Bonjour,
Vous connaissez sans doute LastPass, Roboform et tout autre gestionnaire de mot de passe.
Un petit nouveau arrive sur le marché : https://saltthepass.com
Avec une différence fondamentale par rapport aux autres : il ne stock aucun mot de passe.
Le principe ?
Vous avez un mot de passe maître relativement long et compliqué et il est encodé avec un algorithme et le nom de domaine du site en question.
Par exemple avec le mot de passe maître : test (qui n'est pas long ni compliqué et est donc un très mauvais mot de passe maître)
Le domaine google.com ça donne le mot de passe : zAD2jMhUReKJCoHj2tRo
Ce qui veut dire qu'il suffit pour chaque site d'entrer votre mot de passe maître et il va vous générer le mot de passe dédié au site en question.
Simplement utiliser le site https://saltthepass.com nécessite de faire un copier/coller du mot de passe pour le mettre dans le formulaire d'identification.
J'ai donc créé une extension Chrome http://www.bouh.org/saltthepass.html (version alpha) qui fait tout le travail.
Pour ceux qui sont intéressés, j'aimerais que vous testiez l'extension et essayer toutes les techniques que vous voulez pour essayer d'intercepter/voler le mot de passe maître que la personne entre.
Bien entendu je parle des techniques tournant dans le navigateur, qu'un webmaster malveillant pourrait mettre en place, ou à base de script js etc. Car tout ce qui est keylogger etc (donc en dehors du navigateur) tous les systèmes de mot de passe sont faillible.
Pour trouver une faille, je vous rappel que vous pouvez dézipper le .crx pour voir comment c'est codé, comment il marche et ainsi trouver plus facilement une faille.
J'ai essayé de faire attention à ce qu'il n'y en ai pas, mais j'ai peut-être (sans doute) oublié des trucs
Pour le tester, une fois qu'il est installé il suffit de cliquer sur un champ password, il va automatiquement vous ouvrir une popup qui demande le mot de passe maître.
Vous connaissez sans doute LastPass, Roboform et tout autre gestionnaire de mot de passe.
Un petit nouveau arrive sur le marché : https://saltthepass.com
Avec une différence fondamentale par rapport aux autres : il ne stock aucun mot de passe.
Le principe ?
Vous avez un mot de passe maître relativement long et compliqué et il est encodé avec un algorithme et le nom de domaine du site en question.
Par exemple avec le mot de passe maître : test (qui n'est pas long ni compliqué et est donc un très mauvais mot de passe maître)
Le domaine google.com ça donne le mot de passe : zAD2jMhUReKJCoHj2tRo
Ce qui veut dire qu'il suffit pour chaque site d'entrer votre mot de passe maître et il va vous générer le mot de passe dédié au site en question.
Simplement utiliser le site https://saltthepass.com nécessite de faire un copier/coller du mot de passe pour le mettre dans le formulaire d'identification.
J'ai donc créé une extension Chrome http://www.bouh.org/saltthepass.html (version alpha) qui fait tout le travail.
Pour ceux qui sont intéressés, j'aimerais que vous testiez l'extension et essayer toutes les techniques que vous voulez pour essayer d'intercepter/voler le mot de passe maître que la personne entre.
Bien entendu je parle des techniques tournant dans le navigateur, qu'un webmaster malveillant pourrait mettre en place, ou à base de script js etc. Car tout ce qui est keylogger etc (donc en dehors du navigateur) tous les systèmes de mot de passe sont faillible.
Pour trouver une faille, je vous rappel que vous pouvez dézipper le .crx pour voir comment c'est codé, comment il marche et ainsi trouver plus facilement une faille.
J'ai essayé de faire attention à ce qu'il n'y en ai pas, mais j'ai peut-être (sans doute) oublié des trucs
Pour le tester, une fois qu'il est installé il suffit de cliquer sur un champ password, il va automatiquement vous ouvrir une popup qui demande le mot de passe maître.