web-dev-qa-db-fra.com

Gestionnaire de mots de passe: plus sûr sur ordinateur portable ou smartphone?

Je veux recommander un gestionnaire de mots de passe à mes amis et à ma famille non techniques et les aider à le configurer et à l'utiliser. L'une des décisions que je dois prendre est de savoir si je recommande celle qui fonctionne sur les ordinateurs portables ou celle qui fonctionne sur les smartphones.

Smartphones:

  • Avoir une bien meilleure isolation des applications. C'est de loin le plus gros avantage.
  • Sont transportés partout, ce qui élimine le besoin de même envisager un gestionnaire de mots de passe en ligne car les gens ont toujours déjà accès à leur gestionnaire de mots de passe.
  • Sont une douleur à démonter. Lorsque les attaques de démarrage à froid contre les ordinateurs de bureau et les ordinateurs portables sont extrêmement rares, je les considérerais encore plus rares contre les smartphones.
  • Sont difficiles à taper, limitant la durée d'un mot de passe principal. D'un autre côté, la plupart des non-techniciens ne tapent probablement pas très vite sur les ordinateurs non plus.
  • Pas un seul gestionnaire de mot de passe de smartphone ne permet de générer des mots de passe, qui sont beaucoup plus faciles à saisir dans un ordinateur qu'un mot de passe aléatoire, tout en étant tout aussi sécurisé. (5 mots aléatoires (dictionnaire de 43k mots) contiennent 75 bits d'entropie, 12 caractères (alphanumériques, casse mixte) contiennent 70 bits).

Portables:

  • Peut être compromis en cliquant sur la mauvaise chose lors de la navigation. J'ai l'impression que les smartphones n'ont pas autant ce problème, et même si quelqu'un installe une mauvaise application dans le magasin, elle devrait être isolée.
  • Autorisez la copie du mot de passe plutôt que de le taper à partir d'un smartphone, ce qui permet des mots de passe plus forts. (Je m'attends à ce que 90% du temps, les gens se connectent à un compte sur leur ordinateur portable, pas sur leur smartphone.)
  • Ayez plus de gestionnaires de mots de passe disponibles. Pour les smartphones, il y a exactement n gestionnaire de mot de passe open source approprié alors que pour les ordinateurs portables, j'en connais plusieurs.

Je conclus que les smartphones ont un léger avantage, mais je dois trouver une solution pour générer des phrases de passe, idéalement en utilisant un clavier personnalisé afin de ne pas les passer dans le presse-papiers.

Ai-je oublié des considérations (importantes)?

36
Luc

Je ne comprends pas pourquoi vous ne voulez pas d'un gestionnaire de mots de passe qui fonctionne sur les deux? Vos amis non techniques qui n'utilisent pas encore de gestionnaire de mots de passe sont trop limités par vos besoins. Vous semblez fonctionner en mode paranoïaque. Vos amis veulent quelque chose de pratique.

Si vous pouvez les faire passer à Lastpass, ce sera une énorme amélioration par rapport à leur sécurité actuelle.

  • Il peut être partagé gratuitement sur téléphone et ordinateur portable maintenant.
  • Il a 2FA, ce qui est probablement déjà beaucoup trop compliqué pour beaucoup et très gênant, mais il a cette option. S'il est correctement configuré, il empêche les connexions à partir d'ordinateurs inconnus.
  • Lastpass a sa propre application 2FA, ce qui la rend encore plus facile.
  • Si quelqu'un se connecte depuis un autre emplacement, vous recevez un e-mail à ce sujet.
  • La connexion peut être limitée à certains pays.

NB: Je ne veux pas limiter cela à Lastpass. D'autres gestionnaires de mots de passe comme 1Password ont probablement le même bonus. Je ne les utilise pas, alors je ne sais pas. Keepass est une option hors ligne, mais le partage de la base de données dans Dropbox ou Google Drive le rend en ligne, mais encore plus difficile à utiliser.

Quelques questions:

  • Quelle est votre objection à Lastpass ou à des solutions similaires? Je ne dis pas que vous devez l'utiliser. C'est pour vos amis, qui doivent renforcer leur sécurité pour utiliser quelque chose au lieu de rien. Lastpass est à mon avis beaucoup plus sûr que rien.
  • Pourquoi ne mentionnez-vous pas les gestionnaires de mots de passe que vous envisagez? Cela rendrait cette discussion beaucoup plus significative!
  • Qu'est-ce que c'est de choisir entre un ordinateur portable et un téléphone? Je ne peux donc pas utiliser sur le téléphone des mots de passe que j'utilise sur l'ordinateur portable? Si vos amis se connectent à Facebook, ils en ont besoin à la fois sur le téléphone et l'ordinateur portable!
  • Les non-techniciens peuvent taper à des vitesses incroyables! Plus bas dans votre question, vous parlez de mots de passe composés de mots normaux. La plupart des gens peuvent taper des mots normaux à des vitesses normales.

Je crains que votre solution ne soit rejetée la première fois où les inconvénients tournent laide. Soyez sage et choisissez le compromis!

41
SPRBRN

Divulgation: Je travaille pour AgileBits, les créateurs de 1Password.

Générateur de mots de passe sur mobile

Pas un seul gestionnaire de mot de passe pour smartphone ne permet de générer des phrases secrètes

1Password fonctionne sur iOS, mais pas dans 1Password sur Android.

Les mots sont choisis de manière aléatoire et uniforme dans une liste d'environ 18 400 mots anglais de 3 à 8 lettres.

