League of Legends, Last.fm et Linkedin hackés cette semaine. C’est VRAIMENT le moment d’utiliser 1password (the best) ou autre (Lastpass / Keepass (beurk) ) et d’avoir UN mdp par site !
Je partage mon expérience :
Je pensais être à la pointe du progrès et puis en décembre compte battlefield3 hacké + compte pro (pour recheche d’emploi). D’abord je dois avouer j’ai été très vexé car ces conneries normalement ca n’arrivait qu’aux autres mais pas a moi. Donc leçon d’humilité… ( nom de dieu!!)
Ensuite je suis vite retombé sur mes pieds car mon compte principal était protégé par un authenticator Google et donc les resets se sont bien passés… plus de peur que de mal.
Formaté PC, reinstallé Windows 7, recherché le meilleur antivirus selon les tests indépendants (un truc allemand G-data qui a un double engine qui couple Bitdefender et Avast) et mis en place un mot de passe centralisé par Lastpass. Je n’étais satisfait, alors j’ai poussé le vice a acheter un système supplémentaire pour Lastpass, j ai pris un authenticateur physique Yubikey, et la je dors tranquille.
J’ai un backup windows qui date de 2h apres l’install et en cas de doute je le recopie de suite.
J’ai aussi bien lu la procédure de recouvrement de Google et Yahoo pour tous mes comptes (sisi y en a une qu’il faut bien connaître et répéter quand tout va bien pour bien comprendre et se rappeler le jour ou ca compte!).
Il y a 2 jours, je vois la news de Linkedin… pas de probleme, je fais un audit de mes mots de passe sur Lastpass et le programme me dit que 2 autres sites utilisaient le meme password que pour Linkedin et donc j’ai changé les 3 pour des passwords uniques. Voila, ca se gère la sécurité.
et si vous êtes vraiment parano, il est aussi possible d’installer Ubuntu sur une clé USB en lecture seule (web/lastpass/flash/video tout marche bien) mais ca peut vous sauver la vie si vous n’avez aucune partition windows totalement sure et qu’il faut changer des passwords en urgence sans prendre le temps de formater et d’installer Windows.
C’est pas que je sois parano, mais finalement je suis en train d’y passer, de changer petit à petit mes pwd les plus sensibles et je viens de me prendre un licence (avec le coupon filé sur Twitter)
Je pense qu’avec ça + le calepin, il n’y a rien de trop.
je capte pas bien l’intérêt de 1password dans le sens où si lui se fait hacké c’est le même soucis, tu perds tous tes passwords.
En tout cas moi aussi j’ai cahngé tous mes pass par des strongs impossible à retenir que je centralise quelque part (protégé par un pass aussi)
1password ne peut pas être hacké comme ça : les passwords sont tous codés, les fichiers cryptés en local OU sur Dropbox, lui même codé. Ce qu’il apporte c’est la possibilité de pouvoir tout rentrer en 1 clic quand t’arrives sur un site web. Ca fait plus de 2 ans que je l’utilise, j’étais sur Keepass y’a 10 ans ou presque, je confirme que c’est ultra confort. ET sécurisé. ;)
Hum ! Vous allez peut-être bien finir par me convaincre.
question : Si on est 2 sur le pc avec chacun ses pass pour grosso modo les même sites (gmail etc). ça se passe comment ?
Tu me donnes bien envie de passer sur une solution du type 1password. Cependant comme cela requiert une install, si tu payes pas pour tout (j’ai ios, osx, win, android (ok c’est pas malin)) comment tu accèdes sur la plateforme qui n’a pas le 1 pass ? Vu que c’est 1pass qui génère ton pass ?
Je vais encore faire ma retape pour lastpass, mais vu la qualité (très moyenne) du plugin 1password pour Chrome, si vous avez assez confiance pour laisser vos données (cryptées) dans le cloud, donnez sa chance à Lastpass.
Une fois tweaké (j’ai dégagé la plupart des notifications et ajouté des raccourcis clavier), il est aussi puissant que 1password (et il est gratuit pour ceux qui ne veulent pas de version mobile).
