Mot de passe combiné [Combined Password]

Feature Requests Password Manager
,
1

Bonjour !

Je n’ai pas l’habitude de communiquer sur un forum et j’espère être au bon endroit et ne pas faire de bêtises.

J’aimerais vous soumettre une idée que j’ai proposée à Google mais je n’ai obtenu aucune réponse…

Je ne vais pas développer mon idée dans le détail mais le principe serait d’associer des mots de passe complexes générés par le gestionnaire de mot de passe avec un mot de passe simple fourni par l’utilisateur. Le mot de passe fourni par l’utilisateur ne serait jamais enregistré par le gestionnaire. Le gestionnaire de mot de passe assurerait la concaténation des deux éléments pour remplir in fine le champ mot de passe du site sollicité. Ainsi pour l’utilisateur, il n’aurait dans l’absolu qu’à retenir qu’un seul mot de passe pour l’ensemble de ses comptes.

Ce qui faciliterait, je pense, l’utilisation des gestionnaires de mot de passe et en augmenterait le degré de confiance dans leur utilisation.

Cette façon de procéder, outre le fait de remettre l’humain dans la phase finale de l’accès à un site, jouerait en quelque sorte le rôle de facteur double authentification sans ajouter de technologies ou/et de matériels supplémentaires.

Voilà schématiquement l’idée que je vous propose.

Bonne journée !

[Mod Edit: Translated post title and contents using DeepL Translate.]

Translation:

Hello !

I’m not used to communicating on a forum and I hope I’m in the right place and not doing anything stupid.

I’d like to submit an idea that I proposed to Google but got no response…

I’m not going to develop my idea in detail, but the principle would be to associate complex passwords generated by the password manager with a simple password supplied by the user. The password supplied by the user would never be recorded by the password manager. The password manager would concatenate the two elements to ultimately fill in the password field of the requested site. In this way, users would only have to remember one password for all their accounts.

This would, I believe, facilitate the use of password managers and increase the degree of confidence in their use.

As well as putting the human element back into the final stage of accessing a site, this approach would act as a kind of double authentication factor, without adding any additional technology and/or hardware.

That’s the idea I’m proposing.

Have a nice day!

2

@Jpmac62 Welcome to the forum!

I moved your post the the “Feature Request” section of the forum, and added English translations of your post title and contents.

What you are suggesting is a familiar idea, known as password “peppering”. People usually do this by manually typing in the “pepper” (the user-added password characters) to the end of the password that was auto-filled by the password manager. If I have understood your feature request correctly, you seem to be proposing that Bitwarden should automatically concatenate the two parts of the password (stored password + “pepper”) when auto-filling the login credentials.

You also specify that “the password supplied by the user would never be recorded by the password manager”, so your idea seems to be that when auto-filling a password, Bitwarden should first prompt the user to type the “pepper” into an input field, and then concatenate this typed character string to the stored password.

Thus, the benefit of the proposed feature would be that the user types the “pepper” into a Bitwarden prompt instead of typing it directly into the password field on the website’s login form.

If I have misunderstood your request, please provide a clarification.

3

Merci beaucoup pour votre aide ! Vous avez parfaitement compris ce que je suggère… Selon vous et si j’ai bien compris, cette idée n’est pas nouvelle. Je m’en doutais un peu tant cette idée me paraît simple (trop simple ?). Je me pose donc la question : pourquoi cette idée n’est-elle pas intégrée nativement dans les gestionnaires de mots de passe ? Lobby commercial ou problème(s) auxquels je n’ai pas pensés ? En tout cas, c’est très gentil de votre part d’avoir réagi à mon post. Je vous souhaite une très bonne soirée !

[Mod Edit: Translated comment text using DeepL Translate. ]

Translation:

Thank you so much for your help! You’ve understood perfectly what I’m suggesting. According to you and if I have understood correctly, this idea is not new. I suspected as much, as the idea seems so simple (too simple?). So I ask myself: why isn’t this idea natively integrated into password managers? Commercial lobby or problem(s) I hadn’t thought of? In any case, it’s very kind of you to have reacted to my post. Have a nice evening!

4

Bonjour !

Petit complément…

Si la méthode du “peppering” devait être intégrée dans un gestionnaire de mots de passe, cette possibilité devrait être optionnelle et utilisable au cas par cas. En effet, le “peppering” ne pourrait être appliqué que pour certains sites sensibles et pas pour d’autres. Dans ce cas le champ "peppering’ serait rempli ou non au choix de l’utilisateur. Le remplissage du champ “peppering” (non enregistré dans le gestionnaire de mots de passe) entrainerait la concaténation de la partie générée par le gestionnaire de mots de passe et le “peppering”.
Dans le cas de la création d’un nouveau mot de passe ou la modification d’un mot de passe existant pour un site donné, il ne me semble pas difficile de réaliser cette procédure. En revanche l’exportation ou l’importation des mots de passe vers un autre gestionnaire de mots de passe “traditionnel” supposera d’imaginer un procédé permettant de reconstituer les mots de passe dans leur intégralité. Merci !

[Mod Edit: Translated comment text using DeepL Translate. ]

Translation:

Hello !

I’d like to add something…

If the “peppering” method were to be integrated into a password manager, this possibility would have to be optional and used on a case-by-case basis. In fact, peppering could only be applied to certain sensitive sites and not to others. In this case, the “peppering” field would be filled in or not, at the user’s discretion. Filling in the “peppering” field (not recorded in the password manager) would result in the concatenation of the part generated by the password manager and the “peppering”.

In the case of creating a new password or modifying an existing one for a given site, I don’t think it would be difficult to carry out this procedure. On the other hand, exporting or importing passwords to another “traditional” password manager will require you to devise a procedure for reconstructing passwords in their entirety. Thank you very much!