Votre confiance en 1Password

[Lucieaus]

Bonjour,

1Password est un logiciel fabuleux, vraiment très pratique, qui fait gagner énormément de temps et permet d'économiser un peu sa mémoire.

Ce que je voudrais demander, c'est si vous avez assez foi en lui pour lui confier vos identifiants bancaires, identifiants Paypal, scan de pièces d'identités et autres données extrêmement sensibles?

Le logiciel parait ultra sécurisé, avec des options paramétrables pour que l'on ne puisse pas laisser accidentellement l'application ouverte.

Avez vous des doutes quant-à la sécurité ou la confidentialité du logiciel? Lui faites vous confiance pour stocker absolument tout, ou avez vous restreint et bridé son utilisation pour un usage basique et "peu risqué" (identifiants internet, etc ...)?

Merci et bonne journée

 

[MatthieuDuNet]

J'ai beaucoup aimé 1password notamment pour sa création de mots de passes farfelus (les enregistrer néanmoins sur un fichier txt à côté). Dorénavant je suis sur Dashlane, mais c'est sensiblement pareil.

Pour te répondre je les trouve extrêmement pratique, mais me limite aux identifiants de sites web particulièrement fréquentés, même pas de pièces d'identités. Encore moins des identifiants bancaires. Je ne sais pas si c'est du manque de confiance, ou simplement le fait que ça ne me paraisse pas naturel de donner des infos trop confidentielles à un logiciel.

Donc je ne pourrai pas parler sur la sécurité de la chose malheureusement.

 

[pepeye66]

Quand on lit ce que l'on lit sur les failles de sécurité et les jailbreak, quand on lit les mésaventures de sites soit disant sécurisés, .... comment peut on imaginer un seul instant que ces logiciels soient inviolables !
Allons, un peu de bon sens !!!
Il faut garder ses codes d'accès et identifiants stratégiques à l’abri de toute corruption ou espionnage.
Maintenant, si certains aiment défier les probabilités...

 

[Lucieaus]

Merci de vos réponse,

J'ai également du mal à lui confier certaines informations trop importantes. Même si en 6 ans personne n'a pu le mettre à mal sur quelque plateforme que ce soit, et qu'aucun scandale n'ait éclaté concernant d'éventuelles intentions malveillantes de l'éditeur, on est jamais à l'abri d'un petit génie qui trouverait une solution. L'éditeur n'est pas avare pour ce qui est de nous rassurer sur la sécurité en tout cas.

On est bien loin de la sécurité d'un site web ou d'un logiciel quelconque puisque 1Password utilise un cryptage AES de 128 bits, qui prendrait en théorie (en pratique ce n'est jamais arrivé) beaucoup de temps pour être cassé à l'heure actuelle.

« Avec un trillion de machines, chacune pouvant tester un milliard de clés par seconde, cela prendrait plus de deux milliards d'années pour récupérer une clé AES 128 bits »

Malgré tout, comme le dit Matthieu, confier ces données à un logiciel n'est pas tout à fait dans notre habitude. On a tellement l'habitude de voir des attaques sur le net (de les subir, sur Mac, plus rarement), qu'on a tendance à penser que rien n'est infaillible.

Cela dit, est-ce qu'il y a des gens ici qui ont une entière confiance en 1Password?

 

[Aliboron]

Je n'ai une entière confiance en rien ni personne. Même pas en moi-même (soumis à des conditions extrêmes, et encore, j'avouerais tout ce qu'on voudrait me faire dire).

Ceci dit, je ne vois pas pourquoi j'aurais moins confiance dans 1Password (dont la base est chiffrée et stockée sur le disque dur de ma machine, donc pas vraiment accessible via internet) que dans mon banquier. Et il y a sûrement plus de "danger" pendant la transmission de ses données via internet (interception possible, aussi bien par un logiciel type keylogger sur la machine qu'à un pirate malin sur le réseau mondial) qu'à les avoir sur son ordinateur dans une base chiffrée.

