Quelqu'un a-t-il une expérience pratique des générateurs de mot de passe (gestionnaires) sans état comme Getpass ?
Il semble qu'il fasse la plupart du travail des gestionnaires de mots de passe dans le cloud, mais se penche davantage sur la sécurité car il n'y a pas de serveurs avec des mots de passe à pénétrer.
J'utilise un générateur de mot de passe sans état depuis des années et je pense qu'il y a beaucoup d'inconvénients:
Pour toutes ces raisons, je pense que vous devriez définitivement utiliser des gestionnaires de mots de passe standard.
Voici deux problèmes moins souvent mentionnés.
Voir aussi mon article de blog à ce sujet.
1. Les gestionnaires de mots de passe offrent des options supplémentaires
Une différence essentielle entre l'utilisation d'un gestionnaire de mots de passe sans état et d'un gestionnaire de mots de passe est que les gestionnaires de mots de passe peuvent stocker des données supplémentaires telles que
2. Les mots de passe existants ne peuvent pas être pris en charge
Les gestionnaires de mots de passe peuvent prendre en charge les mots de passe existants. Mais un gestionnaire de mots de passe sans état vous obligera à changer les mots de passe pour tous vos sites existants.
Ceci est très important si vous souhaitez stocker des mots de passe pour tout compte où vous n'êtes pas autorisé à modifier le mot de passe. Cela peut être une boîte aux lettres de bureau partagée, un mot de passe de serveur, etc.
. Les générateurs de mots de passe déterministes ne peuvent pas accepter différentes politiques de mot de passe.
Certains sites auront besoin de symboles obligatoires avec des mots de passe, mais certains sites n'autorisent pas les symboles dans les mots de passe. Certains sites Web comme Payback ne prennent en charge que le code PIN numérique.
Les utilisateurs doivent modifier le mot de passe généré ou modifier les paramètres. Dans les deux cas, ils doivent conserver le Tweak ou les paramètres en mémoire, ce qui n'est pas bon.
Outre ceux déjà mentionnés, un autre problème est que vous ne pouvez pas changer votre mot de passe principal. Passer à un nouveau mot de passe principal nécessiterait de changer votre mot de passe sur tous les sites Web où vous avez utilisé le générateur.
Le problème est qu'il n'ajoute pas beaucoup de sécurité significative.
Au lieu d'utiliser directement votre mot de passe, vous utilisez une fonction accessible au public à la place de votre mot de passe. Utilisons l'exemple sur leur site Web pour une démonstration:
Identifiant: andromeda
Site Web: milkyway.com
Mot clé secret:2,52m light years away
Produit un mot de passe:
3q_q(MFWaMGeao+[CX
Vous pouvez dire 3q_q(MFWaMGeao+[CX
est votre mot de passe, mais ce n'est vraiment pas le cas. C'est en fait 2,52m light years away
, ce qui n'est pas très entropique. Est-ce mieux que d'utiliser simplement 2,52m light years away
? Oui, mais pas autant.
Utilisez plutôt un gestionnaire de mots de passe hors ligne et générez un mot de passe aléatoire en fait. C'est à peu près autant de travail de votre côté et vous donne une sécurité beaucoup plus réelle.
Un autre que je n'ai pas vu mentionné explicitement (au moment d'écrire toutes les réponses existantes font également de bons points):
Si un attaquant s'empare de l'un de vos mots de passe générés, il peut maintenant essayer de casser votre mot de passe principal, en accédant à tous vos comptes.
Il est relativement facile d'obtenir n mot de passe de faible valeur, que ce soit par phishing, par des fuites de mots de passe en clair (même Google n'est apparemment pas à l'abri de cela), par l'enregistrement de clés sur un ordinateur public, par WiFi ouvert sur des sites n'utilisant pas https, etc. L'intérêt de l'utilisation d'un gestionnaire de mots de passe est que la mauvaise sécurité d'un site ne devrait fournir aucun avantage en vous attaquant sur un autre site.
Bien sûr, un mot de passe maître suffisamment fort peut empêcher que cela ne soit un problème. Mais un gestionnaire de mots de passe "traditionnel" n'a pas du tout ce vecteur d'attaque.