisant "pass" mais je ne vois pas trop comment passer un système de ce genre vers Android.

Bref, allez-y, faites pêter vos solutions dans les commentaires !

  • # Proton pass

    Posté par  . Évalué à 3 (+2/-0).

    Hello,

    J'ai migré de Bitwarden à Proton pass et j'en suis content.

    Ca marche mieux.

    My 2 cents.

    • [^] # Re: Proton pass

      Posté par  . Évalué à 2 (+1/-0).

      Je me réponds à moi même, il n'y a en revanche pas de mode déconnecté à ma connaissance ni de cli.

  • # password store

    Posté par  (site web personnel) . Évalué à 9 (+8/-0).

    J'utilise pass (https://www.passwordstore.org/) qui s'intègre à peu près bien partout. En plus de la cli, je l'ai dans emacs et firefox sur mes ordi, et sur mon tél android (mais l'appli a été abandonnée récemment, donc sans doute pas super pérenne comme solution). Il gère git, donc "pass git push" et "pass git pull --rebase" et la base est distribuée simplement. Pas de serveur spécial, et c'est "que" du script simple (i.e. facile de récup l'info si on a la clé gpg sous la main).

    Je m'en sert pour les mdp mais pour stocker des clé ssh, des trucs que je souhaite rester secret, etc.

    Ça repose sur gpg et ça fuite assez facilement la liste des choses stockées si on fait pas attention (1 fichier chiffré par entrée dont le nom peut être le nom du site web par ex).

    • [^] # Re: password store

      Posté par  (site web personnel) . Évalué à 5 (+3/-0).

      Je recommande aussi pass, que j'utilise sur toutes les plateformes (y compris Emacs), comme toi.

      Ceci simplement pour recommander l'utilisation de l'extension Browserpass pour Firefox, que j'utilise depuis des années et qui fonctionne très bien.

      • [^] # Re: password store

        Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

        Mais c’est super intéressant ça, faut que je teste. Après, le manque d’une appli android pérenne peut être un problème.

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: password store

          Posté par  (site web personnel) . Évalué à 3 (+1/-0).

          La voici : https://passwordstore.app/

          Dispo sur f-droid bien sûr, et nécessite d’avoir un environnement GPG fonctionnel.

          • [^] # Re: password store

            Posté par  (site web personnel) . Évalué à 5 (+4/-0).

            Oui, mais il reste intéressant de savoir que:
            " This repository was archived by the owner on Oct 15, 2024. It is now read-only. "

            Appli qui repose sur Openkeychains (https://github.com/open-keychain/open-keychain)
            "WARNING: This software is no longer actively developed. We will still apply security fixes where reported, and do basic maintenance work, but no new features or will be worked on. We will try to consider and merge contributions where possible."

            une appli qui gère les mdp qui n'est plus maintenu et dont une dépendance centrale est en mode végétatif… Dur à conseiller. Certes, sur f-droid, ça ne se voit pas, mais ça ne veut pas dire que c'est une super idée.

  • # Lenteurs de serveurs ou de clients ? - Vaultwarden

    Posté par  (site web personnel, Mastodon) . Évalué à 5 (+3/-0).

    Il faudrait savoir si les lenteurs viennent de leur infrastructure ou du logiciel.

    S'il vient de l'infra, tu as de la chance de pouvoir héberger ton propre serveur facilement grâce au projet vaultwarden (compatible avec sqlite, mysql, postgresql…) ou le serveur officiel bitwarden compatible uniquement avec Microsoft SQL Server.

    J'ai installé vaultwarden avec le container parce que Microsoft SQL Server aurait était un gâchis de ressources sur mon serveur et parce que je n'avais pas envie de créer de compte chez Bitwarden (nécessaire même quand on héberge soi-même son serveur).

    Par contre, vaultwarden est uniquement la partie serveur, donc si ton problème de lenteur vient des clients Bitwarden (extension de browser ou application électron), ça ne va pas améliorer l'état.

    • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

      Posté par  (site web personnel, Mastodon) . Évalué à 4 (+2/-0).

      Je pense que c’est surtout un problème du code frontend. Le popup Bitwarden charge comme une page web bourrée de Javascript (ce qu’elle est certainement). Et ça date justement du "redesign" de l’appli pour faire "plus moderne".

      Pour moi, c’est juste de la merdification Javascript (mais je peux me tromper)

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

        Posté par  . Évalué à 5 (+3/-0). Dernière modification le 04 avril 2025 à 15:00.

        On parle bien de cette extension ?
        https://addons.mozilla.org/en-US/firefox/addon/bitwarden-password-manager/#reviews

        Parce que c'est celle que j'utilise, et je ne rencontre aucun de tes soucis. J'utilise CTRL-L dans les champs de formulaire de connexion et ça les remplit automatiquement. L'affichage de la pop-up est quasi instantané (quand j'ai besoin d'y accéder mais avec le raccourci clavier de remplissage auto c'est rare). "Chez moi ça marche" ne va pas beaucoup aider mais… peut-être que c'est autre chose que l'extension Bitwarden qui provoque ton soucis ? Genre une autre extension ?

        • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

          Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

          yep, c’est bien celle-là. Mais à part ublock, je n’ai pas d’autres extensions.

          Après, mon laptop est toujours en mode "économie d’énergie" et dès qu’un site est un peu lourd en JS, je le sens particulièrement.

          Mes livres CC By-SA : https://ploum.net/livres.html

          • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

            Posté par  . Évalué à 4 (+3/-0).

            Ca ressemble à un bug/soucis réseau tes lenteurs, j'ai pas du tout ce comportement, en tout cas rien de vraiment visible sur la vitesse (c'est de visu, ça a pu prendre 200ms, je doute que je m'en rendrais compte).

            Par contre je te rejoins, avoir passé d'un bandeau de mot de passe cliquable à un bouton "remplir" a été une vraie régression d'UX pour moi aussi

            • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

              Posté par  . Évalué à 2 (+0/-0).

              Je découvre ce bouton remplir et je ne sais même pas comment c'était avant. Faites CTRL-L (plusieurs fois si il y a plusieurs comptes sur ce domaine) dans le champ user et tout se remplira sans avoir besoin ni de la souris ni de la pop-up.

      • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

        Posté par  . Évalué à 5 (+2/-0).

        Alors personnellement, sur Android, je n'utilise plus l'extension du navigateur, mais l'appli Bitwarden elle-même, qui peut être déclarée comme un clavier et passée comme service d'accessibilité.

        Ça marche bien pour les identifiants. Je n'ai pas encore essayé pour les paiements (c'est tout frais comme changement).

  • # J'en ai déjà parlé ici

    Posté par  (site web personnel, Mastodon) . Évalué à 9 (+7/-0).

    https://linuxfr.org/users/jeanas/journaux/mon-gestionnaire-de-mots-de-passe-en-50-lignes-de-html

    En pratique, mes mots de passe sont enregistrés dans Firefox Sync, donc la plupart du temps je n'ai pas besoin d'ouvrir mon gestionnaire de mots de passe parce qu'ils sont préremplis par la complétion built-in de Firefox.

    Quand je veux mon mot de passe pour un service qui n'est pas sur le Web (ma boîte mail, etc.), j'ouvre mon gestionnaire, je rentre le nom du service et mon mot de passe maître, et ça me donne mon mot de passe. Et quand je veux créer un nouveau mot de passe pour n'importe quoi, je l'ouvre aussi et je laisse Firefox l'enregistrer. Et comme noté sur la page du générateur, ça se fait très facilement en ligne de commande aussi.

    Donc pour résumer, l'autoremplissage est fourni par Firefox, la synchronisation aussi (Firefox Sync, qui est associé à ton compte Mozilla), et la sûreté contre une panne des services Mozilla + possibilité de retrouver très facilement un mot de passe sur un autre ordinateur que le sien + possibilité de retrouver un mot de passe en ligne de commande et même sans réseau sont fournies par le générateur ultra-simple.

