Se souvenir de moi (dangereux ?)

[Dark-Angel66]

Bonjour

J'ai une question au niveau des mots de passe des applicatifs du genre Steam, Epic Games etc...

À partir du moment où j'utilise un gestionnaire de mots de passe avec mot de passe maître et que j'ai la double authentification sur absolument tous mes comptes existants.

Est-ce dangereux de cliquer sur "se souvenir de moi" et "enregistrer ce PC" lorsque je me connecte à ce genre d'applicatifs ?

Dans l'optique où quelqu'un prendrait le contrôle de mon PC via un virus ou je ne sais quoi.

J'aime la sécurité mais je ne veux pas non plus être parano et devoir taper mon mot de passe maître à chaque fois + copier-coller mon mot de passe dans chaque applicatif manuellement + mettre mon code de double authentification, ça me saoule un peu.

Donc je me demandais si cliquer sur "se souvenir de moi" + "enregistrer ce PC comme PC de confiance", c'était risqué ou pas ?

Merci d'avance

 

[magellan]

Il faut comprendre comment cela fonctionne pour bien saisir le "risque" de ce genre de sauvegarde.

Je te fais un topo technique assez simplifié.

1° Comment on échange un mot de passe
Que ce soit localement ou le service distant, le mot de passe est systématiquement crypté. Par exemple
Mot de passe: Password
Mdp crypté: asedDC3DF4EDfv"d"D4G4
(je caricature évidemment)

Donc quand tu stockes localement tu stockes asedDC3DF4EDfv"d"D4G4 ... tout comme sur la base cryptée en face.. SAUF QUE l'outil ENVOIE la version cryptée dans le réseau. Par exemple tu tapes un mdp, il est émis crypté et comparé à la valeur sur le serveur. Donc, concrètement, c'est asedDC3DF4EDfv"d"D4G4 qui est émis.

2° Les risques réels du mdp local
En vérité? Risque nul ou presque de décrypter le mot de passe en question. Il y a des certificats et plein de verrous dans tous les sens pour empêcher cela. La crypto est par principe non réversible, donc impossible de décrypter (ou presque... rien n'est réellement impossible on va dire, mais les chances sont ridiculement faibles). De là donc, aucun risque qu'on te vole ce mot de passe.

Là où ça devient plus délicat, c'est si par exemple tu stockes localement ce mot de passe, qu'on prenne la main sur le poste et qu'on accède directement à STEAM. Le truc, c'est que si ton poste est compromis... ben tous les verrous du monde n'empêcheront rien.
Prenons un cas concret: quand tu te connectes à tes mails tu actives également le mot de passe sauvegardé. Cela veut donc dire que je vais demander à Steam de renouveler le mot de passe, en saisir un nouveau sur la messagerie, et donc m'affranchir de ce foutoir.

3° La machine de confiance
C'est un débat à la con. D'un côté valider une machine, c'est le risque de lui permettre de se connecter "trop" facilement. En revanche, ne pas valider rend la procédure d'accès aux outils pénibles car demandant sans arrêt de s'authentifier. Personnellement je valide la machine et basta. De toute manière, si l'on me pirate, m'est avis que la priorité ne sera pas le compte STEAM mais plus mes accès bancaires par exemple. Dans ces cas, la double authentification résout assez bien le problème.

4° Les vrais dangers sont ailleurs...
Les dangers sont plus sur les appareils style mobiles (d'où le verrouillage par code/empreinte), ou sur le piratage d'une messagerie. En effet, on a la quasi obligation de s'adosser à un mail pour les validations. Typiquement, je pirate ton mail, je vais sur STEAM et accède à "mot de passe oublié" en balançant ton mail. Le reçois sur le mail la procédure de renouvellement de mot de passe et le tour est joué.

5° La sécurité relative de la double authentification
Cela fiabilise énormément, mais ce n'est pas absolu. Comme je le disais, si tu accèdes à un mobile, tu as accès aux mails et aux outils d'authentification.
Exemple: je parviens à accéder à ton téléphone. Je peux donc trouver les comptes mails accessibles depuis l'appareil.
Je me logue à STEAM, mot de passe oublié... et authentifie la manipulation via l'appareil volé.

6° Pas de parano!
le vol de données c'est pour l'immense majorité un trou béant dans la sécurité des messageries/outils, ou bien avoir renseigné par erreur ses données dans un site de phishing. Hé oui: le piratage est dans l'immense majorité des cas tout sauf un truc de hacker prenant ta machine en main... mais plus la naïveté/incompétence de l'utilisateur qui est en cause. Nombre d'arnaques jouent sur le "nous sommes Microsoft, on doit manipuler votre PC à distance", ou encore "Votre mot de passe a expiré sur netflix. Veuillez vous connecter pour débloquer le compte".

