À propos des mots de passe: ce que les navigateurs font mal (sauf Safari) [Opinion]

Lockwise et sauvegarde de mot de passe dans Firefox

Oui. Les navigateurs sont mauvaise gestion des mots de passe. Comme il s'agit d'un article d'opinion et qu'il est donc indiqué même dans le titre, je dirai très mal. Mortel. Et c'est quelque chose que je n'avais personnellement pas apprécié jusqu'au lancement de Firefox 79, maintenant sur la chaîne Chaque nuit par Mozilla. La version qui sortira en août arrivera avec une nouvelle fonctionnalité: le possibilité d'exporter tous nos identifiants dans un fichier CSV. Dans le cas de Linux, pour le moment, il ne demande même pas de mot de passe.

Bien que j'aie commencé à parler de Firefox, c'est quelque chose qui se produit également dans le chrome, y compris la possibilité d'exporter nos mots de passe vers le fichier CSV qui est disponible depuis longtemps dans la proposition de Google, qui sont deux des navigateurs les plus utilisés au monde et est également le cas dans de nombreux autres qui gèrent les mots de passe. Quel est le problème de mon point de vue? En fait, deux: la facilité de faire les choses et l'absence d'avertissement selon lequel, si nous n'ajoutons pas de mot de passe principal, tous nos mots de passe seront espionnés en quelques secondes. Il a une solution? Oui, et de mon point de vue, il y en a un très simple que nous avons appris d'Apple.

Apple nous a appris comment les navigateurs doivent gérer les mots de passe

Les comparaisons sont odieuses, surtout sur un blog comme celui-ci où l'on s'attend à ce que seul Linux soit discuté, mais parfois il est nécessaire d'en couvrir un peu plus. Cela dit, parlons un peu de la société Apple. Apple n'a jamais inventé de roue, C'est comme ça. La seule chose que fait la société dirigée par Tim Cook est de prendre des idées que d'autres ont eues, de les améliorer parfois et de les vendre comme personne d'autre. Quelque chose qu'ils ont amélioré, c'est la gestion des mots de passe, et maintenant j'explique pourquoi.

Bien que les ordinateurs que j'ai le plus utilisés aient toujours eu Linux, j'ai aussi un vieil iMac et un ordinateur portable Windows. J'ai eu mon iMac sans mot de passe pendant des années, jusqu'à ce qu'Apple publie iCloud Keychain et me dise que si je voulais utiliser cette fonctionnalité, je devais mot de passe l'appareil. Je l'ai mis. Maintenant, si je veux voir certains de mes mots de passe dans Safari, je dois mettre le mot de passe de mon utilisateur (du système d'exploitation). Si je ne le mets pas, je ne verrai RIEN. Ni moi ni personne d'autre ne pouvons accéder à mes informations d'identification. C'est la bonne chose, sans aucun doute. Il n'y a pas de mot de passe principal dans le navigateur et le système d'exploitation était chargé de me faire savoir que si je voulais avoir mes mots de passe dessus, je devais définir un mot de passe pour la connexion.

Comment Firefox et Chrome gèrent mal les mots de passe

Même si je ne l'avais jamais envisagé, et comme je l'ai expliqué plus haut je l'ai fait avec le lancement de Firefox 79 et sa nouvelle fonction, ni Firefox ni Chrome ne me demandent quoi que ce soit lorsque je veux voir mes mots de passe. Les navigateurs supposent, à tort, que l'utilisateur qui a accédé au navigateur est le propriétaire de l'ordinateur ou une personne enregistrée sur celui-ci. Par conséquent, dans Firefox, nous pouvons accéder à à propos de: connexions, accès Dans le sens de la serrure et voir tous nos utilisateurs, les mots de passe étant cachés. Mais, à quoi bon qu'ils soient cachés si nous pouvons les copier dans le presse-papiers? De peu. Et la chose n'est pas différente dans Chrome: nous allons dans Préférences / Saisie semi-automatique et les voilà. Si nous tapons sur l'icône de l'oeil, ils seront affichés. Qu'est-ce qui peut mal tourner?

Cela nous fait penser à tous les cas où nous laissons notre ordinateur à un ami ou à un parent. Je ne sais pas, donc vous pouvez voir une vidéo de chatons sur YouTube pendant que nous nous douchons, par exemple, pour le dîner que nous avons organisé pour ce jour-là. Nous ne savions pas que cet ami n'est pas un bon ami ou pour quelque raison que ce soit souhaite obtenir notre mot de passe Facebook. Tout ce que vous avez à faire est d'aller dans la section mots de passe, voir notre nom d'utilisateur, copiez le mot de passe et collez-le dans un document texte. Cet ami a déjà accès à notre Facebook. C'est simple.

Ce ne sera pas le cas dans Firefox 79 pour Windows, qui nous demandera le mot de passe (de l'utilisateur de session) pour exporter les mots de passe dans le fichier CSV ou les copier depuis Lockwise, mais dans le Firefox 77 actuel, cela nous permet de les copier sans rien entrer. Firefox 79 pour Linux continue de permettre à quiconque de parcourir notre fichier de mots de passe comme Pedro à la maison, même si l'utilisateur n'est pas exactement le célèbre Pedro.

Solutions possibles qu'ils devraient mettre en œuvre maintenant

Dans une requête que j'ai faite à Firefox via Twitter à propos de la version Linux, on m'a dit que je devais définir un mot de passe principal pour éviter ce problème. Et ça? Cela je le sais déjà, mais d'autres non. La solution n'est pas de deviner ce qui pourrait arriver; la solution doit nous être proposée par les entreprises. Dans la mesure du possible, je n'autoriserais pas l'accès à Lockwise sans entrer le mot de passe utilisateur (du système) et j'oublierais le mot de passe principal. Si ce qui précède n'est pas possible, et dans Windows c'est le cas, les navigateurs doivent nous en informer comme Apple le fait avec un message tel que «soit vous mettez un mot de passe principal, soit vous ne pourrez pas utiliser les porte-clés». Ce que je pense n'est pas une option, c'est ce qui existe aujourd'hui: si nous ne le prenons pas en compte et qu'un autre le fait, nous sommes exposés.

Alors maintenant tu sais. Les choses pourraient s'améliorer, et au moins la version Windows de Firefox le fera, mais de nos jours, tous les navigateurs, du moins sous Linux, gèrent mal les mots de passe. Puisqu'ils ne préviennent pas de ce qui peut arriver si nous ne configurons pas de mot de passe maître, je le fais dans cet article, il ne faut pas oublier que c'est une opinion.


Le contenu de l'article adhère à nos principes de éthique éditoriale. Pour signaler une erreur, cliquez sur c'est par ici !.

16 commentaires, laissez le vôtre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.

  1.   Embouchures dit

    Très vrai, j'utilise Firefox et je ne savais pas que je pouvais ajouter un mot de passe principal à mes informations d'identification. Sans cet article, je ne l'aurais pas découvert. Les développeurs ne signalent pas au moment où nous commençons à utiliser Lockwise. C'est une nuisance.
    Je commençais déjà à utiliser Bitwarden parce que je pensais que mes mots de passe n'étaient pas sécurisés, faites-vous confiance à Bitwarden ou pensez-vous que je devrais trouver un autre gestionnaire?

  2.   user12 dit

    Eh bien, si j'ai bien compris l'écrivain, les navigateurs sont à blâmer pour le fait que les utilisateurs ne connaissent pas leurs avantages (dans ce cas, l'existence du mot de passe maître -une caractéristique qui existe dans Firefox depuis le Paléolithique inférieur-).

    D'après ce que dit le chroniqueur, la solution à cet "échec" des navigateurs serait que le mot de passe pour accéder aux comptes enregistrés n'était pas quelque chose d'option pour l'utilisateur, mais quelque chose d'obligatoire et prédéterminé par le navigateur. En laissant de côté, je préfère la liberté de choix de chaque utilisateur pour ajuster le navigateur à son goût en fonction de ses préférences et de ses circonstances. Le mot de passe principal de Firefox a un petit bug: si vous vous inscrivez en fonction de quels sites Web, il vous sautera, chaque fois que vous les visiterez, un avertissement vous demandant d'insérer le mot de passe principal (même si vous ne voulez pas vous connecter à ce moment-là )

    1.    pablinux dit

      Non, vous n'avez pas bien compris. Je parle d'options. La solution que je donnerais serait comme dans Safari. C'est le plus sûr. Sinon, comme sous Windows, où vous n'avez pas besoin d'un mot de passe principal et vous ne pouvez ni exporter le fichier ni copier les mots de passe (Firefox).

      À tout le moins, sous Linux, ils devraient vous en avertir. Ce serait un poka-yoke (recherchez le wiki) et je pense que la faute incombe au développeur. Sous Windows, Firefox ne nous laissera pas exposés. Sous Linux, dit par eux, vous devrez mettre un mot de passe principal. Et si c'est le cas, ils devraient le conseiller. Apple le fait. Je ne dis pas forcer, mais qu'est-ce qui ne va pas avec le signalement?

      Dans tous les cas, cet article vise également à informer les gens du danger d'avoir des mots de passe dans un navigateur.

  3.   Dani dit

    1. Je n'avais aucune idée que tous mes mots de passe étaient si faciles d'accès.
    2. La définition du mot de passe principal a été extrêmement simple et efficace.

    En regardant 1 et 2, un simple avertissement concernant la déprotection des mots de passe enregistrés suffirait à éviter la plupart des problèmes.

    Lorsque les dommages potentiels sont si importants et la solution si simple, le fait de ne pas avertir du risque devient une négligence.

    1.    Un de plus dit

      Je comprends que depuis que l'auteur a acheté cet iMac, jusqu'à ce qu'il veuille utiliser le trousseau iCloud, personne ne lui a demandé d'informations d'identification pour utiliser ou accéder aux mots de passe enregistrés.

      Il avait la possibilité de mettre le mot de passe de son utilisateur dans la machine depuis toujours.
      Je suppose qu'Apple vous a informé que si vous ne le faisiez pas, vos mots de passe ne seraient pas protégés.
      C'est sans doute pourquoi il n'y a pas d'analogie avec le mot de passe principal de Firefox qui, comme on l'a déjà dit ici, existe presque depuis la nuit des temps.

      1.    pablinux dit

        Salut. Ce fut une série d'événements. Souvent, vous ne pensez pas à des choses comme ça. J'y ai pensé car Firefox 79 est livré avec cette fonction (exportation vers CSV). Voyant qu'il ne me demande pas de mot de passe, j'ai tout analysé et je me suis souvenu du passé. Les mots de passe ne doivent pas être visibles, c'est mon avis et donc je l'indique même dans le titre.

        Salutations.

  4.   Marcos dit

    Eh bien, dans le cas d'Opera, chaque fois que je veux voir mes mots de passe, le navigateur me demande de saisir le mot de passe utilisateur du système d'exploitation. Je n'ai pas vu ce qui se passe si mon nom d'utilisateur n'a pas de mot de passe.

    1.    pablinux dit

      Salut Marcos. Donc ça devrait être. Je n'utilise pas Opera, mais ce que vous dites est sous Linux?

      Salutations.

      J'édite le message: dans Ubuntu 20.04, j'ai installé Opera, j'ai enregistré un mot de passe et cela me permet de les visualiser sans entrer de mot de passe. Dans quel système dites-vous qu'il fait cela?

  5.   Gabriel dit

    Mon humble avis en défense des grands navigateurs est qu'il ne stocke pas les identifiants par défaut, c'est l'utilisateur qui autorise à les enregistrer. Lorsque vous entrez dans un site X, il vous est demandé si vous souhaitez enregistrer les mots de passe. Pourquoi attribuer la responsabilité des utilisateurs aux développeurs Web? Si vous l'avez sauvé de votre plein gré et que vous le prêtez ou qu'ils possèdent le PC, chérie, baise-toi pour vilain. Vous avez déjà été prévenu.

    1.    pablinux dit

      Bonjour Gabriel. Comme vous le comprenez, je ne suis pas d’accord. Si vous lisez ce lien wiki, vous comprendrez pourquoi https://es.wikipedia.org/wiki/Poka-yoke

      Avez-vous déjà vu une machine industrielle au cours des 30 dernières années, je ne sais pas? Ils ont des systèmes de sécurité qui sont la preuve de la négligence ou de la défaillance humaine. En fait, si vous ne les «piratez» pas (comme le pontage d'un capteur), vous ne pouvez pas ouvrir les balises sans qu'il ne s'arrête. Ce que je demande ici, c'est quelque chose de similaire: que les entreprises développent en tenant compte des possibilités et en protégeant les utilisateurs.

      Et à propos de ce qu'il vous demande de le sauvegarder ou non, oui, bien sûr, il vous le demande, mais il ne vous dit rien qu'une fois sauvegardé, n'importe qui pourra les voir en 10 secondes. Si vous m'aviez dit de mettre un long texte d'avertissement comme les conditions d'utilisation que nous acceptons tous sans regarder, d'accord, ils l'auraient prévenu et nous avons passé. Mais ce n’est pas le cas.

      Salutations.

      1.    Miguel dit

        Pour ceux qui découvrent Firefox (y compris ceux qui depuis des années ont utilisé le navigateur Mozilla, ignorant largement ses fonctions), s'ils souhaitent améliorer les fonctionnalités du navigateur mais n'ont pas les connaissances ou le temps nécessaires pour apporter leur contribution personnellement, il y a un fonctionnalité appelée «Soumettre un avis», ils peuvent y accéder via:

        Bouton Menu> Aide> Soumettre des commentaires

        Un onglet s'ouvrira dans lequel on vous demandera si vous êtes satisfait de Firefox ou non, si vous répondez, il ne vous demandera pas d'écrire brièvement pourquoi, cela permet à Mozilla de se concentrer sur l'amélioration du service du navigateur Firefox, c'est comment il a été pressé avec la question de la vie privée, l'incorporation d'éléments qui auparavant vous ne pouviez avoir que via des plugins, une incorporation décente de fonctionnalités HTML5 ... Si les éditeurs de cette communauté et d'autres de différentes langues dans le monde étaient organisé pour corriger ce problème en masse, Mozilla pourrait le prendre au sérieux pour la prochaine tranche du navigateur Firefox.

        Auparavant, j'utilisais beaucoup ce service pour voir des améliorations incorporées dans le navigateur sans avoir à utiliser de plugin ou à exécuter décemment HTML5, mais le plus important est qu'auparavant, lors de l'envoi de la réponse, ils vous proposaient le lien afin que vous puissiez suivez vos suggestions, est-ce que le problème?, que vous pourriez fouiner dans les suggestions des autres dans le monde entier et collaborer pour voir ces fonctionnalités ajoutées ou pour corriger toute erreur, qui ne se produit plus, et je ne vois pas où faire un suivi maintenant, cependant , dans le support de Mozilla Ils continuent de recommander l'utilisation de Firefox Opinion pour fournir des commentaires sur les bogues, plantages, plantages, lacunes et rapporter les améliorations pour le navigateur.

        1.    pablinux dit

          Salut. Je l'ai déjà fait, mais mon commentaire en est un que vous ne pouvez peut-être pas aborder. Bien que ce blog n'ait pas la circulation que d'autres plus grands peuvent avoir, j'espère aussi en partie qu'ils le liront. Je lui en ai également parlé sur Twitter. De plus, il a été ici, par la suggestion de Firefox et de Twitter.

          Salutations.