    • [^] # Re: J'en ai déjà parlé ici

      Posté par  . Évalué à 3 (+2/-0).

      • je fais ça aussi… pour tous mes mots de passe sur le Web: dans Firefox derrière un mot de passe maître (depuis peu).
      • C'est pratique, mais j'ai de gros doutes sur la sécurité… même avec un mot de passe maître.
      • J'ai noté que le mot de passe maître ne s'est pas propagé à mon laptop d'appoint, ni à mon smartphone où j'utilise aussi Firefox pourtant.
      • [^] # Re: J'en ai déjà parlé ici

        Posté par  . Évalué à 5 (+3/-0).

        ce n'est peut-être pas un mal que le mot de passe maître ne soit pas propagé d'un appareil à l'autre et que chacun le gère indépendamment.

        De mon côté je fais un peu pareil, tous mes mots de passe sont stockés dans keepassxc, il y a une extension pour l'intégrer au navigateur mais je trouve ça trop compliqué, je fais du copier coller la première fois que je l'utilise, ensuite ça synchronise entre les navigateurs (firefox) et c'est protégé par un mot de passe. De toute façon les accès les plus sensibles sont gérés par 2FA (freeotp+ et keepassxc peut également stocker cela)

        « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # vaultwarden

    Posté par  . Évalué à 2 (+2/-0).

    Bonjour,

    J'utilise vaultwarden, une réimplémentation de bitwarden qui me permet de l'autohéberger sur mon serveur linux (et compatible avec le plugin bitwarden), je n'ai pas ce soucis.

  • # pass via Password Store

    Posté par  (site web personnel) . Évalué à 4 (+4/-0). Dernière modification le 04 avril 2025 à 14:05.

    Bonjour,

    J'utilise pass avec une Yubikey. Je n'ai pas d'intégration avec Firefox.
    passmenu me sert à insérer les mots de passes, via un raccourci clavier.

    Je n'utilise pas beaucoup Android, j'ai un téléphone depuis 1ans et je m'en sers peu.
    Néanmoins, l'intégration de pass est très simple grâce à OpenKeychain et Password Store. Toujours sans intégration à Firefox par-contre.
    À noter que du coup, je n'ai pas passmenu, pour rentrer un mot de passe, je copie le mot de passe depuis Password Store.

    Pour configurer pass sur Android.
    Grosso modo, je rentre ma clé et lance la recherche depuis OpenKeychain. Ma clé publique est importée car j'ai mis l'URL où la télécharger.
    d
    1. Dans Password Store, je génère une clé SSH, la protection par mot de passe est disponible, le partage de la clé est proposé et « envoie par e-mail » dans la liste.
    2. J'importe la clé sur un VPS.
    3. Je reviens à l'accueil, gros bouton « Let's go », ça me demande l'adresse du dépôt git et me propose le clone via SSH (forcément).

    Puis, pour déchiffrer un mot de passe. Je clique sur l'un d'eux (deux clics généralement car dans pass on stocke souvent via dossier linuxfr.org/ache par exemple). Openkeychains me demande l'authorisation d'être exécuter, je valide, ça me demande mon PIN Yubikey, puis la validation tactile de la Yubikey (ou juste l'insertion ou via NFC, ça dépends comment tu souhaites là configurer).
    Mon mot de passe s'affiche avec un bouton « Copier ».

    Non vraiment, c'est pratique. Mais je ne me sers pas assez de mon portable pour avoir une vraie utilité à cette installation.


    Pour mes amis et ma famille, je conseil systématiquement l'usage du gestionnaire de mot de passe intégré via un mot de passe principal.
    Les plus exigeant sont comblés par la synchronisation via Firefox Sync. Les plus Geek pourront l'auto-héberger.
    L'algorithme derrière est AES 256, ce qui n'est pas le plus moderne, mais qui a été éprouvé et toujours considéré sûr.

