Merci pour le journal. Sans doute que ce premier outil t'as fait réfléchir à quelques problématiques, et te feras réfléchir à d'autres questions, et c'est super !
Mais en vrai, c'est une mauvaise idée. D'une manière générale, créer sa solution cryptographique sans très bien connaître le domaine mène à une situation risquée voire potentiellement catastrophique.
Le minimum, si tu calcules ton mot de passe, c'est d'ajouter un sel différent pour chaque mot de passe, ce qui revient à avoir un mot de passe maître qui change pour chaque mot de passe, et du coup ton logiciel ne fonctionne plus, sauf si tu stockes ces mots de passe maîtres... dans un gestionnaire de mots de passe :D.
Bref, utilises un gestionnaire agnostique du navigateur (Bitwarden, Lastpass...), mais qui s'intègre bien aux navigateurs et aux mobiles, et est dispo en https pour quand tu es "pas chez toi". Active la MFA pour accéder à ce coffre électronique et tu n'auras plus de problème.
On conseille souvent de changer ses mots de passe régulièrement
Plus tellement, on conseille surtout d'utiliser l'authentification multiple dès que possible1. Webauthn le permet, TOTP a abaissé la barre en terme de facilité d'usage et de coût (avec Authy ou Google Authenticator), et les passkeys sont le véritable équivalent des paires de clés SSH pour le web. Un très grand intérêt de la double authentification est que le vol du mot de passe n'est pas suffisant pour accéder au compte et te laisse le temps de changer le mot de passe s'il s'avère que ton mot de passe a vraiment été divulgué/trouvé.
Et surtout sur le mail, Graal de la vie numérique moderne. ↩
# Mauvaise idée
Posté par cg . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 8.
Merci pour le journal. Sans doute que ce premier outil t'as fait réfléchir à quelques problématiques, et te feras réfléchir à d'autres questions, et c'est super !
Mais en vrai, c'est une mauvaise idée. D'une manière générale, créer sa solution cryptographique sans très bien connaître le domaine mène à une situation risquée voire potentiellement catastrophique.
Le minimum, si tu calcules ton mot de passe, c'est d'ajouter un sel différent pour chaque mot de passe, ce qui revient à avoir un mot de passe maître qui change pour chaque mot de passe, et du coup ton logiciel ne fonctionne plus, sauf si tu stockes ces mots de passe maîtres... dans un gestionnaire de mots de passe :D.
Bref, utilises un gestionnaire agnostique du navigateur (Bitwarden, Lastpass...), mais qui s'intègre bien aux navigateurs et aux mobiles, et est dispo en https pour quand tu es "pas chez toi". Active la MFA pour accéder à ce coffre électronique et tu n'auras plus de problème.
Plus tellement, on conseille surtout d'utiliser l'authentification multiple dès que possible1 . Webauthn le permet, TOTP a abaissé la barre en terme de facilité d'usage et de coût (avec Authy ou Google Authenticator), et les passkeys sont le véritable équivalent des paires de clés SSH pour le web. Un très grand intérêt de la double authentification est que le vol du mot de passe n'est pas suffisant pour accéder au compte et te laisse le temps de changer le mot de passe s'il s'avère que ton mot de passe a vraiment été divulgué/trouvé.
Et surtout sur le mail, Graal de la vie numérique moderne. ↩