Si je peux me vanter un peu, ma prétendue réputation de gloire est de raviver l'intérêt pour Diceware - comme des générateurs, avec un blog il y a six ans qui a inspiré ne certaine bande dessinée XKCD . Le schéma particulier que nous utilisons aujourd'hui dans 1Password a été présenté à PasswordsCon en 2015.

Éviter le presse-papiers

... afin qu'ils n'aient pas à passer dans le presse-papiers.

Sur Android, 1Password propose un presse-papiers personnalisé, mais je ne pense pas qu'il fasse tout ce que vous voulez. Sur iOS, nous (et d'autres gestionnaires de mots de passe) utilisons des extensions d'application pour permettre l'intégration avec des applications qui permettent l'utilisation de ces extensions. Mais aucune de ces solutions n'est complète.

Il s'agit d'un problème difficile auquel tous les gestionnaires de mots de passe sont confrontés et traités de différentes manières. Sur les ordinateurs portables, la plupart des gestionnaires de mots de passe utilisent des extensions de navigateur qui parlent d'une manière ou d'une autre avec les données de mot de passe réelles. (Le "en quelque sorte" diffère parmi les gestionnaires de mots de passe, avec des avantages et des inconvénients pour chaque approche.)

Sur mobile, l'application sandboxing (une bonne chose pour la sécurité) rend cela plus difficile. Une chose que nous avons pris soin de faire est de ne pas utiliser le presse-papiers sans qu'il soit clair pour l'utilisateur que c'est ce qui se passe. Autrement dit, nous n'utilisons pas silencieusement le presse-papiers.

Encore une fois, personne n'a de solution parfaite, et nous abordons tous le même genre de problèmes difficiles légèrement différemment.

Plateformes

La question fait un excellent travail pour évaluer les avantages et les inconvénients du mobile par rapport à l'ordinateur portable, y compris la sécurité de l'utilisation d'un gestionnaire de mots de passe sur la plate-forme, mais le reste des détails semble supposer que pour le mobile, vous ne considérez que Android. Cela me semble étrange. Google a fait d'énormes progrès pour aider les gens à éviter les logiciels malveillants et à aider les gens à mettre à jour leurs systèmes, mais Apple est encore beaucoup mieux à cet égard.

Autant que je suppose que vous détestez le cloud, les gens voudront que leurs données de mot de passe soient disponibles sur tous les systèmes qu'ils utilisent. Le fait d'avoir un gestionnaire de mots de passe sur un seul de ces systèmes va laisser les gens dans la même position qu'aujourd'hui. Ils continueront à réutiliser des mots de passe relativement faibles à moins que leur gestionnaire de mots de passe ne fonctionne pour eux là où ils travaillent.

Et cela nous amène à ...

Convivialité

Vous êtes à la recherche d'un gestionnaire de mots de passe pour "amis et famille non technophiles". La convivialité est plus qu'une simple interface utilisateur. Il s'agit de concevoir des choses qui fonctionnent avec le grain de la façon dont les gens fonctionnent plutôt que contre le grain. Il ne s'agit pas d'une question "convivialité contre sécurité", mais de faciliter le comportement des gens en toute sécurité plutôt qu'en toute sécurité.

Si vous voulez que les gens utilisent réellement le système que vous avez configuré pour eux, vous devez prendre tout cela en compte.

Caractéristiques invisibles

Les gestionnaires de mots de passe sont confrontés aux mêmes problèmes et nous proposons souvent des solutions similaires. Mais il existe encore des différences importantes sous le capot. Ce qui compte comme "métadonnées" est une chose. Ce qu'un service peut apprendre sur le comportement de ses utilisateurs en est une autre. Quelles défenses il offre s'il y a un compromis sur le serveur. Quelles sont les défenses contre la falsification des données, et bien d'autres. Ces types de choses ne sont généralement pas visibles pour les utilisateurs (ou même pour de nombreuses personnes qui examinent les gestionnaires de mots de passe).

Je vous encourage à regarder ce genre de choses. Le Livre blanc sur la sécurité de 1Password contient toujours des sections manquantes (nous les remplissons lentement), mais il rentre dans les détails et parle à la fois des points positifs et négatifs des différents éléments de conception.

7

Oui, il vous manque la recommandation évidente d'avoir un ordinateur portable à espace restreint OR smartphone avec trafic Internet désactivé uniquement pour la gestion des mots de passe et d'autres tâches sensibles. Bien que cela soit légèrement plus paranoïaque que d'habitude, cela peut déplacer les poteaux assez loin pour convaincre certaines personnes d'utiliser des gestionnaires de mots de passe.

Pendant que vous y êtes, vous pouvez certainement rappeler au membre de la famille/ami de vérifier son ordinateur portable/téléphone pour les chevaux de Troie. Après tout, cela n'a aucun sens d'installer un gestionnaire de mots de passe au-dessus d'un enregistreur de frappe.

2
non-Sequitur

Je recommanderais de placer le gestionnaire de mots de passe sur une clé USB, car cela offre une isolation contre toutes les attaques potentielles à moins qu'il ne soit branché, et ne nécessite pas la sottise de transporter un ordinateur portable avec son NIC désactivé .

2
DeepS1X

Comme suggéré par d'autres, il existe de bons programmes qui peuvent fonctionner sur plusieurs appareils. Je recommande fortement Norton Identity Safe . C'est gratuit et facile à utiliser. Il a une interface Web, une application Windows et des applications pour IOS et Android. Ils ont un Password Generator sur leur site, mais pas dans l'application.

0