    • [^] # Re: pass via Password Store

      Posté par  (site web personnel) . Évalué à 3 (+2/-0).

      Je fais ça aussi, mais je viens d'apprendre que PasswordStore n'était plus maintenu, ce qui est embêtant.
      Bon, j'espère qu'un fork sera fait par quelques belles âmes d'ici à ce que l'appli ne disparaisse ou devienne vraiment obsolète…

      La lumière pense voyager plus vite que quoi que ce soit d'autre, mais c'est faux. Peu importe à quelle vitesse voyage la lumière, l'obscurité arrive toujours la première, et elle l'attend.

  • # Passbolt ?

    Posté par  . Évalué à 10 (+9/-0).

    J'utilise KeePassXC, synchronisé via Syncthing sur LineageOS, et j'en suis très content. Très occasionnellement (au doigt mouillé, 1 à 2 fois par an) il y a un conflit de synchro car il m'arrive de modifier les bases sur plusieurs devices sans vérifier s'ils sont bien à jours de leurs synchro, mais dans ce cas les bases sont renommées, pas écrasées, donc aucune données n'est perdue).

    Pour le travail en équipe KeePassXC marche aussi très bien (plusieurs ouvertures parallèles de la même base ne pose pas de problème ; mais j'imagine que ça pourrait arriver si on était des centaines ?).

    Mais pour la granularité des permissions d'accès aux credentials, c'est tout ou rien.

    C'est pourquoi on envisage de passer à Passbolt. Mais comme on ne l'utilise pas encore en prod, je ne peux pas vraiment donner mon avis.

    • [^] # Re: Passbolt ?

      Posté par  . Évalué à 7 (+6/-0).

      J'utilise aussi KeePassXC qui fonctionne vraiment très bien.
      Pour les permissions, je fais des bases différentes et je les ouvre directement à partir de ma base perso. Soit directement via AutoOpen soit en les ouvrants à la main (un enregistrement qui pointe vers la base et je fais "ouvrir l'url" depuis keepass.
      Il suffit de donner aux utilisateurs les pass des bases dont ils ont besoin.

      Synchronisé avec Nextcloud ou autre cela fonctionne niquel.

    • [^] # Re: Passbolt ?

      Posté par  . Évalué à 4 (+1/-0). Dernière modification le 04 avril 2025 à 18:27.

      +1 Pour Keepass (comme KeepassXC). Sinon le coffre-fort Firefox, très bien aussi même si c’est bien évidemment réservé aux mots de passe pour le Web et qu’on ne peut pas, à ma connaissance, faire comme dans Keepass en doublant d’une clé le verrouillage du fichier (ie: en plus du mot de passe).

      J’étais sûr que quelqu’un aurait à coup sûr déjà cité ce logiciel (libre et multi-plateforme comme tout logiciel digne de ce nom) mais ceci a attiré mon attention dans le journal :

      L’ouverture du popup Bitwarden est beaucoup plus lente. Genre 5-6 secondes sur mon (excellent et moderne) Thinkpad contre moins d’une seconde avant.

      Dans KeepassXC (et possiblement l’autre Keepass) il y a un paramètre de « nombre de cycles de chiffrement ». Si j’ai bien compris c’est le fait de ne pas chiffrer/déchiffrer qu’une seule fois mais X fois, avec X plus ou moins grand.

      Titre de l'image

      Plus X est grand et plus cela va prendre du temps pour ouvrir le fichier, comme pour enregistrer une modification. Et c’est précisément le but de la manœuvre, car de fait, ça ralentira d’autant une éventuelle attaque par la force brut d’une personne qui aurait pu obtenir le fichier chiffré et qui voudrait pouvoir l’ouvrir sans posséder le mot de passe.

