Topic de la convivialité 2014 - v1.0

Bref, c'est extrêmement bien tant que ce n'est pas mauvais, auquel cas ça l'est vraiment.
Mais je reconnais une efficacité dans ce que cela fait.

Un cambriolage et pouf, plus de liste de MdP

Il est extrêmement facile de crypter un disque dur. Le cambrioleur l'a vite dans le cul hein.
 

Je viens de finir ma migration de HDD vers SSD. Je suis en train de récupérer toutes les données qui étaient sur mon HDD et que j'avais stockées sur mon DDE pendant la migration, et de les remettre sur mon HDD.

C'est horrible et ça prend des heures. Mais quand, tout à l'heure, j'ai boot en ~10s, je me suis dit que ça valait le coup.

Ah mais totalement. Perso, je savais que c'était "mieux", mais j'm'étais pas rendu compte à quel point. Quand un boot complet Windows 8.1 prend 6 secondes (services compris), ça fait vraiment halluciner au début.

Le 07/10/2014 à 17:10, Supter avait écrit ...
Je viens de finir ma migration de HDD vers SSD. Je suis en train de récupérer toutes les données qui étaient sur mon HDD et que j'avais stockées sur mon DDE pendant la migration, et de les remettre sur mon HDD.

j'espère que t'en as pris un gros (250go mini) parce qu'avec les progs inclus d'égalisation de la fatigue, sa durée de vie est proportionnelle à sa capacité.

Le 07/10/2014 à 10:36, NewMilenium avait écrit ...
@Anastazor : pourquoi?

parce que je suppose que si t'en avais 2 ou plus, ca te ferais tellement chier de déménager les clés et/ou les synchro que tu trouverais une autre solution. Et c'est d'autant plus marrant quand t'as 1 pc à la maison, 1 pc chez ta copine et 1 pc à ton boulot. 

J'ai 3 PC (mais j'en utilise 95% du temps que 2). Pour des raisons de sécurité, je ne te dirai pas comment je fais (j'imagine bien certains petits malins commencer à me hack juste pour dire "hah, tu vois que c'est faisable!") mais tu pourrais avoir par exemple une clé USB sur laquelle tu mets ton fichier de mot de passe, que t'as tout le temps sur toi, cryptée.

Le 07/10/2014 à 10:36, NewMilenium avait écrit ...

Si tu vis dans un monde magique ou personne ne pourra jamais avoir accès à ton mot de passe super complexe de la mort, tu peux aussi bien l'utiliser partout, hein.

C'est là que tu as tort : quand tu donnes un mot de passe sur un site, la sécurité de ton mot de passe dépend du site.
Donc utiliser un mot de passe introuvable sur INTERNET, c'est risquer de te le faire hack.

Ok, ma phrase était exagérée pour pointer du doigt le fait qu'un mot de passe, quel qu'il soit, est toujours vulnérable.
Bien sûr, tu as raison de m'attaquer sur l'autre aspect que je passe sous silence, vu que je n'ai pas du tout pris soin d'en parler dans la phrase qui suit. OH, WAIT. Si, en fait je parle de ça juste une phrase plus loin, allons voir ça.

Le 07/10/2014 à 10:36, NewMilenium avait écrit ...

La raison pour laquelle il faut utiliser des mots de passe différent c'est pas que parce que certains sites sont peu fiables, c'est avant tout parce qu'il faut être con pour penser qu'un de nos mots de passe est 100% safe.

Tu confonds 2 choses : safe d'un point de vue "trouver en cherchant" + "brute force", et "safe" d'un point de vue "sécurité du site sur lequel tu utilises le mot de passe".

Ok, donc là on arrive au moment sensible où on se rend compte que tu ne lis que ce que tu veux lire.
Tu m'accuses de confondre deux choses en citant une phrase où je prends justement soin de distinguer les deux de manière évidente.

Le 07/10/2014 à 10:36, NewMilenium avait écrit ...
Tu peux faire des mots de passe non-crackable et introuvables d'un point de vue recherche  + brute force.

Tu peux protéger suffisamment ton PC pour que personne ne puisse rentrer dessus chercher ton fichier KeePass.

Et ça c'est le truc sur lequel on n'est pas d'accord.
Déjà, tu ne peux jamais vraiment être sûr que ton pc est correctement protégé (à moins de ne jamais le connecter si à internet ni à un périphérique de stockage, peut-être).
Aussi parce que pour tout ce qui se passe en local, il y a un autre facteur qui joue, le fait que les gens autour de toi peuvent avoir accès à ton pc pour une durée indéfinie et/ou te voir taper ton mot de passe, typiquement.

Le 07/10/2014 à 10:36, NewMilenium avait écrit ...

Cette hypothèse implique une faille de ta part. Faille que j'ai exclue lors de mon post précédent par l'hypothèse "je suis capable de retenir définitivement 1 mot de passe complexe que personne ne peut trouver".

Il n'y a donc aucune faille de sécurité. C'est toi qui en rajoutes avec tes hypothèses du type "quelqu'un a accès à ton keepass".

Mon hypothèse c'est que tu ne peux jamais être sûr à 100% d'être safe. Tu peux t'en convaincre si tu veux, mais il y a tellement de moyen de se voir récupérer un mot de passe à son insu que tu ne peux pas être réellement sûr.
Effectivement dans l'hypothèse "mon mot de passe" alors ton mot de passe est safe, mais la question c'est de savoir si oui ou non cette hypothèse est valide.

Bref, si une seule chose doit rester de mon propos : la différence entre avec KeePass et avec KeePass, c'est que dans le deuxième cas tu as peut-être accès à tes mots de passe plus facilement, mais tu t'ajoutes une vulnérabilité.
Aussi safe et bien protégé que soit ton pc, ton mot de passe et l'âge du capitaine, tu prends strictement plus de risques en cachant tes mots de passe derrière un unique mot de passe qu'en ne le faisant pas.
Si personne ne trouve ton mot de passe KeePass, tu es EXACTEMENT aussi bien protégé que quelqu'un qui n'utilise pas KeePass. Si quelqu'un trouve ton mot de passe, tu as tous tes mots de passe à l'air libre.

Bref, c'est strictement plus risqué d'utiliser KeePass que de ne pas l'utiliser.

Mon hypothèse c'est que tu ne peux jamais être sûr à 100% d'être safe.

Déjà tu prends pour hypothèse le contraire de ce que je montre. Forcément c'est facile comme hypothèse.

Aussi safe et bien protégé que soit ton pc, ton mot de passe et l'âge du capitaine, tu prends strictement plus de risques en cachant tes mots de passe derrière un unique mot de passe qu'en ne le faisant pas.
Si personne ne trouve ton mot de passe KeePass, tu es EXACTEMENT aussi bien protégé que quelqu'un qui n'utilise pas KeePass. Si quelqu'un trouve ton mot de passe, tu as tous tes mots de passe à l'air libre.

Sauf que j'ai démontré qu'il était siouper facile d'être dans le deuxième cas. Ca sert donc à rien d'insister sur le premier cas; on est dans le deuxième cas, donc y'a pas plus de risque.

Le 07/10/2014 à 22:46, NewMilenium avait écrit ...

Sauf que j'ai démontré qu'il était siouper facile d'être dans le deuxième cas.

Dire "je suis convaincu que personne ne peut récupérer mon mot de passe" n'est pas une preuve que personne ne peut récupérer ton mot de passe, hein. Tu n'as rien démontré.
Tu dis juste qu'en partant du principe que personne ne récupère ton mot de passe, tu te mets pas plus en danger que quelqu'un qui n'utilise pas KeePass. Ce qui est vrai, on est d'accord. Mais se créer volontairement une faille en s'auto-persuadant que c'en est pas une parce que ton mot de passe est trop complexe bah... c'est se créer volontairement une faille de sécurité. Tu peux te cacher les yeux et prétendre que la faille existe pas, tu auras quand même créé un risque non nul qui n'existait pas à la base.

Le 07/10/2014 à 14:58, NewMilenium avait écrit ...
Il est extrêmement facile de crypter un disque dur. Le cambrioleur l'a vite dans le cul hein.
 

Je crois que tu lis en travers ce que l'on écrit. Je n'ai jamais dis que le cambrioleur y gagnais quelque chose, mais surtout que toi tu perdais tous tes mots de passe.


En fait je suis d'accord avec senen, tu n'auras jamais une sécurité de 100%. Centraliser tout couvre un certain nombre de soucis de fiabilité, c'est sur, par contre ça crée une faille unique.

L'hypothèse que tu avances est : ton système est fiable. Soit. Si tu te fais voler ton ordi (ou ton support de stockage) et que c'est un des gars qui s'est amusé à hacker la CIA, penses-tu qu'il n'arrivera pas à récupérer ton MdP ?
Si tu penses qu'il y arrivera, cela signifie que ton hypothèse est fausse.
 

Dire "je suis convaincu que personne ne peut récupérer mon mot de passe" n'est pas une preuve que personne ne peut récupérer ton mot de passe, hein. Tu n'as rien démontré.

Déjà, tu ne peux jamais vraiment être sûr que ton pc est correctement protégé (à moins de ne jamais le connecter si à internet ni à un périphérique de stockage, peut-être).

Nan mais même sans ça. Je dis pas que le pékin moyen qui y connaît rien peut protéger son PC à 100%, je dis qu'avec un minimum de connaissances et de bon sens, si, tu peux faire que ton PC soit protégé (par rapport à Internet - j'y reviens dans un instant pour Tripel_Ix), j'ai donné un exemple de comment précédemment. Ca oblige aussi un certain nombre de bonnes pratiques, certes, mais ça reste la réalité.

En fait je suis d'accord avec senen, tu n'auras jamais une sécurité de 100%.

Ca dépend des objectifs. La sécurité à 100% sur un ou deux objectifs est possible, comme ici; ne jamais se faire ouvrir son fichier KeePass par quelqu'un d'autre que toi. Mais la sécurité à 100% avec plein d'objectifs, bien sûr que non, y'a toujours des compromis à faire. C'est le dilemne constant sur plein de sujets des entreprises aujourd'hui.

Si tu te fais voler ton ordi (ou ton support de stockage) et que c'est un des gars qui s'est amusé à hacker la CIA, penses-tu qu'il n'arrivera pas à récupérer ton MdP ?
Si tu penses qu'il y arrivera, cela signifie que ton hypothèse est fausse.

Pas du tout, tu confonds la sécurité par rapport à Internet et la sécurité physique. Je l'ai déjà mentionné précédemment. Je dis que le système est fiable par rapport à Internet. Libre à toi d'y ajouter un système qui rend le truc involable physiquement, ça ne m'intéresse pas dans la discussion ici-présente.

Le 08/10/2014 à 09:15, NewMilenium avait écrit ...

Nan mais même sans ça. Je dis pas que le pékin moyen qui y connaît rien peut protéger son PC à 100%, je dis qu'avec un minimum de connaissances et de bon sens, si, tu peux faire que ton PC soit protégé (par rapport à Internet - j'y reviens dans un instant pour Tripel_Ix), j'ai donné un exemple de comment précédemment. Ca oblige aussi un certain nombre de bonnes pratiques, certes, mais ça reste la réalité.

À part en ne te connectant jamais à internet, c'est à peu près impossible de s'assurer que ton pc est complètement clean, hein.
Enfin, j'imagine qu'en plus du mot de passe magique que personne ne peut obtenir, tu as un antivirus divin qui repère absolument tous les logiciels nuisibles.

Le 08/10/2014 à 09:15, NewMilenium avait écrit ...

Pas du tout, tu confonds la sécurité par rapport à Internet et la sécurité physique. Je l'ai déjà mentionné précédemment. Je dis que le système est fiable par rapport à Internet. Libre à toi d'y ajouter un système qui rend le truc involable physiquement, ça ne m'intéresse pas dans la discussion ici-présente.

