• [^] # Alternatives algorithmiques

    Posté par . En réponse au journal Firefox Sync et les mots de passe en clair sur le cloud 😤. Évalué à 8.

    Un des gros problèmes à l’usage des solutions de génération de mots de passes, c’est la rotation...
    Quand ton mot de passe « maître » sert de graine pour la fonction de génération, si tu veux le changer, il faut aller mettre à jour le mot de passe partout. Si un service te demande une modification du mot de passe (temporelle ou à la suite d’une suspicion de compromission), tu es obligé de rajouter un sel particulier pour ce service, ce qui fait que tu finis par devoir retenir autant de sels que de mots de passes...

    Ensuite, il y a un énorme problème de sécurité, à la simple condition de connaître l’algorithme que tu utilise, il suffit de récupérer un seul de tes mots de passes pour pouvoir attaque par force brute, tranquillement et hors ligne ton mot de passe maître et par là risquer de compromettre l’ensemble de tes mots de passes. C’est ce qui m’a convaincu d’abandonner ces solutions et de m’en remettre à une bonne vielle base Keepass.