      Je me demande si le coffre-fort de mdp de l’auteur du journal ne ferait pas justement cela, d’où le temps qui est très long.
      Ceci étant dit, est-ce un réel problème un temps d’ouverture de quelques secondes pour un logiciel qui (àma) se lance une fois par jour, au moment où on en a besoin, et qu’on ne ferme qu’à la fin de sa session. Tu le fermes et relances à chaque fois toi ?

    • [^] # Re: Passbolt ?

      Posté par  . Évalué à 6 (+4/-0).

      J’utilise aussi KeepassXC.

      L’avantage pour moi, c’est le support de Secret Service qui me permet de stocker les mots de passe des applications desktop (genre aerc) et le support des clé ssh.

  • # Keepass

    Posté par  . Évalué à 5 (+5/-0).

    Bonjour,

    Perso, j'utilise Keepass/KeepassDX. Je synchronise le fichier de mdp (kdbx) entre mes différents appareils avec Syncthing.

    Après, l'intégration avec Firefox n'est pas parfaite, comme Jeanas, Keepass reste un backup de Firefox Sync que je continue à utiliser au quotidien.

  • # Mooltipass

    Posté par  . Évalué à 7 (+7/-0).

    Pour ma part, cela fait 6 ans que j'utilise un boîtier Mooltipass (open-hardware et opensource).

    L'avantage de ce boîtier est qu'il est reconnu comme un clavier et est donc utilisable sur n'importe quel périphérique.
    Si en plus, on installe l'extension pour navigateur et le logiciel "compagnon" moolticute, alors l'ensemble permet de:

    • détecter la création d'un compte et proposer la sauvegarde de l'identifiant et du mot de passe associé à cette URL
    • détecter les champs de connexion sur une page web et proposer la connexion si l'URL de la page correspond à une URL déjà enregistrée.

    Dans l'ensemble c'est pratique, il faut simplement penser à prendre son boîtier lors des déplacements …

    • [^] # Re: Mooltipass

      Posté par  . Évalué à 6 (+3/-0). Dernière modification le 04 avril 2025 à 21:14.

      Alors ça.. Miam. Élégante solution.
      Adopté, malgré l'aes256 seul, malgré le prix de 160€ et malgré son indispo actuelle. J'espère que la liste d'attente ne sera pas un plouf car "Sold out since Feb 08, 2024"

    • [^] # Re: Mooltipass

      Posté par  . Évalué à 4 (+1/-0). Dernière modification le 06 avril 2025 à 20:42.

      C’est sûrement le top mais que ce passe-t-il si le boîtier est 1. Perdu, ou 2. Détruit ?

      J’imagine que le réplicateur universel n’est pas fourni avec, du coup ça se réplique/sauvegarde pas.

      Quel est l’avantage de ce truc par rapport à une bête clé USB à 1,60 € avec un fichier chiffré (fichier Keepass ou plus standard (GPG, OpenSSL, …).

      Dans l'ensemble c'est pratique, il faut simplement penser à prendre son boîtier lors des déplacements …

      la clé USB elle peut être dupliquée. Même si la synchronisation est « à la mimine » et donc faite pas très régulièrement, au moins elle est faisable.

      Je pressens n’avoir rien compris à ce qu’est le boîtier dont tu parles parce que je vois pas l’intérêt. Et comme j’ai utilisé tout mon forfait Google pour la semaine je peux même pas chercher moi-même sur le oueb.

      • [^] # Re: Mooltipass

        Posté par  . Évalué à 3 (+3/-0).

        Pour faire une description concise et imprécise du système mais qui permet de comprendre ce qui le différencie d'une solution clés USB:

        • Le boîtier n'est qu'un "lecteur", il s'utilise avec une carte à puce et c'est sur cette carte que les données sont stockées.
        • Les données sont exportables pour soit les copier sur une autre carte, soit les stockés en tant qu'archive (cette opération ce fait via le logiciel moolticute).
        • En cas de trois échecs successif de saisi de code pin, les données stockées sur la carte à puce soit supprimées.

        Dans les faits, le boîtier peut-être détruit, tant qu'on possède la carte à puce ou l'archive alors on peut récupérer ses données.

        Pour ma part, une plus-value importante par rapport à une solution "clé USB" c'est l'intégration avec le navigateur et le remplissage automatique des champs de connexion.

  • # Firefox

    Posté par  . Évalué à 6 (+5/-0).

    Je n'ai jamais pris la peine de m'y pencher sérieusement… J'utilise donc le gestionnaire fournit par Firefox, et ça juste marche.

    • [^] # Re: Firefox

      Posté par  . Évalué à 3 (+0/-0). Dernière modification le 06 avril 2025 à 20:48.

      Anéfé. Mais on peut avoir besoin de stocker des mots de passe qui ne sont pas lié au Web, SSH par exemple. Ou vouloir utiliser ces mots de passe dans un terminal ou un autre programme.

      Si pour le second cas le coffre-fort FF peut faire l’affaire, pour le premier cas ça me semble plutôt compliqué, infaisable sans recours à une méthode tordue. Non ?

  • # Nextcloud passwords

    Posté par  . Évalué à 1 (+1/-0).

    J'utilise dans Nextcloud, l'application passwords.
    ça permet de les synchroniser sur le téléphone avec l'application Nextcloud Passwords

    • [^] # Re: Nextcloud passwords

      Posté par  . Évalué à 2 (+0/-0).

      Pareil (en complément de Firefox sync) pour des mots de passe liés a notre activité pro ou pour des mots de passe non liés au web, même si c'est moins pratique.

  • # extensions

    Posté par  (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 05 avril 2025 à 00:33.

    Les extensions d'autocompletion, c'est ergonomique, mais question sécurité ce n'est pas forcément la panacée.

    Je préfère faire manuellement mon copier/coller depuis mon gestionnaire de mot de passe même si c'est plus long en vidant le presse-papier juste après.

    • [^] # Re: extensions

      Posté par  . Évalué à 7 (+5/-0).

      tu le sais peut-être, mais keepassxc permet justement de définir une durée après laquelle le presse papier sera vidé lorsque tu copies un mot de passe depuis son interface…

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

      • [^] # Re: extensions

        Posté par  . Évalué à 1 (+0/-0).

        Bonjour,
        j'ai gardé 30 secondes, sur mon propre PC. Jusqu'à présent aucun intrus n'est entré chez moi sans permission.

        Sur un portable, ce serait 10 secondes maxi.

    • [^] # Re: extensions

      Posté par  (site web personnel, Mastodon) . Évalué à 9 (+8/-0).

      Les extensions d'autocompletion, c'est ergonomique, mais question sécurité ce n'est pas forcément la panacée.

      Au contraire, le remplissage automatique apporte un peu plus de sécurité : quand il ne se fait pas automatiquement, c'est un signe que quelque chose cloche. Deux exemples :

      1. Le remplissage automatique ne se fait que si l'URL du site visité correspond à celle enregistrée dans le fichier de mots de passe, ce qui protège efficacement contre les tentatives d'hameçonnage. C'est probablement superflu pour toi, qui lis sûrement l'URL avant de coller ton mot de passe. Mais si j'aide quelqu'un de moins attentif à ces détails, je vais lui recommander le remplissage automatique principalement pour cette raison, en expliquant que si le remplissage ne se fait pas, c'est un signe que le site visité n'est pas celui qu'il prétend être (ou bien que le site a légitimement changé d'adresse, mais en tout cas il y a une vérification à faire avant de lui donner son mot de passe).
      2. KeePassXC n'envoie les mots de passes qu'à un navigateur configuré à l'avance, et cette configuration se fait pour chaque fichier de mots de passe. Donc par exemple si tu as deux profils Firefox (disons un pour le travail, un autre pour le reste) et deux fichiers de mots de passe (suivant la même séparation pro/perso), chacun configuré pour communiquer avec le profil Firefox correspondant, tu réduis beaucoup le risque de mélanger les usages. Si tu navigues sur un site qui ne correspond pas au profil en cours d'utilisation, le mot de passe n'est pas rempli : c'est un bon rappel que tu es en train de mélanger tes profils.
      • [^] # Re: extensions

