PasswordComposer

Si comme moi, vous passez beaucoup de temps sur Internet, vous visitez sans doute une multitude de forums et de sites qui requièrent une authentification. Au niveau du choix du mot de passe, il y a deux écoles : la bonne (avoir un mot de passe différent pour chaque site) et la mauvaise (utiliser le même mot de passe pour tous les sites). Bien entendu, la bonne est la plus difficile à mettre en oeuvre mais de loin la plus sûre.

Imaginons qu’un pirate arrive à compromettre l’un des sites sur lequel vous avez un compte. Si cela arrive et que vous utilisez le même mot de passe partout, tous vos accès sont à la merci de ce pirate. Bien sûr, encore faut-il que celui-ci sache retrouver les sites sur lesquels vous avez des comptes mais cela est tout à fait faisable si la personne est motivée ou bien vous connait.

La solution est clairement d’utiliser un mot de différent pour chaque site malgré la lourdeur de cette solution. Heureusement, Nick Wolff a ecrit il y a quelques mois un bookmarklet qui facilitait cette tâche mais restait peu pratique à utiliser de manière intensive. Pour remédier à cela, Johannes la Poutré a développé une extension pour Firefox qui reprend le même principe mais avec une bien meilleure ergonomie.

Le fonctionnement est le suivant. Une fois l’extension installée, une icone apparait dans les formulaires à côté des champs de type password.

Lorsque vous cliquez sur cette icone, une boîte de dialogue apparait vous demandant de saisir le mot de passe maître. Il s’agit du seul et unique mot de passe que vous aurez à retenir. Password Composer utilisera ce mot de passe et l’hôte de la page sur laquelle vous êtes pour générer un mot de passe, puis renseignera les champs de type password avec celui-ci.

Le mot de passe est donc unique mais vous n’avez absolument pas besoin de le retenir ni même de le connaitre car il sera regénéré à chaque fois. La seule contrainte est de faire attention au sous-domaine car il est pris en compte lors de la génération du mot de passe. Ainsi, le mot de passe pour www.domaine.com sera différent de celui pour domaine.com.

L’intérêt de cette extension est qu’elle combine le meilleur des deux méthodes. Elle permet de ne retenir qu’un seul mot de passe tout en ayant des mots de passe différents pour chacun des sites sur lesquels vous avez des comptes.

Ce contenu a été publié dans Boîte à outils. Vous pouvez le mettre en favoris avec ce permalien.

13 réponses à PasswordComposer

  1. Pascal G dit :

    Autre solution, plus "bidouille" : associer le mot de passe au nom du site lui-m?me. Exemples : le mot de passe = le nom du site lui-m?me (p?rilleux, maintenant que j’ai l?ch? l’id?e…), ou encore = la r?p?tition (x 4) de la 1?re lettre (Ebay -> e -> 5 -> mot de passe : 5555), ou de la 2e lettre. Etc…

  2. YoGi dit :

    et si tu veux te connecter sans avoir firefox, vu que tu ne connais pas le mot de passe final, tu fais comment ?

    c’est une situation plus courante qu’il peut sembler de prime abord. par exemple je surfe beaucoup depuis mon t?l?phone, me connecte ? ma messagerie, sur des forums, etc.

  3. FG dit :

    Et si tu formates l’ordi ou desinstalle firefox , tu perds tout tes mdp …

  4. JMF dit :

    YoGi> En effet, c’est un cas qui ne peut ?tre g?r? mais de mon point de vue, cela ne concerne que peu de gens.

    Personnellement, avec mon Nokia 3330, je n’ai m?me jamais surf? sur le net. 😉

  5. JMF dit :

    FG> Tu n’as pas compris le principe. Le mot de passe n’est stock? nulle part. Il est reg?n?r? ? chaque fois par PasswordComposer car il est bas? sur le mot de passe ma?tre qui est fourni par l’utilisateur et le nom de l’h?te de la page courante.

  6. YoGi dit :

    non mais je me fais l’avocat du diable. j’imagine que sur tout bon site tu peux demander ? changer ton mot de passe (et le r?cup?rer s’il est moins bon).

  7. C?dric dit :

    JMF : donc on peut avoir deux FF sur deux PC diff?rents, suffit d’y mettre le m?me mdp maitre et c’est r?gl?? C’est bon ?a, tr?s bon.

  8. JMF dit :

    C?dric> Tout ? fait.

  9. David Latapie dit :

    Je pressentais des risques dans cette technologie et j’avais raison.

    Quand j’ai voulu cr?er un compte GMX, j’ai utilis? ce fameux g?n?rateur de mots de passe (c’?tait avant l’extension Firefox, je l’utilise sur Safari)

    La page d’inscription n’est pas la m?me que celle de confirmation (ce qui est tr?s fr?quent), r?sultat, mot de passe foutu et impossible de terminer mon enregistrement (mais le login que je voulais prendre lui, je ne pouvais plus le prendre pour r?sessayer).

    Bref, pas assez s?r. Une m?thode alternative avec trois mots de passe
    blog.empyree.org/?2003/10…

  10. JMF dit :

    David Latapie> Que la page d’inscription et la page de confirmation soient diff?rentes ne pose aucun probl?me ? cette m?thode. Ce qu’il ne faut pas c’est que les h?tes soient diff?rents. Honn?tement, si c’est le cas c’est qu’il y a un probl?me d’architecture, non ?

    De plus, je ne vois pas en quoi cela remet en cause la s?ret? du proc?d?.

  11. David Latapie dit :

    Pas assez s?r ici n’avait rien ? voir avec la s?curit? informatique, mais avec l’assurance d’y retrouver ses petits. Peut-?tre que ta m?thode est diff?rente de celle que j’ai test? (j’ai encore le javascript, si ?a t’int?resse)

    Enfin, chat ?chaud??

  12. David Latapie dit :

    Par ailleurs, o? se trouve les fils RSS par discussion ? Je n’ai pas envie de suivre les commentaires de tous les billets, juste ceux des discussions o? j’interviens.

  13. JMF dit :

    David Latapie>o? se trouve les fils RSS par discussion ?
    Il n’y en a pas pour le moment. Peut-?tre plus tard si je trouve du temps pour m’occuper de mon blog.

Les commentaires sont fermés.