Faites vous confiance à un gestionnaire de mots de passe sur iOS ?

Bonjour les Zesteux.ses

Je souhaite utiliser un gestionnaire de mot de passe. J’ai bien pris connaissance des solutions libres telles que keepass (cf le tuto d'@Eskimon ici) et propriétaires (1password, dashlane, lastpass…).

Je n’ai que 2 contraintes :

• Les mots de passe doivent être stockés en "end to end encryption" : il faut un master password, et la base de données n’est déchiffrée que localement avec le master password. Si on perd le master password, alors on perd définitivement les mots de passe enregistrés
• Compatible iOS et un navigateur desktop (firefox par exemple, ou whatever)

Sauf que, aussi étonnant que ça ne puisse paraître, je n’ai trouvé aucune solution regroupant ces deux conditions J’ai l’impression que tout ce qui est compatible iOS est "grand public", donc pas end-to-end (on peut reset avec un 2 factors authentification).

Voilà, je m’en remet à vous. Qu’utilisez vous comme gestionnaire de mots de passe (même si c’est pas compatible iOS) ? Pourquoi ? À quel point lui faites-vous confiance ?

Merci par avance !

Bibou

PS : Oui j’ai vu MiniKeePass pour iOS, mais c’est plus maintenu depuis un moment (annoncé il y a 4 jours, la dernière update date d’il y a 2 ans)

PS 2 : Je suis prêt à payer, le prix de la solution n’est pas un problème

Personnellement j’utilise Keepassium sur iOS pour mes bases de données Keepass.

Ma base de données est héberger sur mon cloud (Nextcloud) et j’y accède via webdav. (Dans nextcloud il existe l’application keeweb.

Ensuite sur mon PC (Windows et Linux) j’accède à ma base avec Keepass (via webdav également). Et finalement sur Android j’utilise Keepass2Android.

De cette manière, ma base de données est toujours à jours puisqu’elle est synchronisé sur un cloud centralisé. J’ai pu lire à quelque reprise que ce n’était pas recommandé de faire de cette façon car il y a un risque de corruption de la base Keepass. Mais si on fait des backups de la base de temps en temps, je pense qu’il n’y a aucun risque. Pour ma part, j’utilise ce système depuis plusieurs années et je n’ai jamais eu de problème.

Pourquoi ? À quel point lui faites-vous confiance ?

C’est un peu la question qui fâche concernant tout ce qui est gestionnaire de mot de passe. Mais dans l’optique ou toutes les solutions que j’héberge son open-source et hébergé par moi-même, ça me réconforte un peu dans l’idée d’être safe.

Qu’utilisez vous comme gestionnaire de mots de passe (même si c’est pas compatible iOS) ? Pourquoi ? À quel point lui faites-vous confiance ?

Personnellement, j’utilise Keepass. J’avoue avoir eu du mal à me mettre à utiliser un gestionnaire de mots de passe, mais aujourd’hui je ne reviendrais en arrière pour rien au monde.

Pour moi, plusieurs choses faisaient défaut aux gestionnaires de mots de passe. Je n’étais pas confiant du fait d’avoir tous mes mots de passe centralisés en un même point. Je me disais que ce n’était pas top niveau sécurité et la merde si je perdais l’accès. De plus, le fait qu’il soit hébergé chez un tiers sur le net ne me rassurait pas non plus (qui a accès à quoi ? Que se passe-t-il en cas d’attaque sur leur serveur ? Etc.).

Puis un jour j’ai décidé d’en tester un et de voir ce que ça donne et de me renseigner plus sur le sujet et la sécurité de ce type de solution. J’ai été convaincu et je me suis tourné vers Keepass car de ce qui ressortait de mes recherches, c’était certes le plus austères niveau interface mais le plus sécurisé. La comparaison du Monde m’avait fait bien rire d’ailleurs : « KeePass est à la sécurité informatique ce que le char Leclerc est à la sécurité automobile : ce n’est pas très beau, pas très pratique pour les créneaux, mais c’est fichtrement résistant ». De plus, le logiciel est recommandé et certifié par l’ANSSI, ce qui a fini de me convaincre et je me suis alors tourné vers lui.