12€ par an pour avoir l’appli iPhone, c’est supportable :)
Bonus point: ils savent ce que c’est de se faire hacker, ça leur est arrivé l’an dernier. Et bah ils ont bien réagi (être parano, prévenir tout le monde, lancer un script chez eux pour détecter qui aurait pu avoir un password trop simple, ajouter le Google Authenticator).
Donc si vous cherchez un truc qui ne tourne que dans un navigateur, et que vous avec Chrome (ou firefox, de tête leur extension firefox est meilleure, mais celle de 1password aussi), jetez-y un oeil.
Aucun souci avec le plugin Chrome pour ma part (Windows et OSX). Il est tellement pratique que j’ai jamais lancé le soft en fait. C’est quoi que tu lui reproches ?
Il détecte moins bien les champs de Login sites sur lesquels je passe que LastPass, et il est super minimaliste (dans le mauvais sens du terme). Je l’ai enlevé depuis, mais je n’ai pas trouvé comment lui donner ces infos.
Par contre, leur générateur de passwords est mieux que celui de LastPass (les pass « prononçables » sont mieux foutus).
Cela dit, c’était surtout pour dire que l’alternative « gratuite » s’était vachement améliorée.
Ce n’est tout de même pas difficile de « retenir » un mot de passe pour chaque site. Et de crypter mentalement ce mot de passe (le lien de N’usul est un bon exemple).
Votre cerveau est le meilleur logiciel pour ne pas vous faire hacker :D (peut-être un jour ?)
Si ton cerveau sait retenir une grosse 50aine de mots de passes sécurisés sans être « une racine, un tiret, les initiales du site » tant mieux pour toi :D
Je partage mon expérience :
Je pensais être à la pointe du progrès et puis en décembre compte battlefield3 hacké + compte pro (pour recheche d’emploi). D’abord je dois avouer j’ai été très vexé car ces conneries normalement ca n’arrivait qu’aux autres mais pas a moi. Donc leçon d’humilité… ( nom de dieu!!)
Ensuite je suis vite retombé sur mes pieds car mon compte principal était protégé par un authenticator Google et donc les resets se sont bien passés… plus de peur que de mal.
Formaté PC, reinstallé Windows 7, recherché le meilleur antivirus selon les tests indépendants (un truc allemand G-data qui a un double engine qui couple Bitdefender et Avast) et mis en place un mot de passe centralisé par Lastpass. Je n’étais satisfait, alors j’ai poussé le vice a acheter un système supplémentaire pour Lastpass, j ai pris un authenticateur physique Yubikey, et la je dors tranquille.
J’ai un backup windows qui date de 2h apres l’install et en cas de doute je le recopie de suite.
J’ai aussi bien lu la procédure de recouvrement de Google et Yahoo pour tous mes comptes (sisi y en a une qu’il faut bien connaître et répéter quand tout va bien pour bien comprendre et se rappeler le jour ou ca compte!).
Il y a 2 jours, je vois la news de Linkedin… pas de probleme, je fais un audit de mes mots de passe sur Lastpass et le programme me dit que 2 autres sites utilisaient le meme password que pour Linkedin et donc j’ai changé les 3 pour des passwords uniques. Voila, ca se gère la sécurité.
Donc les liens :
http://lastpass.com/
http://www.yubico.com/yubikey
http://www.gdatasoftware.com/
Google Authenticator: http://support.google.com/accounts/bin/answer.py?hl=en&answer=1066447
et si vous êtes vraiment parano, il est aussi possible d’installer Ubuntu sur une clé USB en lecture seule (web/lastpass/flash/video tout marche bien) mais ca peut vous sauver la vie si vous n’avez aucune partition windows totalement sure et qu’il faut changer des passwords en urgence sans prendre le temps de formater et d’installer Windows.
Good luck
iom
C’est pas que je sois parano, mais finalement je suis en train d’y passer, de changer petit à petit mes pwd les plus sensibles et je viens de me prendre un licence (avec le coupon filé sur Twitter)
Je pense qu’avec ça + le calepin, il n’y a rien de trop.
je capte pas bien l’intérêt de 1password dans le sens où si lui se fait hacké c’est le même soucis, tu perds tous tes passwords.
