FREN

#FF00AA


17 mar. 2007

Un mot de passe pour tous vos comptes

@web@

Ce n’est pas tout à fait nouveau, et il est même possible que j’en aie entendu parler avant mais que je n’aie pas regardé plus loin, mais SuperGenPass [via] est une idée géniale, à la fois élémentaire et intelligente : à chaque fois que vous vous inscivez sur un nouveau site, vous cliquez sur un bookmarklet, vous tapez votre mot de passe maître (qui n’est enregistré nulle part), et le script combine ce mot de passe avec le nom de domaine du site pour calculer (et remplir automatiquement) un mot de passe indéchiffrable, unique à ce site. La même combinaison de mot de passe maître et nom de domaine donnera toujours le même mot de passe, donc vous n’avez aucun besoin de le retenir, ni même de le connaître, mais l’administrateur du site ne peut pas utiliser votre mot de passe pour accéder à vos autres comptes partout ailleurs (enfin, à moins d’y passer des mois sur un super-ordinateur). Et il n’y a plus de risques de phishing, parce que si un site se fait passer pour un autre le nom de domaine utilisé dans le calcul ne sera pas le bon.

Alors, bien sûr, si un site change de nom de domaine en cours de route, c’est la merde (il vaut mieux garder une copie de la version de secours pour pouvoir retrouver manuellement son mot de passe pour n’importe quel domaine — ou utiliser cet algorithme pour calculer des mots de passe pour n’importe quoi d’autre qu’un site web, d’ailleurs). Et, comme SuperGenPass utilise du JavaScript pour s’afficher au sein de la page web, j’imagine qu’on pourrait théoriquement créer une page qui détecterait SuperGenPass et voler le mot de passe maître, mais le risque est infinitésimal.

A bien y réfléchir, je pourrais bien effacer le bookmarklet et juste garder la version de sauvegarde (qui utilise JavaScript en local, fonctionne hors ligne, etc. — enfin, je n’ai pas vérifié le code, mais je suppose) pour créer mes mots de passe. Je n’ai jamais besoin de les taper, de toute façon, j’ai Safari et le trousseau de clés pour ça ; tout ce que je veux, c’est un moyen de récupérer mes mots de passe si jamais la base de mots de passe enregistrés se perd.

(Si vous l’utilisez, je vous conseille fortement de bien garder une copie du script de secours, au cas où vous perdriez le bookmarklet : l’algorithme pourrait changer par la suite — apparemment, c’est déjà arrivé — ou le site pourrait disparaître, et là vous n’auriez plus rien.)

Vous voulez savoir quand je poste du contenu sur mon blog ? Il suffit de vous inscrire gratuitement à un agrégateur RSS (Feedly, NewsBlur, Inoreader, …) et d'ajouter www.ff00aa.com à vos flux (ou www.garoo.net pour vous abonner à tous les sujets). On n'a pas besoin de newsletters, pas besoin de Twitter, le RSS existe toujours.

Mentions légales : ce blog est hébergé par OVH, 2 rue Kellermann, 59100 Roubaix, France, www.ovhcloud.com.

Les données des visiteurs de ce blog ne sont pas utilisées ni transmises à des tiers. Les posteurs de commentaires peuvent demander leur suppression par e-mail.

Tous contenus © de l'auteur ou couverts par le droit de citation.