Les gestionnaires de mots de passe sont-ils sécurisés avec la récupération de compte?
Les principales sociétés commerciales de gestion de mots de passe affirment avoir un système de "connaissance zéro". Cela signifie que le mot de passe principal de l'utilisateur est le seul moyen de déchiffrer les données et qu'il n'est stocké nulle part. Ainsi, même l'entreprise ne connaît pas le mot de passe principal ou a accès aux données des utilisateurs. J'ai mis la main sur KeeperSecurity , LastPass , Dashlane et 1Password .
Jusqu'ici tout va bien. Mais KeeperSecurity et LastPass offrent une possibilité de récupérer un compte lorsque l'utilisateur a perdu son mot de passe principal. Je veux dire, comment est-ce possible, si le mot de passe principal est le seul moyen d'accéder aux données et que personne ne le sait, sauf l'utilisateur?
KeeperSecurity gère cela en enregistrant une deuxième copie des données des utilisateurs qui n'est pas chiffrée avec le mot de passe principal, mais avec une question de sécurité, précédemment posée, et une réponse. Mais cela signifie qu'il existe un autre moyen d'accéder aux données des utilisateurs. Et il y a une chance que quelqu'un connaisse la réponse de sécurité. D'accord, la récupération nécessite l'accès au compte de messagerie et à un deuxième facteur d'authentification. MAIS il y a encore une autre chance d'accéder aux données en plus du mot de passe principal!
Dashlane et 1Password ne fournissent pas de récupération de compte.
Comment ces gestionnaires de mots de passe peuvent-ils prétendre être sécurisés et prétendre que le mot de passe principal est le seul moyen d'accéder aux données, mais offrent en revanche une option de récupération.
Que pensez-vous des gestionnaires de mots de passe avec option de récupération? Je veux dire que tous ceux qui utilisent un gestionnaire de mots de passe doivent être conscients de la perte du mot de passe principal.
Un gestionnaire de mots de passe avec option de récupération est-il vraiment fiable? Peut-être que quelqu'un pourrait donner une petite évaluation de la sécurité de ces systèmes de récupération.
Avoir une option de récupération est parfaitement bien tant qu'il est correctement sécurisé. Que vous préfériez perdre vos mots de passe si vous perdez le mot de passe principal ou que vous souhaitiez faire confiance à la société de gestion des mots de passe avec accès à vos mots de passe, c'est à vous de décider.
Gardez à l'esprit que la sécurité est un moyen de parvenir à une fin. Il y a toujours des compromis à faire. Vous pouvez avoir un ordinateur parfaitement sécurisé sans avoir d'ordinateur. L'utilisabilité en souffre cependant.
Modifier:
Étant donné que les personnes dans les commentaires souhaitent une réponse à la question spécifique de "la sécurité des gestionnaires de mots de passe avec option de récupération", j'ajouterai quelques points:
Il est possible de fournir des options de récupération sécurisées, mais cela dépend toujours du modèle de l'attaquant. La sécurité dépend TOUJOURS du modèle de l'attaquant : Les mots de passe sont de très mauvais lecteurs contre-esprit!
Voici quelques idées possibles pour des schémas de récupération raisonnablement sûrs:
- Chiffrez une copie de la base de données sous une clé différente et demandez à vos utilisateurs d'imprimer cette clé et de la stocker dans leur coffre-fort. C'est ce que fait keybase.io, ou le cryptage du lecteur Ubuntu.
- Stockez une copie de la base de données qui nécessite une clé de l'entreprise sur la machine des utilisateurs.
- Avoir deux départements dans l'entreprise, l'un stockant une copie DB, l'autre stockant la clé nécessaire. Si vous souhaitez récupérer, vérifiez à la fois votre identité et envoyez-vous leur pièce.
Cependant, rien de tout cela ne signifie qu'il est impossible pour quelqu'un d'autre d'obtenir vos mots de passe. (n'utilisant pas "connaissance zéro" car cela a signification spécifique qui fonctionne complètement différent lorsqu'il est appliqué aux mots de passe) Après que tous les employés pourraient être complices ou des coffres-forts peuvent être introduits par effraction.
Chaque option de récupération pour vous est également une option de récupération ou un chemin d'attaque alternatif pour voler vos mots de passe.
Rappelez-vous: si vous voulez demander "Comment X est-il sécurisé?" votre modèle d'attaquant doit être évident ou déclaré. La sécurité dépend toujours du modèle de l'attaquant! Il n'y a pas de sécurité absolue.