En tout cas moi aussi j’ai cahngé tous mes pass par des strongs impossible à retenir que je centralise quelque part (protégé par un pass aussi)
1password ne peut pas être hacké comme ça : les passwords sont tous codés, les fichiers cryptés en local OU sur Dropbox, lui même codé. Ce qu’il apporte c’est la possibilité de pouvoir tout rentrer en 1 clic quand t’arrives sur un site web. Ca fait plus de 2 ans que je l’utilise, j’étais sur Keepass y’a 10 ans ou presque, je confirme que c’est ultra confort. ET sécurisé. ;)
Hum ! Vous allez peut-être bien finir par me convaincre.
question : Si on est 2 sur le pc avec chacun ses pass pour grosso modo les même sites (gmail etc). ça se passe comment ?
je m’auto répond : J’avais pas vu la licence « Familly »
² winny : donc tu t’es fait ton propre 1Password :p
Keepass + Firefox avec Hostname in titlebar
Keepass + Chrome avec Host in Title
Bon le client MAC n’existe pas … mais c’est ok pour tout le reste. Et puis avant de cracker un keepass :)
Hep caf’,
Tu me donnes bien envie de passer sur une solution du type 1password. Cependant comme cela requiert une install, si tu payes pas pour tout (j’ai ios, osx, win, android (ok c’est pas malin)) comment tu accèdes sur la plateforme qui n’a pas le 1 pass ? Vu que c’est 1pass qui génère ton pass ?
Merci
Tu peux te contenter d’une seule version en fait, l’important ce sont les plugins pour ton browser. Je ne lance quasiment jamais l’exécutable.
Ah bonne nouvelle.
Mais si tu dois te connecter sur un ordi externe (genre chez un pote)? Pas de soucis ?
Au pire tu regardes sur ton portable sinon tu check sur le site, y’a une manip je crois (si tu synch en dropbox).
Yep, merci pour l’info. Du coup j’ai pu un peu mieux chercher et c’est là http://help.agilebits.com/1Password3/1passwordanywhere.html et plutôt bien foutu. Je vais me le prendre.
Thanks !
Dashlane !
http://xkcd.com/936/
tout est dit là :)
Je vais encore faire ma retape pour lastpass, mais vu la qualité (très moyenne) du plugin 1password pour Chrome, si vous avez assez confiance pour laisser vos données (cryptées) dans le cloud, donnez sa chance à Lastpass.
Une fois tweaké (j’ai dégagé la plupart des notifications et ajouté des raccourcis clavier), il est aussi puissant que 1password (et il est gratuit pour ceux qui ne veulent pas de version mobile).
12€ par an pour avoir l’appli iPhone, c’est supportable :)
Bonus point: ils savent ce que c’est de se faire hacker, ça leur est arrivé l’an dernier. Et bah ils ont bien réagi (être parano, prévenir tout le monde, lancer un script chez eux pour détecter qui aurait pu avoir un password trop simple, ajouter le Google Authenticator).
Donc si vous cherchez un truc qui ne tourne que dans un navigateur, et que vous avec Chrome (ou firefox, de tête leur extension firefox est meilleure, mais celle de 1password aussi), jetez-y un oeil.
Aucun souci avec le plugin Chrome pour ma part (Windows et OSX). Il est tellement pratique que j’ai jamais lancé le soft en fait. C’est quoi que tu lui reproches ?
Il détecte moins bien les champs de Login sites sur lesquels je passe que LastPass, et il est super minimaliste (dans le mauvais sens du terme). Je l’ai enlevé depuis, mais je n’ai pas trouvé comment lui donner ces infos.
Par contre, leur générateur de passwords est mieux que celui de LastPass (les pass « prononçables » sont mieux foutus).
Cela dit, c’était surtout pour dire que l’alternative « gratuite » s’était vachement améliorée.
Sur 1password j’ai jamais eu de prob oO
Ce n’est tout de même pas difficile de « retenir » un mot de passe pour chaque site. Et de crypter mentalement ce mot de passe (le lien de N’usul est un bon exemple).
Votre cerveau est le meilleur logiciel pour ne pas vous faire hacker :D (peut-être un jour ?)
Si ton cerveau sait retenir une grosse 50aine de mots de passes sécurisés sans être « une racine, un tiret, les initiales du site » tant mieux pour toi :D