Est-ce que le gestionnaire de mot de passe de Firefox est sûr ?

Le problème exposé dans ce sujet a été résolu.

Hello,

Je ne sais plus depuis quelle version Firefox chiffre les mots de passe enregistrés mais, plus généralement, j’ai beaucoup de mal à faire confiance à un service tiers pour conserver mes identifiants.

La question est donc la suivante: mon préjugé est-il fondé ? Est-ce que le concept même de gestionnaire de mdp dialoguant avec le "reste du monde" est sûr ?

Jusqu’ici tout mes mots de passe se trouvent dans un carnet ainsi qu’un classeur, mais si je pouvais m’en passer ça m’arrangerait.

Merci d’avance pour vos réponses ! :)

+1 -0

Si tu ne mets pas de mot de passe maître (Master Password) alors c’est comme si c’était enregistré en claire. Les mots de passe ne sont pas synchronisés (à part si tu le demandes explicitement en créant un compte Firefox).

L’algorithme utilisé par Mozilla est 3DES (Triple DES). Ce qui n’est, relativement aux concurrents, pas super sûr.

Bref, c’est triste à dire mais la sécurité des gestionnaires de mot de passe des navigateurs web est quasi nul.

Chrome utilise un système qui dépend de l’OS sur lequel il tourne. Globalement sûr si bien configuré sous Linux, mais absolument pas sûr sous Windows. Je ne sais pas pour ce qui est de la synchronisation.

Utilise un gestionnaire de mot de passe annexe non synchronisé avec un service tiers. Je ne connais pas bien les logiciels qui existent cependant, j’ai mon mien (Unix seulement) il me convient très bien.

PS: J’ai oublié de préciser. J’ai aussi entendu parler d’un problème avec la génération des clés utilisés par 3DES. Mais je ne sais pas à quel point c’est sérieux. Dans le doute, je ne recommande pas.

+2 -0

Je ne comprends pas trop le risque si on utilise un mot de passe maître fiable.
Dans quels cas cela pourrait-il être dangereux ?

CH4

Si le mot de passe maître est fiable, c’est bien mais ça ne change pas grand chose.

Triple DES, utilise une clé de taille fixe de 168bits (dont 112 utiles). L’algorithme est lui même dépassé. Même si je n’ai jamais entendu parlé de méthode permettant de facilement cassé du 3DES, le DES sur lequel il est basé se crack en une poignée d’heures de nos jours.

Bref, le 3DES est suffisamment sûr pour l’instant fasse à un hacker solitaire mais se confronte à de grosses limites qui ne le rende pas pérenne. Couplé à la génération des clés qui est douteuse (utilisation de SHA-1 basé sur le mot de passe maître + sel). Fasse à la concurrence qui propose AES-256, y a pas photo.

+0 -0

Oups, je croyais avoir répondu depuis hier.

Merci pour vos interventions, je vais chercher un gestionnaire de mot de passe non-intégré et qui tient un minimum la route.

edit: Quoi que avec le lien de @AmarOk, ça me tenterait bien d’essayer avec des identifiants non-critiques pour le moment.

Bonne journée/soirée à vous !

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte