Est-ce que le gestionnaire de mot de passe de Firefox est sûr ?

L’auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Hello,

Je ne sais plus depuis quelle version Firefox chiffre les mots de passe enregistrés mais, plus généralement, j’ai beaucoup de mal à faire confiance à un service tiers pour conserver mes identifiants.

La question est donc la suivante: mon préjugé est-il fondé ? Est-ce que le concept même de gestionnaire de mdp dialoguant avec le "reste du monde" est sûr ?

Jusqu’ici tout mes mots de passe se trouvent dans un carnet ainsi qu’un classeur, mais si je pouvais m’en passer ça m’arrangerait.

Merci d’avance pour vos réponses ! :)

The most inflated egos are often the most fragile.

+1 -0

Cette réponse a aidé l’auteur du sujet

Si tu ne mets pas de mot de passe maître (Master Password) alors c’est comme si c’était enregistré en claire. Les mots de passe ne sont pas synchronisés (à part si tu le demandes explicitement en créant un compte Firefox).

L’algorithme utilisé par Mozilla est 3DES (Triple DES). Ce qui n’est, relativement aux concurrents, pas super sûr.

Bref, c’est triste à dire mais la sécurité des gestionnaires de mot de passe des navigateurs web est quasi nul.

Chrome utilise un système qui dépend de l’OS sur lequel il tourne. Globalement sûr si bien configuré sous Linux, mais absolument pas sûr sous Windows. Je ne sais pas pour ce qui est de la synchronisation.

Utilise un gestionnaire de mot de passe annexe non synchronisé avec un service tiers. Je ne connais pas bien les logiciels qui existent cependant, j’ai mon mien (Unix seulement) il me convient très bien.

PS: J’ai oublié de préciser. J’ai aussi entendu parler d’un problème avec la génération des clés utilisés par 3DES. Mais je ne sais pas à quel point c’est sérieux. Dans le doute, je ne recommande pas.

Édité par ache

ache.one                 🦹         👾                                🦊

+2 -0
Auteur du sujet

Mmm ok… Ca me paraît fou de voir des fonctionnalités pareilles dans des navigateurs mainstream alors qu’il n’y a aucun garde-fou derrière.

Merci pour tes précisions, je vais continuer à chercher un gestionnaire de mdp non-intégré.

Bonne journée ! ^^

The most inflated egos are often the most fragile.

+0 -0

Je ne comprends pas trop le risque si on utilise un mot de passe maître fiable.
Dans quels cas cela pourrait-il être dangereux ?

CH4

Si le mot de passe maître est fiable, c’est bien mais ça ne change pas grand chose.

Triple DES, utilise une clé de taille fixe de 168bits (dont 112 utiles). L’algorithme est lui même dépassé. Même si je n’ai jamais entendu parlé de méthode permettant de facilement cassé du 3DES, le DES sur lequel il est basé se crack en une poignée d’heures de nos jours.

Bref, le 3DES est suffisamment sûr pour l’instant fasse à un hacker solitaire mais se confronte à de grosses limites qui ne le rende pas pérenne. Couplé à la génération des clés qui est douteuse (utilisation de SHA-1 basé sur le mot de passe maître + sel). Fasse à la concurrence qui propose AES-256, y a pas photo.

ache.one                 🦹         👾                                🦊

+0 -0
Auteur du sujet

Oups, je croyais avoir répondu depuis hier.

Merci pour vos interventions, je vais chercher un gestionnaire de mot de passe non-intégré et qui tient un minimum la route.

edit: Quoi que avec le lien de @AmarOk, ça me tenterait bien d’essayer avec des identifiants non-critiques pour le moment.

Bonne journée/soirée à vous !

Édité par Songbird

The most inflated egos are often the most fragile.

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte