Reprise du message précédent :
Rassurez moi les gens ici utilisent un gestionnaire de mdp avec des mdp uniques et générés ?

 
Oui sauf cas particulier de sites poubelles ou je m'en tape que n'importe qui accède à mon compte.

Toulousain même  

 
 

 
https://planificateur.a-contresens. [...] 7/PIB.html

 
Oui, oui bien sur   , pour les newbs tu pourrais faire un rappel vite fait du principe et des sites conseillés ?

BitWarden + Yubikey pour le 2FA.

pour ce genre de site j'utilise bugmenot

 
ça m'arrive ou bien une adresse yopmail

 
Je suis toujours sur Clair Obscur, vraiment très bon

 
Oui, mais ca me suffit pas
Un mi temps de mon 4j ca serait cool, allez je conçois un "vrai" mi temps.

Après ton jour de consultation tu pourras organiser différemment non ? Par exemple te laisser 2h à midi.

Chants of Senaar reference de bon goût

Bien évidemment.
Et pour ceux qui ne veulent pas payer, il existe de très bonne solution gratuite
 

Le problème n'est pas d'accéder à ton compte (enfin si aussi), mais c'est surtout d'utiliser le même mot de passe partout. A la moindre fuite de donnée, ça permet de pivoter sur d'autres services.  

 
J'ai pas de jour "officiel" de Consult, ca varie toutes les semaines, des fois c'est des jours entiers, des fois des demi-journées. Quand on est de Consult, on a 1h15 le midi. Je peux pas trop modifier les horaires, ou alors faut que je "concentre" les patients sur une plage horaire réduite parce que je vais pas faire faire des heures supplémentaires à ma secrétaire.

T'utilises un gestionnaire de mot de pass qui est très sécurisé (1password, last pass, apple ou google ont aussi des trucs...ou autre) qui va être un addon a ton tel et ton navigateur tout en gérant tes mdp.
 
Tu y accèdes via un mot de passe style passphrase! facile à retenir mais très fort (ça peut être un truc debile genre Calogronnant-est-le-roi-de-caledonie-92!) et avec 2FA évidemment (et pas par sms si possible) et ensuite ce truc va retenir et générer des mot de passe aléatoire pour tout tes sites. Genre des trucs comme 2715_€(&/10hjul!?  
Toi tu ne retiens pas ces mdp, tu retiens juste la passphrase.
 
Pourquoi c'est important ? Parceque sinon impossible de tout retenir donc tu vas réutiliser des mdp et donc il suffit que un site sur lequel tu es inscrit ait stocké ce mdp en dur et se fasse hacké et tu es niqué.
C'est un des moyens les plus simples de hacker les gens. Tu hack pas google tu hack le marchand de chaussures avec un site en ligne pourris, tu récupères les mdp/mail pas chiffrés et tu essaies de les réutiliser avec l'adresse mail sur google et autres....
 
Si ton mdp de gestionnaire est fort avec 2FA c'est incrackable en brute force et de plus c'est des logiciels normalement spécialisés donc relativement sécurisés (normalement merci lastpass ).

Ingérable dès qu'on se connecte sur des ordis pas à nous non?

Ba pourquoi ? Tu te  connectes une fois au gestionnaire et tu te deco en partant. Ou tu l'a sur ton tel. A quel moment tu te connectes à des ordis pas à toi régulièrement ?
C'est franchement indispensable aujourd'hui ou sinon je sais pas comment tu fais en fait....

Last Pass a déjà été hacké, à éviter.
1password non, mais y a quand même eu un breach un peu inquiétant.
BitWarden track record complètement clean à ma connaissance.

Pour être honnête Lastpass à ete hack mais pas de mdp ni fuite de passphrase de mémoire

Non en effet, les hackeurs ont récupéré des vaults cryptés.
Ils ont pu décrypter ceux qui avaient des master password trop faibles.

C'est un putain de point unique de défaillance générale ces trucs.

Je suis surpris de voir que parmi mes collègues pourtant relativement nerds c'est assez rare.
Beaucoup de gens ont soit mot de passe unique, soit base unique + élément variable (genre <base>_<appname> ), avec souvent des oublis et devoir cliquer sur j'ai oublié mon mdp.

Pas si ton mdp maître est complexe.
Si le logiciel est open source, que leurs serveurs ne reçoivent jamais de truc en clair, et que ton mdp maître est complexe, y a pas vraiment de souci.

Non.
J'ai les 3-4 mots de passe importants dans la tête (genre banques, google, amazon), et pour le reste rab, c'est un mot de passe avec quelques mini variations éventuelles.
Du coup je peux me connecter partout dans n'importe quelles circonstances.

Oui mais si faut lire tout le code source d'un truc pour s'en servir.

 
Appli Bitwarden par exemple.
 
 
Bitwarden j y accède par un mdp unique, long, majuscule et caractère spécifique

 
Tu ne te connectes jamais à un service sur un ordinateur qui n’ai pas à toi.  
Hygiène numérique de base.  
Même sur le pc du taff je ne suis pas connecté à des services perso
 

 
Bitwarden tu as même des rapports d’audit secu et pentest. C’est celui que je recommande.

J ai pris l abo a 9e annuel, je sais meme pas ce qu’il apporte
 
Mais cette boite le mérite

 
La mini variation est détectable entre 30 sec par n’importe quel outil. Ensuite tous tes services sont vulnérables.

 
C est ouf de faire ça encore en 2026 !

Quasiment rien (transférer des fichiers cryptés je crois mais bon personne n'utilise ce logiciel pour ça).
C'est du support aux devs essentiellement.

 
Pour les sites poubelles, je m'en tape je mets le même password et ils peuvent bien se connecter à tous, ça m'est indifférent.
 
Pour les autres sites, c'est keepass avec base de données synchronisée entre mon PC et mon téléphone avec SyncThing.
Comme ça j'ai accès de partout.
 
En vrai, ça serait bien que les sites se bougent le cul et acceptent tous les clefs de sécurité, c'est tellement plus pratique et plus besoin de connaitre de password.
Bon point pour github et bourso qui les acceptent.

 
Ha ba oui tu peux faire hfr à la limite ou un site d'achat, et encore, mais jamais tu te connectes à ta banque ou ton mail racine avec in pc que tu maîtrises pas. Pareil jamais tu fais ça avec des wifi ouvert genre le train ou pire...les hôtels... c'est la base

 
Oui voilà je l utilise plus que quotidiennement
 
 
Tu te connecte sur un autre pc qui est vérolé ou il le sera, vol de cookies, vol de session gmail
 
Et bing, t es foutu.
 
Les attaques aujourd’hui cherchent le vol de cookies de session.

Si t'as un 2FA physique c'est pas très grave de se connecter sur un pc/réseau tiers.

Bah si, vol de cookie de session.

Oui en effet  
Edit : y a des pistes d'ailleurs côté sécurité pour contrer ça ? En cherchant sur Google je vois des trucs genre session liée au device.

Tous les services dont je me fous, oui. Et c'est pas grave si on me pique mon compte hfr tu sais

 
Au boulot, ça m'arrive souvent (genre Googlesheet pour modifier notre planning en ligne, sur le tel c'est ingérable)
 

 
Banque en général c'est MDP en chiffres avec positionnement aléatoire, donc pas trop de problème.

Mais c'est ton pc du coup, personne d'autre s'y connecte non?
Et tu es jamais à l'abri d'un truc qui enregistre ton écran ou ton activité dans le cas d'un wifi ouvert.

 
Je me sers de mon cerveau  
Je fais des super MDP dédiés à chaque site. Et au bout de 3 mois je click sur MDP oublié