Avec Safari 14 (je crois) Apple a ajouté une fonction à l’OS : une vérification des mots de passe. Le navigateur (ou l’OS) va vous prévenir quand il détecte un problème avec un mot de passe. Et quand j’ai regardé sur mon iPad, il m’a donné un peu trop de remarques (un peu plus de 110). J’ai donc pris une semaine (littéralement) pour essayer de régler un peu ça.
Avant de commencer, quelques remarques : je sais qu’il existe d’autres gestionnaires plus efficaces que Safari, notamment sur les problèmes que je vais évoquer. Mais comme j’utilise essentiellement des produits Apple (en tout cas pour mon usage personnel), l’intégration est bien meilleure que les gestionnaires recommandés. La donne est différente si vous utilisez Windows, GNU/Linux ou Android, mais ce n’est pas mon cas.
Le message qui a tout déclenché
Deuxièmement, je suis passé à un peu plus de 55 remarques de Safari, ce qui peut paraître un peu faible après un tri. Il y a plusieurs raisons. La première, c’est que Safari détecte un problème quand on utilise un mot de passe identique (même s’il est fort) sur plusieurs sites. Même quand c’est techniquement le même site. Typiquement, j’ai un mot de passe unique pour iGénération, MacGénération et WatchGénération… donc une alerte. Même chose pour Amazon, certains sites qui se connectent avec Microsoft… ou Apple. Ensuite, il y a des sites qui m’imposent un mot de passe à base de chiffres, par exemple, et donc la sécurité est considérée comme faible (et je n’y peux rien). Il y a aussi quelques cas pour lesquels j’ai préféré utiliser un mot de passe que je peux retenir, parce que je dois le taper régulièrement. Le mot de passe de mon compte Microsoft, par exemple, et de quelques autres services ou je ne me connecte pas avec iOS ou macOS. Enfin, il y a quelques sites ou je n’ai pas réussi à changer de mot de passe, pour différentes raisons. Globalement, je suis évidemment pour une sécurité forte (et si possible avec une authentification à deux facteurs) mais j’essaye tout de même de ne pas avoir un truc trop contraignant. J’en ai aussi profité pour enlever les sites disparus de la liste (ils étaient assez nombreux). Enfin, la bonne nouvelle c’est que je n’ai pratiquement pas reçu de mot de passe en clair dans mes mails. Il y a encore quelques sites qui le font (et certains stockent sûrement encore en clair) mais ça reste rare.
Beaucoup de soucis au départ
Mot de passe réutilisé (ça arrive si vous avez le même compte)
Un mot de passe trop courant (mais pas le choix)
Idem ici, un peu trop courant
Changer les mots de passe
J’utilisais déjà depuis pas mal de temps la fonction de Safari qui génère un mot de passe fort, avec une construction assez basique : trois fois six caractères, séparés par des tirets, avec des lettres, une majuscule et un chiffre. Mais j’avais d’anciens services avec quelques mots de passe réutilisés (parfois avec une variante), ce qui n’est pas une bonne idée. Lors des changements, je me suis quand même rendu compte que Safari pose quelques soucis et que les sites Internet sont souvent mal pensés.
La première étape va être de trouver comment changer le mot de passe, ce qui n’est même pas nécessairement possible. Parfois dans les préférences du compte, parfois dans sécurité, parfois… autre part. Dans certains cas, la seule solution a été d’indiquer que je l’avais perdu, pour en générer un nouveau.
Les indications de Safari n’apparaissent pas sur fond noir
Mais sont bien présentes
Ce n’est pas lié à Safari, mais le message en rouge pour une réussite, c’est… bizarre
Les problèmes principaux avec Safari sont finalement peu nombreux, heureusement. Premièrement, le plus basique, Safari va enregistrer l’adresse mail ou le nom d’utilisateur comme login, alors que le site attend l’autre. C’est assez courant avec les forums, qui dans certains cas ne permettent de se connecter qu’avec le nom d’utilisateur. C’est assez simple à corriger, soit en modifiant à la main au moment de la connexion, soit dans les Préférences -> Mots de passe. Parfois, Safari a enregistré le mot de passe sans login, aussi.