Compatible iOS et un navigateur desktop (firefox par exemple, ou whatever)

Comme mon VDD, quand j’étais sur iOS j’utilisais Keepassium que j’aimais beaucoup. Et le développeur est vraiment cool et à l’écoute. J’avais un bug sur l’application, du coup je l’ai mentionné sur Twitter et il est venu dans mes DM pour m’aider avec une patience à tout épreuve avec mon anglais extrêmement scolaire et approximatif.

J’ai pu lire à quelque reprise que ce n’était pas recommandé de faire de cette façon car il y a un risque de corruption de la base Keepass. Mais si on fait des backups de la base de temps en temps, je pense qu’il n’y a aucun risque.

Personnellement pour Keepass j’utilise un plugin qui m’enregistre directement ma base de données sur un cloud (KeepassAnywhere) et qui en même temps fait des backups sur ce cloud (et en local) dès qu’il y a un changement dans la base de données. Du coup, j’ai toujours ma base de mots de passe et 5 backups (je crois) qui se renouvellent automatiquement au fil du temps. Puis car j’aime bien être certain, j’ai des copies sur des supports physiques qui ne sont pas connecté au net.

Salut,

Moi aussi je suis (enfin) passé à un gestionnaire de mots de passe suite au tutoriel d’Eskimon, pour iOS et Firefox.

J’ai choisi Bitwarden parce qu’il est open source. Apparemment il valide bien tes deux contraintes, on ne peut pas récupérer les données si le mot de passe maître est perdu. Et on peut utiliser son propre serveur pour les synchronisations.

En tout cas ça me convient parfaitement et le remplissage automatique fonctionne très bien.

Moi j’ai choisi Pass car basé sur gpg.

À l’époque où j’avais un smartphone, ça fonctionnait très bien sur Android. Je n’ai jamais testé sur iOS mais apparemment, il y a une application pour ça (passforios).

Je souhaite utiliser un gestionnaire de mot de passe. J’ai bien pris connaissance des solutions libres telles que keepass (cf le tuto d'@Eskimon ici) et propriétaires (1password, dashlane, lastpass…).

.

Moi aussi je suis (enfin) passé à un gestionnaire de mots de passe suite au tutoriel d’Eskimon, pour iOS et Firefox.

❤️

Je suis content que mon bout de tuto serve

Je suis désolé de profiter de ce sujet, j’espère que l’OP à trouvé une réponse à sa question, mais je ne voudrais pas créer un autre sujet pour rien (mais je peux le faire si c’est mieux).

Que pensez-vous de Lastpass ? C’est la solution que j’utilise aujourd’hui depuis un bon moment, car elle à l’avantage d’avoir un extension Chrome qui fonctionne très bien et, surtout, je n’ai pas besoin d’héberger quoi que ce soit (parce que ça peut paraître bizarre, mais j’ai pas confiance en mes talent de garder quelque chose de si important en vie ).

Le problème, c’est que, malgré tout les avantages que Lastpass apporte (en plus d’une App android), mes mots de passe sont stockés sur un serveur je ne sais où, et je ne sais pas vraiment qui peut y avoir accès. En plus de cela, et c’est bien là le problème le plus important pour moi, c’est la pérennité de mes données. Quid si le service ferme du jour au lendemain sans prévenir ?

Bref, si vous avez des alternatives qui soit :

• Facile à utiliser
• Avec une belle interface, parce que c’est important pour moi
• Qui possède une app Android (et iPhone si possible, mais c’est pas le plus important)
• Qui pourrait à la limite être hébergé sur mon Google Drive sans que j’ai besoin de sauvegarder manuellement à chaque fois que je m’en sert
• Qui soit bien intégré à Chrome : Je peux générer, enregistrer et remplir mes mots de passe sans ouvrir le gestionnaire

Alors je suis preneur !

Je vais aller vérifier les noms que vous avez donnés plus haut dans ce sujet, voir si ça peut à peut près correspondre.

