Je veux recommander un gestionnaire de mots de passe à mes amis et à ma famille non techniques et les aider à le configurer et à l'utiliser. L'une des décisions que je dois prendre est de savoir si je recommande celle qui fonctionne sur les ordinateurs portables ou celle qui fonctionne sur les smartphones.
Smartphones:
Portables:
Je conclus que les smartphones ont un léger avantage, mais je dois trouver une solution pour générer des phrases de passe, idéalement en utilisant un clavier personnalisé afin de ne pas les passer dans le presse-papiers.
Ai-je oublié des considérations (importantes)?
Je ne comprends pas pourquoi vous ne voulez pas d'un gestionnaire de mots de passe qui fonctionne sur les deux? Vos amis non techniques qui n'utilisent pas encore de gestionnaire de mots de passe sont trop limités par vos besoins. Vous semblez fonctionner en mode paranoïaque. Vos amis veulent quelque chose de pratique.
Si vous pouvez les faire passer à Lastpass, ce sera une énorme amélioration par rapport à leur sécurité actuelle.
NB: Je ne veux pas limiter cela à Lastpass. D'autres gestionnaires de mots de passe comme 1Password ont probablement le même bonus. Je ne les utilise pas, alors je ne sais pas. Keepass est une option hors ligne, mais le partage de la base de données dans Dropbox ou Google Drive le rend en ligne, mais encore plus difficile à utiliser.
Quelques questions:
Je crains que votre solution ne soit rejetée la première fois où les inconvénients tournent laide. Soyez sage et choisissez le compromis!
Divulgation: Je travaille pour AgileBits, les créateurs de 1Password.
Pas un seul gestionnaire de mot de passe pour smartphone ne permet de générer des phrases secrètes
1Password fonctionne sur iOS, mais pas dans 1Password sur Android.
Les mots sont choisis de manière aléatoire et uniforme dans une liste d'environ 18 400 mots anglais de 3 à 8 lettres.
Si je peux me vanter un peu, ma prétendue réputation de gloire est de raviver l'intérêt pour Diceware - comme des générateurs, avec un blog il y a six ans qui a inspiré ne certaine bande dessinée XKCD . Le schéma particulier que nous utilisons aujourd'hui dans 1Password a été présenté à PasswordsCon en 2015.
... afin qu'ils n'aient pas à passer dans le presse-papiers.
Sur Android, 1Password propose un presse-papiers personnalisé, mais je ne pense pas qu'il fasse tout ce que vous voulez. Sur iOS, nous (et d'autres gestionnaires de mots de passe) utilisons des extensions d'application pour permettre l'intégration avec des applications qui permettent l'utilisation de ces extensions. Mais aucune de ces solutions n'est complète.
Il s'agit d'un problème difficile auquel tous les gestionnaires de mots de passe sont confrontés et traités de différentes manières. Sur les ordinateurs portables, la plupart des gestionnaires de mots de passe utilisent des extensions de navigateur qui parlent d'une manière ou d'une autre avec les données de mot de passe réelles. (Le "en quelque sorte" diffère parmi les gestionnaires de mots de passe, avec des avantages et des inconvénients pour chaque approche.)
Sur mobile, l'application sandboxing (une bonne chose pour la sécurité) rend cela plus difficile. Une chose que nous avons pris soin de faire est de ne pas utiliser le presse-papiers sans qu'il soit clair pour l'utilisateur que c'est ce qui se passe. Autrement dit, nous n'utilisons pas silencieusement le presse-papiers.
Encore une fois, personne n'a de solution parfaite, et nous abordons tous le même genre de problèmes difficiles légèrement différemment.
La question fait un excellent travail pour évaluer les avantages et les inconvénients du mobile par rapport à l'ordinateur portable, y compris la sécurité de l'utilisation d'un gestionnaire de mots de passe sur la plate-forme, mais le reste des détails semble supposer que pour le mobile, vous ne considérez que Android. Cela me semble étrange. Google a fait d'énormes progrès pour aider les gens à éviter les logiciels malveillants et à aider les gens à mettre à jour leurs systèmes, mais Apple est encore beaucoup mieux à cet égard.
Autant que je suppose que vous détestez le cloud, les gens voudront que leurs données de mot de passe soient disponibles sur tous les systèmes qu'ils utilisent. Le fait d'avoir un gestionnaire de mots de passe sur un seul de ces systèmes va laisser les gens dans la même position qu'aujourd'hui. Ils continueront à réutiliser des mots de passe relativement faibles à moins que leur gestionnaire de mots de passe ne fonctionne pour eux là où ils travaillent.
Et cela nous amène à ...
Vous êtes à la recherche d'un gestionnaire de mots de passe pour "amis et famille non technophiles". La convivialité est plus qu'une simple interface utilisateur. Il s'agit de concevoir des choses qui fonctionnent avec le grain de la façon dont les gens fonctionnent plutôt que contre le grain. Il ne s'agit pas d'une question "convivialité contre sécurité", mais de faciliter le comportement des gens en toute sécurité plutôt qu'en toute sécurité.
Si vous voulez que les gens utilisent réellement le système que vous avez configuré pour eux, vous devez prendre tout cela en compte.
Les gestionnaires de mots de passe sont confrontés aux mêmes problèmes et nous proposons souvent des solutions similaires. Mais il existe encore des différences importantes sous le capot. Ce qui compte comme "métadonnées" est une chose. Ce qu'un service peut apprendre sur le comportement de ses utilisateurs en est une autre. Quelles défenses il offre s'il y a un compromis sur le serveur. Quelles sont les défenses contre la falsification des données, et bien d'autres. Ces types de choses ne sont généralement pas visibles pour les utilisateurs (ou même pour de nombreuses personnes qui examinent les gestionnaires de mots de passe).
Je vous encourage à regarder ce genre de choses. Le Livre blanc sur la sécurité de 1Password contient toujours des sections manquantes (nous les remplissons lentement), mais il rentre dans les détails et parle à la fois des points positifs et négatifs des différents éléments de conception.
Oui, il vous manque la recommandation évidente d'avoir un ordinateur portable à espace restreint OR smartphone avec trafic Internet désactivé uniquement pour la gestion des mots de passe et d'autres tâches sensibles. Bien que cela soit légèrement plus paranoïaque que d'habitude, cela peut déplacer les poteaux assez loin pour convaincre certaines personnes d'utiliser des gestionnaires de mots de passe.
Pendant que vous y êtes, vous pouvez certainement rappeler au membre de la famille/ami de vérifier son ordinateur portable/téléphone pour les chevaux de Troie. Après tout, cela n'a aucun sens d'installer un gestionnaire de mots de passe au-dessus d'un enregistreur de frappe.
Je recommanderais de placer le gestionnaire de mots de passe sur une clé USB, car cela offre une isolation contre toutes les attaques potentielles à moins qu'il ne soit branché, et ne nécessite pas la sottise de transporter un ordinateur portable avec son NIC désactivé .
Comme suggéré par d'autres, il existe de bons programmes qui peuvent fonctionner sur plusieurs appareils. Je recommande fortement Norton Identity Safe . C'est gratuit et facile à utiliser. Il a une interface Web, une application Windows et des applications pour IOS et Android. Ils ont un Password Generator sur leur site, mais pas dans l'application.