J'ai dans 1Password tout ce qui m'est utile sur l'internet (mots de passe, identifiants bancaires) et trouve ça nettement moins risqué que de les avoir sur un fichier texte, un classeur Excel, des post-it, un papier dans mon portefeuille, etc.

 

[Nyrvan]

Ce que je voudrais demander, c'est si vous avez assez foi en lui pour lui confier vos identifiants bancaires, identifiants Paypal, scan de pièces d'identités et autres données extrêmement sensibles?

Le logiciel parait ultra sécurisé, avec des options paramétrables pour que l'on ne puisse pas laisser accidentellement l'application ouverte.

Hello,

J'aimerai ajouter deux petites choses à ce qui a été dit : la première, c'est qu'en effet, 1Password est un logiciel bien sécurisé qui crypte l'intégralité des données qu'on lui confie. Maintenant, il faut aussi admettre que ses données peuvent être décryptées. Cependant, cela demande une certaine expertise et beaucoup beaucoup de puissance de calcul et de temps. C'est comme avoir un coffre-fort chez soi, un bon voleur, avec du temps et des moyens finira toujours par réussir à l'ouvrir.

Le deuxième point concerne plus généralement la sécurité de vos données bancaires sur un ordinateur et de facto sur le net. Il faut bien se rendre compte que vous avez plus de risque de vous faire copier votre carte de crédit lorsque vous payez physiquement au restaurant/magasin que de vous faire "voler" sur internet. Pire encore, si on observe les statistiques, on voit clairement qu'il est plus sûr de payer sur internet que de se balader avec 100 euros dans le métro. A cela, deux raisons : la première c'est que les vecteurs de paiement sur internet (entre prestataires sérieux) sont bien sécurisés, en tout cas largement plus que votre porte-monnaie dans votre sac aux heures de pointes du métro... La deuxième raison vient du contrat que vous passez avec votre office de crédit (Visa/MasterCard/Amex et autres) : une fois qu'une transaction a été contestée par le client, c'est au vendeur de prouver qu'il a vendu son produit à la bonne personne pour pouvoir être payé. Ainsi, cela complique largement les choses car c'est au vendeur de vous identifier personnellement via votre IP et autres, or il sera assez compliqué d'expliquer que vous avez utilisé une IP du Bangladesh pour faire vos courses sur l'Apple Store.

Tout cela pour dire qu'il est important d'être prudent mais qu'il serait bon d'arrêter la paranoïa avec certaines de vos données (du genre "je veux pas donner ma carte de crédit à Apple pour le MAS ou iTunes"). En cas de vol, ce sera toujours au vendeur de prouver sa bonne foi selon les contrats que vous avez signé avec votre éditeur de carte de crédit !

 

[Lucieaus]

Il n'est pas question des brèves transactions sur le net lorsque l'on achète quelque chose, mais bien la possibilité stocker sur son disque dur toutes ses informations bancaires (code établissement, n° de compte, code de carte bleue, Iban, Swift, identifiants bancaire pour les sites web des banques, etc ...), et garder ceci en permanence sur son disque dur, même sous une forme de cryptage actuellement quasi impossible à casser (voir lien plus haut).
Ou les licences de logiciels achetés, scans de passeport ou carte d'identité, numéros de téléphone, N° de sécurité sociale, les infos de sa carte de crédit, comptes FTP/mail, etc ..
1Password ne se limite pas à s'auto-logger sur des sites web ou à remplir des formulaires automatiquement, il peut aussi servir de stockage pour d'autres choses bien plus sensibles, ce n'est pas éphémère comme un achat sur le web. Il y a tout de pré-configuré, donc c'est fait pour. Tout ça, sur le disque dur, où qu'on aille, quoi qu'on fasse, avec même la possibilité de tout synchroniser sur Dropbox par exemple.

Avec la possibilité qu'un jour, un ver informatique fasse son apparition, et puisse nous voler tout ça, puis le décrypter aisément.

On peut littéralement lui confier notre vie, notre vie stockée de façon cryptée sur notre disque dur.

 

[Nyrvan]

Avec la possibilité qu'un jour, un ver informatique fasse son apparition, et puisse nous voler tout ça, puis le décrypter aisément.

On peut littéralement lui confier notre vie, notre vie stockée de façon cryptée sur notre disque dur.

De deux choses l'une... Premièrement, pour ce qui est des données bancaires, du moment que tu fais ton devoir de diligence en ne mettant pas tes coordonnées bancaires sur la place publique, que tu sépares physiquement ta carte de l'endroit où serait éventuellement écrit le code, alors c'est la banque qui est responsable en cas de fraude. Deuxièmement, lors d'un cambriolage, si le voleur accède et ouvre ton coffre, il a également accès à toutes tes données "sensibles". Au final, il n'y aucune différence. Dans les deux cas, tes données sont dans les mains d'autrui.

La question est donc de savoir où l'on risque le plus ... un vers informatique ou un cambriolage ? Si on prend exemple sur les statistiques, en Suisse, 5% des foyers ont été victimes d'un cambriolage/brigandage sur les 5 dernières années. Comparativement, si on regarde que Flashback aurait touché moins de 1% des utilisateurs de Mac, la différence de risque est largement en faveur de l'informatique.

Après, c'est toujours plus facile de voir le noir dans ce que l'on ne maitrise pas totalement.

PS: La seule chose que je ne ferai pas, c'est de mettre le ficher 1Password sur DropBox. Pour moi, la seule véritable mesure de sécurité à faire c'est de laisser ce document sur la partie physique de l'ordinateur.

 

[Lucieaus]

Je ne crois pas que la majorité des cambrioleurs recherchent les identifiants bancaires dans tes papiers lorsqu'ils viennent explorer ta maison, ni que tout le monde les conserve dans un coffre fort, mais soit ...
Ils cherchent plus souvent des objets revendables rapidement. J'ai pas essayé mais je crois pas qu'on puisse mettre en sûreté des bijoux en or, un écran LED ou des téléphones portables dans 1Password
Tu résumes ça aux données bancaires, mais les documents d'identité c'est autrement bien plus sensible avec toutes les affaires d'usurpation.
En cas de perte ou de vol de l'ordinateur, on peut perdre gros, pour peu qu'un jour on arrive à briser le cryptage AES, certes.

C'est surtout par rapport à ce que le logiciel est fait pour accueillir.

 

[Nyrvan]

Je ne crois pas que la majorité des cambrioleurs recherchent les identifiants bancaires dans tes papiers lorsqu'ils viennent explorer ta maison, ni que tout le monde les conserve dans un coffre fort, mais soit ...
Ils cherchent plus souvent des objets revendables rapidement. J'ai pas essayé mais je crois pas qu'on puisse mettre en sûreté des bijoux en or, un écran LED ou des téléphones portables dans 1Password
Tu résumes ça aux données bancaires, mais les documents d'identité c'est autrement bien plus sensible avec toutes les affaires d'usurpation.
En cas de perte ou de vol de l'ordinateur, on peut perdre gros, pour peu qu'un jour on arrive à briser le cryptage AES, certes.

C'est surtout par rapport à ce que le logiciel est fait pour accueillir.

Pour voler une identité, pas besoin du numéro de sécurité social, une simple page facebook suffit

 

[Lucieaus]

Pour une usurpation se limitant à internet, oui.
Si tu laisses des scans de ta carte d'identité sur un logiciel et qu'on parvient miraculeusement à les récupérer et à les décrypter, tu risques d'avoir quelques soucis IRL. C'est "un peu" plus embêtant.

 

[FrançoisMacG]

Pour que 1Password soit fiable, il faut paramétrer correctement ses Préférences de Sécurité : verrouillage, déverrouillage automatique, qualité du mot de passe maître. :mouais:


L'autre bon point de 1Password est d'autoriser l'export de tous les mots de passe dans un fichier texte, pour le jour où on voudrait changer d'utilitaire
= on n'est pas enfermé à vie dans le logiciel.