Ici, Safari avait littéralement enregistré des étoiles ***
Deuxièmement, plus vicieux, Safari qui n’enregistre pas le mot de passe. Ca arrive sur les sites qui restent sur la même page en générant le contenu, ou dans certains sites qui font le changement sur plusieurs pages. Honnêtement, il n’y a pas de solutions simples : il faut remettre le mot de passe à zéro, le noter quand Safari le génère et le sauver manuellement.
Troisièmement, les sites qui mettent des contraintes sur le mot de passe. Ca peut être la présence de caractères précis, une longueur réduite, etc. J’ai eu pas mal de sites qui demandent de 8 à 16 caractères alors que Safari en génère 20. Il n’y a pas vraiment de solutions simples, je suis en général parti du mot de passe généré avant de le modifier pour suivre les règles.
Safari qui génère des mots de passe trop long
Ce site n’accepte pas le mot de passe généré mais sans indiquer le souci (j’ai du mettre une majuscule et un chiffre de plus)
Enfin, j’ai eu souvent un problème précis : le remplissage qui ne fonctionne pas. La norme est de demander le mot de passe actuel, puis d’inscrire deux fois le nouveau mot de passe. Certains sites se contentent de demander l’ancien et le nouveau une seule fois, d’autres demandent deux fois le nouveau (et c’est tout), et certains forums demandent deux fois le nouveau mot de passe puis l’actuel. Dans ce cas, courant, c’est compliqué : il faut abandonner le remplissage et taper les mots de passe manuellement, Safari ne permet pas d’éditer.
Safari qui remplit mal
L’ordre des champs va perturber Safari
Plus vicieux : le JavaScript qui va afficher le mot de passe (le « Afficher » dans le champ) bloque Safari
La seule règle vraiment importante va être – une fois le mot de passe changé – de vérifier que ça fonctionne. Attention, Safari a tendance à mettre deux fois le mot de passe dans certains cas si vous vous connectez sur un forum en changeant la casse de l’utilisateur (dandu ou Dandu dans mon cas). J’ai quand même eu pas mal de cas où Safari avait mal enregistré le mot de passe (ou que le site n’avait pas enregistré le changement).
J’espère que ce florilège va vous décider, vous aussi, à changer vos mots de passe pour quelque chose de sécurisé.
C’est vraiment dommage, je suis d’accord que c’est vraiment un outil bien intégré mais il manque une extension Firefox au gestionnaire de mdp apple pour vraiment le déployer (ou au moins une synchro/export)
D’ailleurs, il gère le 2FA ?
Merci Pierre pour cet article !
Je vais faire le ménage dans mon trousseau de ce pas :-)
A noter que Apple a créé un projet open source sur GitHub pour recenser les sites qui partagent le même mot de passe, ont des restrictions de caractères autorisés dans les mots de passe, etc.
Les gens proposer des ajouts à la liste, qui seront à terme ajoutés dans Safari. (et la liste peut aussi être utilisée librement par d’autres gestionnaires de mots de passe)
https://github.com/apple/password-manager-resources
J’ai été jeter un œil du coup, d’abord sur iOS ou la liste est claire, et ensuite dans le Trousseau sur Mac pour afficher les MDP en clair.
J’ai buggué sur un MDP en particulier, sur un site important sur lequel j’étais certain d’avoir un MDP unique. Mais Safari me disait qu’il était utilisé sur d’autres sites, et me donnait quelques exemples.
Donc j’ai été voir dans mon Trousseau.
Il s’avère que seules quelques caractères sont identiques, pas le MDP entier. Mais Safari les considère comme identiques.
C’est con, ça créé des alertes supplémentaires sans raison.
Quoi ? encore un bon article ???
MERCI Pierre
✨Bonne Année✨ !
Ce qui me rassure c’est que moi aussi j’ai souvent été confronté aux mêmes problèmes sur certains sites notamment le fait que Safari n’enregistre pas le nouveau mot de passe qu’il vient de créer… quelque part ça me rassure qu’’un « power User » comme toi ait les mêmes déboires… ;-p
Sinon ce que j’ai fais : j’ai mis en signet favoris ainsi qu’’en raccourci iOS un site qui permet de générer des MDP à la volée (personnalisables sur les conditions) et quand les sites me font les difficiles j’utilise cette fonction en copier coller.