        Posté par  . Évalué à 7 (+5/-0).

        qui lis sûrement l'URL avant de coller ton mot de passe

        On peut faire des versions identiques de l'affichage, au pixel près, de deux URLs différentes. Il y a cet exemple avec apple.com, dans lequel le l était en fait un caractère cyrillique identique au l minuscule. Même en zoomant tu ne peux pas le voir. Il faut regarder l'URL non encodée. Au quotidien, on ne le fait pas trop.

        Deux URLs différentes qui semblent identiques

        Et donc pour ce genre de cas, le remplissage automatique est comme tu le dis un moyen très efficace de ne pas se tromper. Et même, je dois dire que j'ai pris l'habitude de passer par les liens stockés dans Bitwarden au lieu de taper les noms des sites. Ainsi, je me met en plus à l'abri d'une faute de frappe ou d'un moteur de recherche qui renvoie le mauvais site en premier.

        • [^] # Re: extensions

          Posté par  (site web personnel, Mastodon) . Évalué à 1 (+0/-0).

          Très bon à savoir merci. Je savais que ce type de piège à base d'URL ressemblante existait, mais je ne savais pas qu'on pouvait rendre l'URL identique au pixel près malgré différents caractères.

  • # Bitwarden extension

    Posté par  (Mastodon) . Évalué à 1 (+1/-0).

    J'utilise et recommande Bitwarden depuis quelques années : l'appli Android et l'extension Firefox. Je suis confiant dans la solution mais les changements récents de l’extension m'inquiètent un peu ; à trop bloater il ne faudrait pas introduire une faille de sécurité.

  • # Enpass

    Posté par  . Évalué à 1 (+1/-1). Dernière modification le 05 avril 2025 à 11:56.

    Personnellement, j'utilise Enpass depuis plusieurs années et j'en suis plutôt content. Il remplit automatiquement les infos de carte bleue sous Firefox (et Chrome sans doute)…

    Multi plateforme, pas libre, mais gratuit pour un usage personnel…

  • # KeePassXC local

    Posté par  . Évalué à 4 (+3/-0).

    Bonjour,
    j'utilise KeePassXC en mode local sur le PC, KeePassDX sur l'ordiphone. Les deux sont gérés indépendamment, rien ne transite sur un serveur quelconque.

    La seule saisie auto que je pratique c'est login+mot de passe, jamais pour les formulaires.

    La phrase de décodage de la base est gravée dans mon cerveau, le double est stocké dans le cerveau d'une personne de confiance -d'une redoutable mémoire.

  • # Extension Bitwarden

    Posté par  . Évalué à 6 (+4/-0).

    Bon, ils se sont rendus compte de leur erreur car, un peu après, un bouton "remplir" a fait son apparition. Mais cela reste nettement moins pratique.

    As-tu remarqué qu'il existe une option, un peu cachée, pour revenir partiellement au comportement d'avant ?
    Paramètres > Saisie automatique > Click items to autofill

    Je suis d'accord que globalement, la nouvelle version de l'UI de l'extension est une régression ergonomique.

  • # C'est...c'est ... c'est la mémoire !

    Posté par  . Évalué à 0 (+0/-2).

    Personnellement je n'ai toujours pas pris le virage "obligatoire" de la tendance des gestionnaires de MDP.

    Je me débrouille pour entretenir ma mémoire, en y incluant des chiffres, maj/min, et autres caractères spéciaux, avec quelques petites astuces pour ne pas à les apprendre par coeur, mais pour m'en souvenir facilement.

    Je pense être coupable de délit de non utilisation de gestionnaire de mdp, pour une vingtaine de mdp différents : parfois j'en oublie, et je fais une réinitialisation par email.