      2.    Miguel dit

        Ce que je ne suis pas d'accord avec votre suggestion de "soit vous mettez un mot de passe principal, soit vous ne pourrez pas utiliser les porte-clés", c'est que vous exigez que l'entreprise force l'utilisateur par oui ou par oui à appliquer le mot de passe principal pour accéder à l'utilisation de lockwise, c'est-à-dire que cela implique même de modifier le fonctionnement de Firefox Sync, car si vous n'avez pas défini de mot de passe principal, Firefox Sync ne peut pas télécharger ou mettre à jour les mots de passe, la gestion des mots de passe ou leur complexité n'est pas de la responsabilité directe d'une entreprise, mais de l'utilisateur final qui est celui qui demande et consomme le produit, ce qui peut être fait pour Mozilla de souligner l'importance après la première exécution de Firefox et par la suite dans l'utilisation de Firefox Sync, d'utiliser le mot de passe principal pour sécurité des mots de passe supplémentaires dans des conditions auxquelles l'entreprise pour toute négligence de l'utilisateur ne peut plus reprendre l'entreprise. Se comprend?.

        1.    pablinux dit

          Sous Windows, il est implémenté à partir de Firefox 79 sans avoir à utiliser le mot de passe principal (il demande celui de l'utilisateur). Ainsi, j'ai des doutes s'ils ne peuvent pas le faire sous Linux, mais ils ne demandent pas de mots de passe ou Chrome, Firefox ou Opera, ils m'ont dit, je l'ai essayé et ils peuvent être vus de la même manière.

          Forcer le mot de passe est la mesure la plus drastique, et honnêtement, je la prendrais pour protéger les utilisateurs. Mais je ne travaille pas chez Mozilla, ni Google, ni aucune autre entreprise qui développe des navigateurs. À tout le moins, ils devraient informer d'une manière ou d'une autre.

          Mais en résumé, il ne me semble pas bon que quiconque ayant un accès physique à un ordinateur puisse récupérer tous les mots de passe enregistrés dans son navigateur. Je commente mon avis et comment les choses se passent pour que chacun puisse décider quoi faire, et parmi cela la possibilité d'utiliser d'autres gestionnaires de mots de passe.

  6.   Gaston dit

    Salut, merci pour le message.
    Je vous en dis plus, sous Linux au moins, en disant qu'ils vous permettent d'utiliser une machine car vous devez vous connecter à Internet et ouvrir le chrome, vous vous connectez à votre compte Google et mettez par inadvertance la synchronisation de compte ... Uff erreur tout les mots de passe sont téléchargés sur cette machine.
    Jusque-là, tout va plus ou moins bien. Vous allez, vous vous déconnectez, vous supprimez également le compte de synchronisation, vous ouvrez Chrome et Zaz, tous vos mots de passe et signets etc. sont toujours dans cette session de la machine.
    Ok, vous allez dans chrome, avancé, réinitialisez chrome à l'usine et Zas, ils suivent toutes vos informations là-bas.
    Eh bien, désinstallez et réinstallez Chrome ... Ufff tous vos mots de passe et autres informations sont toujours là.

    La seule façon dont je devais extraire mes informations de cette session Linux était d'entrer manuellement dans la page d'accueil de cette session Linux et de supprimer chacun des fichiers Chrome.
    Terrible!!!

  7.   atreyu94 dit

    Très bon article, mais dans Firefox, le problème est encore plus sérieux. Si vous avez un mot de passe principal et que votre ami veut regarder des vidéos de chatons, il ne pourra pas le faire sans le mot de passe principal, car il le demande encore et encore pour naviguer comme cela se fait régulièrement. Une solution évidente serait qu'en n'entrant pas le mot de passe principal, une session «invité» démarre, par exemple, où vous ne pouvez pas accéder aux paramètres ou aux connexions. En d'autres termes, le mot de passe principal continue d'être utile uniquement pour le propriétaire de l'ordinateur sur lequel Firefox est exécuté. Ce problème est vraiment grave, non seulement sur un ordinateur personnel, mais aussi particulièrement grave sur les ordinateurs institutionnels. Les salutations…