Firefox, Thunderbird et les mots de passe...

[Stromovik]

Combien de fois en dépannage je retrouve dans Firefox en deux clicks de souris les mots de passe de mes clients....banques, forums, bases de données tout est là, les gens ne s'en rendent pas compte comme on peut pirater leurs données facilement grâce à ça...

Et Thunderbird, suffit de qq. fichiers à copier et de les coller sur un autre pc pour avoir accès aux mails de la victime ( il ne redemande pas les mdp des comptes sur une nouvelle ou une installation existante de Thunderbird)

Linux ne craint soi-disant rien au niveau virus, mais ces deux exemples que je viens de vous donner sont interpellant....et si Linux est en béton, faut quand même rester vigilant avec les progs qu'on emploi tous les jours

Essayez d'employer keepass pour les stocker...vos mots de passe , il fonctionne très bien sur Firefox (win et Linux) avec le plug-in Keefox, et évitez de mettre le même mdp partout (c'est ce que je répète autour de moi depuis des lustres...mais autant pisser dans un violon) Keepass a un générateur configurable pour les mdp, ça facilite les choses...

[arghlub]

Essayez d'employer keepass pour les stocker...vos mots de passe , il fonctionne très bien sur Firefox (win et Linux) avec le plug-in Keefox, et évitez de mettre le même mdp partout (c'est ce que je répète autour de moi depuis des lustres...mais autant pisser dans un violon) Keepass a un générateur configurable pour les mdp, ça facilite les choses...

Euh ouais mais sans l'extension pour Firefox, plus d'intermédiaire nuit à la sécu.... sais-tu ce que fait keeFox de tes MdP (par où ça transite?)
J'utilise Keepass depuis des années mais surtout sans extension qui viennent piocher dedans

[slug]

thunderbird c'est vrai qu'on peut chopper ses mdp de mail en un clic en passant par edition/pref/secu..
perso les mdp je les met sur un petit carnet toujours placé au meme endroit à porté de main chez moi, et de toute façon je les ai en tete, c'est surtout quand j'en change que j'utilise le carnet, mais sinon jamais je n'autorise , la sauvegarde de mes mdp, que ça soit sur firefox,sites (meme les plus securisé) et ce meme en etant sous OS Linux..

[mpedro]

(Pour Thunderbird les mots de passe sont stockés en clair et accessible depuis les paramètres de comptes). Et Thunderbird peut-être installés dans un fichier chiffré. http://jd97290.free.fr/pluxml_typebased ... rypt-en-10" onclick="window.open(this.href);return false;

Perso j'ai crée un fichier crypté .odt à l'aide de truecrypt pour retrouver tout les mots de passe.
Dans ce genre avec la possibilté de cliquer sur le lien Url pour retrouver directement la page de connexion.
Ex :
Title: coyotus.com/forum.php
Username: tanche
Url: http://www.coyotus.com/forum.php" onclick="window.open(this.href);return false;
Password: hrftrytr2
Comment:

[Stromovik]

Euh ouais mais sans l'extension pour Firefox, plus d'intermédiaire nuit à la sécu.... sais-tu ce que fait keeFox de tes MdP (par où ça transite?)
J'utilise Keepass depuis des années mais surtout sans extension qui viennent piocher dedans

C'était un exemple pour les fainéants , j'ai testé Keefox mais pas adopté par sécurité, les raccourcis de Keepass me suffisent

[tioker]

Je ne suis pas sûr mais ...

J'ai utilisé keepass un temps. Le problème c'est qu'il utilise une base locale; c'est à dire que le fichier crypté est à un et un seul endroit ... sauf à le dupliquer.
Je l'avais mis sur une ressource accessible par le net (protégée) mais c'est pas toujours facile quand on n'est pas chez soi d'y avoir accès.

Pour le carnet papier j'espère que c'est une blague.

Depuis quelques temps déjà j'ai Lastpass. L'avantage est qu'on peut (ou non) l'interfacer avec les navigateurs, que sa base est cryptée (normal) mais surtout que c'est décentralisé. Moi je l'ai paramétré avec une double authentification (genre Google Authenticator).
La ayatollah de la sécurité diront que c'est ailleurs, donc pas si sécurisé que ça. Mais moi, entre mon téléphone, les Chromebook de la famille, le Mac, le Windows et Linux je savais plus où donner de la tête.

Maintenant si on enregistre les mots de passe dans la navigateur (à proscrire), si on ne crypte pas son Thunderbird, si on ne verrouille pas sa session avant de quitter l'ordinateur (au travail ou dans un environnement public), ça peut craindre.
D'ailleurs, un temps, j'avais un utilitaire qui permettait à l'aide d'une liaison Bluetooth entre un smartphone et un PC de détecter que le téléphone n'était plus à portée et alors ... on verrouillait la session.
Et puis, dans une boîte où j'ai travaillé, quand quelqu'un partait sans verrouiller sa session, on utilisait son mail pour envoyer de conneries aux copain[e]s ... le prix à payer par l'étourdi était croissants pour tout le monde le lendemain matin; ça contribue à rester vigilent ...

Voilà. Pour Lastpass y'en a d'autres sur le même style. Et keepass je l'ai quitté pour les raisons invoquées.

Ah oui, j'utilise la double authentification pour tout ce qui le permet. Double authentification qui nécessité la lecture de mon empreinte digitale (iPhone). Pour mon NAS, mes comptes Google, Dropbox, Lastpass, Microsoft ... mais je rêve (il suffirait que je cherche) de pouvoir m'authentifier par une carte à puce ou un genre comme ça. J'ai mis sur mon Linux un lecteur d'empreinte digitale mais c'est parfois fastidieux. Et un carte à puce c'est plus sécurisant ... en double authentification bien sûr.

[arghlub]

Et sur ton chromeBook Google : authentification empreinte digitale (t'es sur des données qu'envoient ton ChromeBook, vu que le code est fermé) ???

[tioker]

Ben pourquoi pas ?

Boîte à camembert !!!!

[arghlub]

si c'est mychromebook.fr qui le dit

[tioker]

Ceci dit je fais le fanfaron mais...
Quand j'ai appris que Tesla avait à distance débridé l'autonomie de ses véhicules pour que les heureux propriétaires puissent fuir l'ouragan Irma, c'est pas avec ma double authentification ou mon pousse droit que je vais faire le poids. Et si ils peuvent augmenter l'autonomie, je pense qu'ils peuvent aussi la diminuer ..
La sécurité à mon niveau c'est pour me prémunir de mon voisin mal intentionné ou du malfrat du coin.
Pour les hackeurs (officieux ou officiels) je ne fais pas le poids. Mais chez moi c'est pas la Banque de France ...