Troisième remarque : le logiciel me semble fiable, au point qu'il me paraît vital de sauvegarder soigneusement sa base de données, au cas où…
= Maison > Bibliothèque > Keychains > 1Password.keychain.


Bref, 1Password m'apparaît bien plus fiable que le Trousseau d'Accès ou le mot de passe du programme interne (celui des anciens Mac) : tous les deux sont trop facilement perméables.

 

[Powerdom]

J'utilise la version iPad. J'ai eu la surprise il y a quelques jours de voir que 32 essais avaient été fait. Ma fille cherchait le mot de passe de 1password, car il y a je cite :
sûrement dedans le mot de passe de l'imac et ainsi modifier discrètement le contrôle parental..

 

[Nyrvan]

J'utilise la version iPad. J'ai eu la surprise il y a quelques jours de voir que 32 essais avaient été fait. Ma fille cherchait le mot de passe de 1password, car il y a je cite :
sûrement dedans le mot de passe de l'imac et ainsi modifier discrètement le contrôle parental..

On sera toujours surpris de l'inventivité des enfants

 

[Adele75]

A ce propos, quelle est la dernière version à utiliser de 1Password, et pouvez-vous m'expliquer comment enlever le petit point d'exclamation rouge sur mon logiciel, et pourquoi je n'arrive pas à mettre le logiciel à jour? (j'ai la version 3.8.3).

Merci!

Pour ajouter une touche d'humour à cette discussion, j'aimerais aussi que quelqu'un invente un 1Password mental car il m'arrive régulièrement d'oublier mes codes de carte bleue et de me retrouver sans moyen de paiement dans un magasin et je n'ai pas de chien auquel je peux graver le code dans l'oreille...(référence à une pub française qui passait autrefois à la TV...)

 

[FrançoisMacG]

La dernière version est la 3.8.18.

Le point d'exclamation veut dire que le Mac ne reconnaît pas l'application comme valide
= mets-la à la Corbeille, et télécharge la dernière version sur https://agilebits.com/downloads


Si tu ne veux pas te tatouer toi-même,
trouve-toi une phrase de quatre mots comportant chacun le nombre de lettres de ton code :
"3 + 4 + 4 + 6" donnent "les mots très jaunes", par exemple.

 

[pepeye66]

.....

Si tu ne veux pas te tatouer toi-même,
trouve-toi une phrase de quatre mots comportant chacun le nombre de lettres de ton code :
"3 + 4 + 4 + 6" donnent "les mots très jaunes", par exemple.

Wouhaaa ! çà c'est du crypté !!

(humour ! ...Pas taper )

 

[Adele75]

François,

Faut-il télécharger d'abord le nouveau logiciel et mettre l'ancien à la corbeille ensuite? Les usernames et passwords de la liste seront-ils transférés automatiquement?

Mon "informaticien" m'a dit de passer à Lion pour mieux gérer les MAJ de logiciel. Est-ce un Must? Là pareil, cela n'a pas l'air facile pour une néophyte comme moi...

Merci!

 

[Aliboron]

Regarde d'abord (surtout ?) dans les extensions de Safari, pour vérifier si ce n'est pas plutôt l'extension 1Password qui n'est pas à jour.

Pour vérifier les mises à jour, tu peux lancer directement l'application, tu auras un message t'informant qu'il y a une mise à jour à faire. Pas besoin de désinstaller, ça se débrouille très bien tout seul...

 

[gmaa]

François,

Mon "informaticien" m'a dit de passer à Lion pour mieux gérer les MAJ de logiciel. Est-ce un Must? Là pareil, cela n'a pas l'air facile pour une néophyte comme moi...

Merci!

La seule (principale...) réserve est de ne pas avoir d'applis nécessitant Rosetta.