-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL Non, du tout. Mais alors pas du tout du tout.Permalink On twitter.com
Mood -6 🙁
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL LessPass nécessite de mémoriser quel est l’index utilisé par tel ou tel site web. En pratique, ça devient autant le bordel que de savoir lier une phrase de passe à un site.Permalink On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL Tant que ton index est globalement 1 partout, ça va. Quand tu commences à avoir changer ton pass à plusieurs endroits, tu pleures…Permalink On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL LessPass souffre aussi d’un gros problème de sécu théorique. Il suffit de la fuite d’un seul mot de passe pour mettre en péril l’ensemble des autres sites. C’est même presque encore pire que la situation actuelle.Permalink On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL En effet, il me suffit d’obtenir un seul de tes mots de passe pour pouvoir me mettre à bruteforcer le sel d’initialisation de LessPass (je n’ai pas besoin de bruteforcer ta phrase de passe ici).On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL Dès que j’ai un sel qui génère le mot de passe fuité, j’ai une proba totalement pas négligeable d’avoir ton sel LessPass et donc d’être en capacité de générer l’ensemble de tes autres mots de passe…Permalink On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL LessPass cherche à éviter ça via de la dérivation de clef coûteuse à paralléliser pour limiter le bruteforce, mais cette solution est comme AEAD & cie : la moindre erreur d’implem’ ou faille et toutes tes données deviennent équivalentes à du clair…Permalink On twitter.com
Mood +1 🙂
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL Un « vrai » gestionnaire de mots de passe n’a pas cette faiblesse puisqu’il faudra en plus avoir accès à la donnée du gestionnaire. La connaissance du sel n’est pas suffisante.Permalink On twitter.com
Mood 0
-
@gpellen @zidjinn @zlm314 @martin1975 @bortzmeyer @fourmeux @vincib @CNIL En bref, si tu sais ce que tu fais, oui, utilise LessPass, mais pour le grand public, non, juste oublie de préconiser ça…Permalink On twitter.com
Mood +3 🙂