 

[Dark-Angel66]

Il faut comprendre comment cela fonctionne pour bien saisir le "risque" de ce genre de sauvegarde.

Je te fais un topo technique assez simplifié.

1° Comment on échange un mot de passe
Que ce soit localement ou le service distant, le mot de passe est systématiquement crypté. Par exemple
Mot de passe: Password
Mdp crypté: asedDC3DF4EDfv"d"D4G4
(je caricature évidemment)

Donc quand tu stockes localement tu stockes asedDC3DF4EDfv"d"D4G4 ... tout comme sur la base cryptée en face.. SAUF QUE l'outil ENVOIE la version cryptée dans le réseau. Par exemple tu tapes un mdp, il est émis crypté et comparé à la valeur sur le serveur. Donc, concrètement, c'est asedDC3DF4EDfv"d"D4G4 qui est émis.

2° Les risques réels du mdp local
En vérité? Risque nul ou presque de décrypter le mot de passe en question. Il y a des certificats et plein de verrous dans tous les sens pour empêcher cela. La crypto est par principe non réversible, donc impossible de décrypter (ou presque... rien n'est réellement impossible on va dire, mais les chances sont ridiculement faibles). De là donc, aucun risque qu'on te vole ce mot de passe.

Là où ça devient plus délicat, c'est si par exemple tu stockes localement ce mot de passe, qu'on prenne la main sur le poste et qu'on accède directement à STEAM. Le truc, c'est que si ton poste est compromis... ben tous les verrous du monde n'empêcheront rien.
Prenons un cas concret: quand tu te connectes à tes mails tu actives également le mot de passe sauvegardé. Cela veut donc dire que je vais demander à Steam de renouveler le mot de passe, en saisir un nouveau sur la messagerie, et donc m'affranchir de ce foutoir.

3° La machine de confiance
C'est un débat à la con. D'un côté valider une machine, c'est le risque de lui permettre de se connecter "trop" facilement. En revanche, ne pas valider rend la procédure d'accès aux outils pénibles car demandant sans arrêt de s'authentifier. Personnellement je valide la machine et basta. De toute manière, si l'on me pirate, m'est avis que la priorité ne sera pas le compte STEAM mais plus mes accès bancaires par exemple. Dans ces cas, la double authentification résout assez bien le problème.

4° Les vrais dangers sont ailleurs...
Les dangers sont plus sur les appareils style mobiles (d'où le verrouillage par code/empreinte), ou sur le piratage d'une messagerie. En effet, on a la quasi obligation de s'adosser à un mail pour les validations. Typiquement, je pirate ton mail, je vais sur STEAM et accède à "mot de passe oublié" en balançant ton mail. Le reçois sur le mail la procédure de renouvellement de mot de passe et le tour est joué.

5° La sécurité relative de la double authentification
Cela fiabilise énormément, mais ce n'est pas absolu. Comme je le disais, si tu accèdes à un mobile, tu as accès aux mails et aux outils d'authentification.
Exemple: je parviens à accéder à ton téléphone. Je peux donc trouver les comptes mails accessibles depuis l'appareil.
Je me logue à STEAM, mot de passe oublié... et authentifie la manipulation via l'appareil volé.

6° Pas de parano!
le vol de données c'est pour l'immense majorité un trou béant dans la sécurité des messageries/outils, ou bien avoir renseigné par erreur ses données dans un site de phishing. Hé oui: le piratage est dans l'immense majorité des cas tout sauf un truc de hacker prenant ta machine en main... mais plus la naïveté/incompétence de l'utilisateur qui est en cause. Nombre d'arnaques jouent sur le "nous sommes Microsoft, on doit manipuler votre PC à distance", ou encore "Votre mot de passe a expiré sur netflix. Veuillez vous connecter pour débloquer le compte".

Très bien expliqué ! J'ai envie de copier-coller ton message sur les groupes Facebook de ma famille

Concernant le phishing, totalement d'accord, c'est clairement ce genre d'arnaque qui pose problème aujourd'hui.

En tout cas, merci à toi des explications

 

[magellan]

Très bien expliqué ! J'ai envie de copier-coller ton message sur les groupes Facebook de ma famille

Concernant le phishing, totalement d'accord, c'est clairement ce genre d'arnaque qui pose problème aujourd'hui.

En tout cas, merci à toi des explications

Tu peux! C'est open-source