    • [^] # Re: C'est...c'est ... c'est la mémoire !

      Posté par  (site web personnel, Mastodon) . Évalué à 4 (+2/-0).

      Je faisais cela "avant", avec un petit algorithme basé sur le nom de domaine.

      Mais le nombre de mes mots de passe qui sont désormais dans la nature grâce aux failles de sécurité m’a fait dire qu’il serait désormais possible de reconstruire mon algorithme pour un attaquant motivé.

      Pire: mon algo donnait parfois des mots de passe similaires pour des URL différentes et certains sites importants pour moi se sont retrouvés avec des mots de passe apparaissant dans des bases de données piratées car utilisés sur d’autres sites. Ce qui signifiait qu’un attaquant lambda avait une chance non-négligeable de réussir à pirater certains de mes comptes rien qu’en utilisant le login/pass d’un vieux compte parti dans la nature.

      Désormais, j’utilise une adresse email et un mot de passe propre à chaque service (merci SimpleLogin). C’est plus sécurisé mais pas compatible avec ma cervelle de moineau ;-)

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: C'est...c'est ... c'est la mémoire !

        Posté par  (Mastodon) . Évalué à 4 (+1/-0).

        oui c'est ce que je faisais il y a 25 ans. Maintenant honnêtement je préfère du complètement aléatoire.

        Je préfère entrainer/maintenir ma mémoire en mémorisant les téléphones de mes proches et en tappant dans la mesure du possible les url de mémoire plutôt que d'utiliser les moteurs de recherches.

      • [^] # Re: C'est...c'est ... c'est la mémoire !

        Posté par  (site web personnel) . Évalué à 3 (+1/-0).

        Pour l’adresse mail, tu peux te faire une adresse par année plutôt que par service. C’est plus simple à gérer (ça demande moins d’adresses courriels), et tous les ans il suffit de supprimer l’alias de la plus ancienne pour couper en une fois tous les comptes qui auraient pu être créé cette année là (c’est aussi l’occasion de se poser la question des comptes que l’on veut conserver juste avant, je pense que cet aspect là devrait te plaire !).

        • [^] # Re: C'est...c'est ... c'est la mémoire !

          Posté par  (site web personnel, Mastodon) . Évalué à 3 (+1/-0).

          Non, cela ne fonctionne pas : une adresse par provider permet d’identifier la source de spam et de la couper immédiatement. Typiquement, les adresses pour réserver les hôtels, les restaurants, les musées. Dès que j’en sors, je la bloque parce que la plupart te relancent ensuite toutes les semaines.

          Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: C'est...c'est ... c'est la mémoire !

      Posté par  . Évalué à 2 (+0/-0). Dernière modification le 09 avril 2025 à 22:32.

      J'utilise régulièrement une trentaine de mots de passe et irrégulièrement faut ajouter plusieurs dizaines (ceux de la fac ou je donne cours une fois par an, mon assurance habitation, les impôts, etc). Faire du double OTP (le mail et un autre protocole OTP) reviens à n'avoir qu'un seul facteur et surtout ça rallonge inutilement les processus d'authentification.

      Et surtout, pour mémoriser même 10 mots de passe tu va très probablement limiter leur taille et l'ensemble des caractères que tu utilises.

      Tout ça pour ne pas vouloir utiliser un outil dont il en existe des dizaines il y en a forcément un qui correspond à tous tes critères si on ommet "je veux pas". Et à toi les mots de passe de 20 caractères minimum avec des alphabets vénèrent.

      Le retour sur investissement est nécessairement positif. Tu économise ta flemme en ne procrastinant pas ça. Ce serait comme dire que j'ai la flemme d'utiliser un anti vol alors qu'il me suffit de garder mon vélo sous mes yeux.

      C'est un conseil, tu fais bien ce que tu veux, mais je ne peux que te conseiller d'en utiliser un

      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.