Le truc c'est que tu considères uniquement deux moyens pour quelqu'un de récupérer ton mot de passe et tu choisis d'ignorer tous les autres.
Un keylogger ? Un pote qui te voit taper ton mot de passe ? Quelqu'un qui te vole ton pc (ou un ami qui y a accès régulièrement) ?
Même pour ce qui est du mot de passe, tu as une probabilité strictement positive qu'un mec trouve ton mot de passe, rien que par génération aléatoire de mots de passe. C'est pas parce que ton mot de passe est dur à brute force qu'il est impossible de le brute force. Ça n'a aucun sens de dire que tu es imune au brute force.

Bref, en pratique, on est d'accord qu'il y a peu de chances que ça arrive (encore que le "un pote te voit taper ton mot de passe" et "un pote a accès à ton pc", tu choisis de les ignorer mais ce sont quand même des façons très répandues de se faire chourrer un mot de passe), mais ça PEUT arriver. De plein de façons différentes.
Et... ben c'est tout, on essaie juste de te faire comprendre que c'est strictement plus risqué d'utiliser KeePass que de ne pas l'utiliser, et ça se résume à ça. Tu as une chance non nulle de compromettre tous tes mots de passe d'un coup.

Un keylogger ?

Implique que tu n'appliques pas les bonnes pratiques mentionnées précédemment.

Un pote qui te voit taper ton mot de passe ?

N'est pas la sécurité par rapport à Internet, comme mentionné précédemment.

Quelqu'un qui te vole ton pc

N'est pas la sécurité par rapport à Internet, comme mentionné précédemment.

(ou un ami qui y a accès régulièrement) ?

Implique que tu n'appliques pas les bonnes pratiques mentionnées précédemment.

Même pour ce qui est du mot de passe, tu as une probabilité strictement positive qu'un mec trouve ton mot de passe,

Négligeable et en pratique peut être considérée nulle, je te laisse calculer les probabilités sur un mot de passe d'au minimum 12 caractères avec au moins 1 chiffre, 1 lettre minuscule, 1 lettre majuscule, et 3 caractères spéciaux (c'est la norme).

C'est pas parce que ton mot de passe est dur à brute force qu'il est impossible de le brute force.

En temps de vie humain, si. J'ai pris aussi comme hypothèse évidente que celui qui faisait un brute force n'était pas la NASA.

Et... ben c'est tout, on essaie juste de te faire comprendre que c'est strictement plus risqué d'utiliser KeePass que de ne pas l'utiliser, et ça se résume à ça. Tu as une chance non nulle de compromettre tous tes mots de passe d'un coup.

Plus risqué pour quelqu'un qui n'a pas de bonne pratique, qui n'y connait rien en sécurité, ou qui prête son PC. Risque négligeable sinon, et considéré comme nul à l'échelle du temps de vie humain.

Ok, en fait tu limites le terme sécurité à un seul aspect, et donc considères ton système fiable dans cet aspect uniquement.
Faut juste voir que dans la conversation tu es le seul à restreindre la notion de sécurité pour appuyer tes dires. En fait tu t'enfermes, tu places des murs entre les difficultés qui se posent et ton explication pour qu'elle reste valable (c'est l'impression que j'en ai, à la vue de l'évolution de tes explications). Mais j'appréhende mieux ton point de vue.


Par contre je n'affirmerai pas que c'est plus risqué d'utiliser KeePass. Le risque est différent, moins fréquent (de beaucoup sans doute) mais plus grave (dans une partie des cas seulement à mon avis, mais jamais moins).

En informatique il n'y a rien d'impossible.

Tu ne seras jamais protégé à 100%
Tu ne seras jamais anonyme à 100%
Ta sécurité ne sera jamais fiable à 100%

On a vu des grosses boîtes comme Sony ou Microsoft se faire trouver et exploiter des failles , tu crois que toi petit random du net tu es mieux protégé tout seul qu'une entreprise multinationale avec un parc d'informaticiens ?

Ouvre les yeux New, si un mec qui s'y connaît VEUT te pirater tes mdp, il le fera, et il y arrivera.

Et parce que tu as tout planqué derrière un seul mdp, tu perdras tout d'un coup.

Même Voldemort avait compris qu'il avait pas intérêt à planquer tous ses horcruxes dans le même endroit.