Sécurité de connexion supplémentaire - Utilisateur du domaine Windows

Si vous ne pouvez pas faire confiance aux autres administrateurs de domaine, ils ne devraient pas être administrateurs de domaine, pour la même raison que si vous n'étiez pas digne de confiance, vous ne devriez pas l'être non plus.

Si quelqu'un changeait votre mot de passe, cela serait consigné, la personne serait retrouvée et licenciée (je suppose que l'audit est activé).

Personnellement, je ne m'en ferais pas, cela n'arrivera probablement pas.

Si cela vous inquiète, suivez le conseil des autres ici, n'enregistrez pas vos mots de passe. S'ils sont sauvegardés, ils pourront éventuellement être lus.

Si vous sauvegardez des mots de passe dans Internet Explore, les mots de passe sont cryptés par rapport à votre mot de passe d'ouverture de session à l'aide de la fonction Stockage protégé . Si quelqu'un d'autre change votre mot de passe, il n'y gagnera rien. ( http://support.microsoft.com/kb/290260 )

Si vous utilisez un autre navigateur, vous devrez probablement examiner comment ce navigateur protège les données. Par exemple, dans firefox, vous pouvez définir un mot de passe principal.

Le cryptage du disque entier est probablement l'option la plus efficace pour protéger les données stockées localement.

Si vous ne faites pas confiance à vos collègues administrateurs et que vous avez peur qu'ils vous volent votre mot de passe, je vous suggère de vous assurer qu'il n'y a pas de keyloggers. Il serait beaucoup plus facile pour eux de simplement charger un keylogger. Avec un keylogger matériel, il n'y a pratiquement aucun moyen de détecter le vol de vos mots de passe.

Bien que je sois généralement d'accord avec les commentaires selon lesquels si vous ne pouvez pas faire confiance à vos administrateurs de domaine, il y a quelque chose qui doit être corrigé dans votre environnement, je peux voir quelques bons arguments pour fournir une couche supplémentaire de contrôle d'accès dans certaines circonstances.

Dans tous les cas, même si vous n'êtes qu'un simple paranoïaque, je vous recommande de vérifier si votre système dispose d'un Trusted Platform Module intégré et si le fournisseur fournit des pilotes et une suite de sécurité pour ce module. La quasi-totalité des PC professionnels sont désormais dotés d'un TPM raisonnablement performant qui permet, entre autres, le stockage sécurisé des informations d'identification. Avec une suite de sécurité décente pour aller avec, cela vous donnera [A] une défense contre les administrateurs malhonnêtes et [B] la capacité de résister à une réinitialisation du mot de passe du domaine (contrairement à EFS). Lenovo a rédigé un article intéressant ici sur leur Suite de Sécurité Client qui exploite le TPM intégré des Thinkpads pour fournir un magasin d'informations d'identification sécurisé au niveau matériel, et qui utilise ce magasin d'informations d'identification pour protéger les clés d'un gestionnaire de mots de passe et d'un disque privé crypté. Si vous l'installez sans intégration d'Active Directory, vous pouvez alors utiliser les mécanismes de sécurité du navigateur ou simplement exécuter une installation de navigateur portable à partir du disque protégé et vous disposerez de la couche de sécurité supplémentaire que vous souhaitez.

Pour cet exemple particulier (mots de passe enregistrés dans un navigateur), je recommanderais d'utiliser le mot de passe principal fourni par Firefox. Il permet de crypter le cache des mots de passe.

Dans KDE (et Gnome) il y a des outils comme Wallet, qui fournissent également un stockage sécurisé pour les informations d'identification (par exemple pour le navigateur, l'application de messagerie, le client de chat, etc) en utilisant un mot de passe séparé. Je crois que quelque chose comme cela est disponible pour Windows, aussi.

Un autre moyen serait de crypter votre répertoire personnel avec TrueCrypt en utilisant un fichier conteneur qui contient votre profil et vos documents.