Bonjour a tous ! Sans rentrer dans la paranoïa je souhaite améliorer tout ce qui touche aux données sensibles sur mon pc. Donc ces derniers jours j'ai changé tout mes MDP pour quelque chose d'individuel et fort pour chaque sites donc je commence un peu a m’intéresser aux applications de gestionnaire de mot de passe et avec un peu de recherche je me suis aperçu (honte a moi ) que mozilla firefox propose dans ses options d'utiliser un MDP principal pour accéder aux mots de passes enregistré dans la base de donnée.  
Le but principal n'est pas de me protéger de ma femme ou de mes enfants mais plutôt en cas d'intrusion dans mon système histoire d'éviter tout risque sur les sites sensibles comme la banque et mes boites mails par exemple. Mais j'aimerai quand même garder la simplicité de cette automatisation de saisie des logins et MDP si possible pour gagner du temps et éviter les complications.  
Par exemple keepass nécessite de se connecter au site désiré puis de retourner sur l'app pour sélectionner les MDP enregistré et je trouve cela pas du tout pratique et intuitif.
 
Les questions sont les suivantes: La fonction mot de passe principal sur firefox est elle suffisante / sécurisé pour un cas comme le mien a votre avis ? Est elle chiffré comme dans un gestionnaire de mot de passe? Les mots de passe peuvent ils être récupérable par un méchant virus? Si ce n'est pas le cas, auriez vous quelque chose de gratuit, efficace dans son utilisation (automatisé) et sécurisé a me proposer ? Ou faut il passer par la caisse pour avoir soft complet dans mes critères?  
 
Je ne suis pas un professionnel donc désolé si certains passages peuvent être confus pour les plus aguerri  
 
Merci d'avance a celles et ceux qui prendront le temps de me répondre  

Bonjour,
 
 Perso j'utilise Bitwarden, il y'a des extensions pour tous les browsers et smartphone, il peut sauvegarder aussi des CB et des notes ... je suis satisfait avec la version gratuite - je connais pas vraiment keepass mais il a l'air de faire le job aussi
 https://keepass.fr/keepass-vs-bitwa [...] -securite/
 
 edit: si on se base sur le titre du topic "MDP principal sur firefox VS gestionnaire de MDP"  alors oui indéniablement y'a un intérêt à avoir un gestionnaire car ce dernier se synchronise sur tous tes appareils indépendamment du navigateur utilisé -  genre tu as une app pour le bus sur ton tel ben tu retrouve très facilement les id le jour où tu vas sur le site web du truc de bus, pareil pour les banques et tout, à n'importe quel moment avec ton tel tu retrouve les id d'un site/des num de cb/un iban etc...

C'est très bien de faire un effort au niveau sécurité.  
 
Pour Firefox je ne saurais répondre, par contre que ce soit le gestionnaire Firefox ou un gestionnaire tiers, si il y a un virus/trojan/bidule sur le PC ce dernier pourra récupérer tout ce qu'il veut. Le seul moyen de se prémunir contre ce genre d'ennuis c'est le 2FA (authentification deux facteurs) avec genre un TOTP (timed one time pad) qui est généré p.ex. sur smartphone (pas sur le même PC bien sûr!). Mais ça enlève de la facilité, il faut que les sites le supportent etc.
 
Perso je fais pas confiance aux gestionnaires, car si il y a une faille (et de mémoire il y en a eu, mais aucune idée sur quel produit) c'est la cata assurée. Dans tout les cas, si je devais utiliser un tel logiciel ça serait du Open Source obligatoirement. Le "security through obscurity" n'a jamais fonctionné, les exemples ne manquent pas et pour un truc FLOSS (donc code source dispo) il est - du moins en théorie - possible de vérifier le code, l'absence de "porte arrière" pour tel ou tel gouvernement/agence/bidule, ...
 
Après ça reste un sujet très compliqué la sécurité informatique et un sujet vivement discuté. Perso je dirais il faudrait lâcher Windows aussi, mais je me ferais engueuler...  
 
Ah et dans tout les cas il faut prévoir une copie de sauvegarde (cryptée ) de ces mots de passe en local, car si c'est stocké dans le "cloud" ça peut disparaître du jour au lendemain et si c'est stocké en local il peut toujours y avoir un virus/ransomware, un défaut matériel, ... C'est évidemment valable pour toute donnée, pas seulement les mots de passe.

Pour Bitwarden il est possible d'héberger le serveur chez soi (donc pas dans le cloud)
Sinon meme avec leurs serveurs il est impossible de récupérer ses données si on oubli son mdp principal, suis pas expert sécu mais ça me rassure

Sans vouloir tomber dans la paranoia et sans connaître ces gestionnaires, mais: C'est ce qu'on dit. Est-ce vrai? Est-ce que le cryptage est bien fichu? Est-ce qu'il n'y a pas une clé maître en possession de "quelqu'un"? Bref, à mon avis il faut être prudent. Après si c'est FLOSS, connu et audité, qu'on héberge le serveur en local ET qu'on saît ce qu'on fait (attention à exposer des trucs à internet!!) ça me semble bien parti. Mais c'est beaucoup de conditions.
 
Concernant le cryptage: Certes, il existe des algos absolument imbattables comme l'AES, mais il faut que ces algos soient correctement implémentés. C'est vraiment un sujet très vaste et très compliqué. Je peux en dire plus si ça intéresse, mais je ne suis pas expert, juste profane intéressé par ces sujets.

Faut surtout espérer que ce soit du chiffrement et non du cryptage, sinon tout le monde est perdant

étranger inside