C'est une sorte de à qui puis-je faire confiance question. Lorsque vous utilisez un gestionnaire de mots de passe, et en particulier un gestionnaire en ligne, vous lui faites confiance. Certes, votre coffre de mots de passe est stocké sous une forme cryptée sécurisée qui peut être décryptée avec votre clé principale privée, et vous faites confiance au gestionnaire de mots de passe pour ne jamais divulguer cette clé - il doit le savoir au moment du décryptage. Pour ceux qui proposent une procédure de récupération, le secret principal peut être déchiffré soit avec votre clé privée, soit avec une autre clé. Si vous avez seulement besoin de répondre à une question de sécurité, il suffit qu'un attaquant connaisse la réponse à la question de sécurité pour accéder à vos mots de passe. S'il est beaucoup plus simple de deviner votre mot de passe principal, alors vous avez réduit la sécurité globale.
Si la récupération implique à la fois la réponse à une question de sécurité et l'accès à une boîte aux lettres, elle est aussi sécurisée que la plus sécurisée des deux. Par exemple, si vous utilisez 2FA sur votre boîte aux lettres, cela peut être acceptable. Parce qu'ici encore, vous faites confiance à votre fournisseur de messagerie.
Quoi qu'il en soit, lorsque vous utilisez un gestionnaire de mots de passe, vous admettez qu'il a suffisamment de procédures sécurisées (*) pour protéger vos mots de passe qu'il n'est plus le point le plus faible. Autrement dit, vous admettez qu'il serait plus facile pour un attaquant de pirater votre propre système (où vous tapez le mot de passe principal) que le système hébergeant le gestionnaire de mots de passe. Si vous ne le faites pas, vous ne devez pas utiliser ce gestionnaire de mots de passe.
(*) Je parle de procédures ici, car la sécurité du système implique bien plus que des logiciels. Vous devez également prendre en compte la sécurité physique du centre de données et savoir si vous pouvez faire confiance à tous les employés disposant de privilèges d'administrateur sur le système.
C'est juste ma propre opinion, mais je dois admettre que je suis toujours réticent à utiliser un gestionnaire de mots de passe en ligne pour ces raisons et à m'en tenir à un coffre-fort local avec des sauvegardes privées.
Cela signifie que le mot de passe principal de l'utilisateur est le seul moyen de déchiffrer les données et qu'il n'est stocké nulle part.
Non, non. "Zéro connaissance" signifie que personne dans l'entreprise, et encore moins un pirate informatique, ne peut déchiffrer vos données en moins de temps de force brute, même si les données leur sont données sur un plateau d'argent. Vos données sont "stockées", mais dans un format crypté ou deux. Zéro connaissance signifie que vos données ne sont pas stockées, en texte clair, n'importe où dans le système.
S'il y a deux, trois ou cinq façons d'accéder aux données, elles sont toujours sécurisées tant qu'il n'est pas possible d'obtenir des bits d'informations à partir des formulaires cryptés de différentes manières (et, vraisemblablement, il y a un remplissage aléatoire pour décourager cela).
Avoir plus d'une méthode pour accéder aux données est toujours raisonnablement sûr, tant que les questions sont quelque chose auquel vous seul pouvez répondre, ou nécessiter 2FA, etc.
La documentation de LastPass indique ce qui suit pour réinitialiser un mot de passe:
Si le conseil [mot de passe] n'aide pas, allez à la page de récupération de compte pour activer votre mot de passe unique local. Cela vous permet de changer votre mot de passe principal si vous vous êtes déjà connecté à LastPass sur cet ordinateur, et c'est la seule façon de 'réinitialiser votre mot de passe'. Vous devriez essayer ceci sur tous les navigateurs et sur tous les ordinateurs sur lesquels vous avez utilisé le plugin LastPass pour accéder à votre compte. Cette méthode ne fonctionne pas sur les appareils mobiles. La récupération de compte n'est pas prise en charge sur les appareils mobiles ou les applications. Changer le mot de passe principal, rétablir le compte ou effacer le cache du navigateur pour LastPass peut détruire ces fichiers.
Cela suggère fortement que le matériel de saisie pertinent (ou peut-être l'intégralité du coffre-fort) réside dans le navigateur, et non sur les serveurs de LastPass. Sinon, ces restrictions n'auraient aucun sens.
Si vous avez mis à jour votre mot de passe principal au cours des 30 derniers jours, vous pouvez suivre ces étapes pour revenir à votre ancien mot de passe principal. Veuillez noter que nous ne recommandons PAS de sélectionner l'option "restaurer" sauf si vous avez confirmé auprès du support LastPass qu'il s'agit de la meilleure solution.
Cela indique qu'ils conservent une ancienne copie du matériel de saisie pendant trente jours, mais cela ne signifie pas qu'ils le gardent non chiffré.
Votre autre lien ne fournit pas suffisamment d'informations pour que j'évalue où ils conservent leur matériel de saisie, car il dit seulement que "Si la récupération de compte est activée sur votre compte, vous serez guidé à travers une procédure pour réinitialiser votre mot de passe principal." Il n'indique pas ce que cette procédure implique, ni si vous pouvez l'exécuter sur un tout nouvel ordinateur.