Ah oui, et il faudrait aussi que je puisse exporter mes données Lastpass pour les importer dans ce nouveau gestionnaire, j’ai tellement de mots de passe que je me vois pas tout migrer à la main.

Merci !

Salut,

Le gros problème de LastPass est que ses sources sont fermées, donc les possibilités d’audit par des agents extérieurs sont restreintes.

Perso j’utilise Bitwarden depuis un peu plus d’un an (et je venais de LastPass avant donc je confirme que l’import fonctionne correctement). Il possède les features dont tu as besoin (pas l’hébergement sur Drive, mais tu peux faire tourner une instance sur un serveur à toi). Il est open source et a été audité par des agents externes. J’ai personnellement un compte premium ($10 par an) pour 2 raisons :

• pouvoir utiliser ma Yubikey comme 2FA ;
• soutenir le projet comme je peux largement me le permettre ($10/an contre $36 pour LastPass, c’est plus que raisonnable et la qualité est au rendez-vous).

Ca m’a l’air bien compliqué d’héberger une instance. Dès que ça parle de Docker, je fuis. Loin. Très loin.

Mais j’ai trouvé mon bonheur !

Je pense utiliser KeeWeb, mais avec l’extension Chrome KeePass Tusk.

Ca me permet de stocker un petit fichier sur mon Google Drive (bien moins contraignant que d’héberger une instance de quelque chose), c’est synchronisé partout, c’est en local (enfin… sauf celui sur mon Google Drive, mais j’ai la double authentification + un mot de passe long sur mon compte Google) et j’ai donc une extension Chrome qui me permet de remplir automatiquement les champs via mon fichier KeeWeb hébergé sur mon Drive.

Pour Android, j’ai pas encore regardé, mais je pense qu’il doit exister des app qui supportent KeePass. Et donc, sur iOS aussi je suppose.

Bref, c’est parfait !

J’avoue être un peu perplexe par ta réponse… Tu fais confiance au stockage Cloud de Google mais pas à celui de LastPass ou de Bitwarden alors que la sécurité est leur cœur de métier ?

Dans tous les cas, la sécurité vient du chiffrement, je connais pas KeePass mais si leur chiffrement est bien fait et que la solution te convient, tant mieux. Et Tusk est apparemment un outil externe, il a été audité pour vérifier qu’il ne fait pas n’importe quoi ? Si je pose toutes ces questions, c’est vraiment que la solution que tu retiens me parait vraiment pas en adéquation avec le fait d’être méfiant vis-à-vis de l’hébergement en cloud qui peut être offert par d’autres outils… Tu multiplies les points d’attaque et les raisons d’être méfiant au lieu de les réduire, j’ai l’impression.

J’avoue ne pas trop m’y connaître au niveau sécurité… en fait, avec le stockage en ligne, j’ai un peu peur de perdre mes mots de passe du jour au lendemain si l’entreprise qu’il y à derrière la solution venait à disparaître sans prévenir.

Edit : Parce que sinon, Dashlane avait l’air top, mais voilà, c’est encore du stockage en ligne.

en fait, avec le stockage en ligne, j’ai un peu peur de perdre mes mots de passe du jour au lendemain si l’entreprise qu’il y à derrière la solution venait à disparaître sans prévenir.

Je ne sais pas trop ce qu’il en est pour LastPass, mais pour Bitwarden il y a des stratégies en place pour assurer la continuité du service. De toute façon, en pratique les applications et extensions fonctionnent de la façon suivante (qui est en gros ce que tu fais avec KeePass sauf que toute la chaîne est gérée par le même outil) :

• tu as d’abord une authentification (avec 2FA) sur le serveur qui te permet de récupérer le contenu de ton coffre-fort chiffré tel qu’il est stocké sur leurs serveurs (note qu’ils sont incapables de déchiffrer le coffre de toute façon puisque tout ce qu’ils ont est un hash et un jeton 2FA leur assurant que c’est bien toi qui fait la demande alors que le chiffrement est fait avec le master password lui-même) ;
• le déchiffrement se fait entièrement en local avec le master password ;
• tu as la possibilité (je sais plus si c’est par défaut) de garder une copie locale chiffrée à laquelle tu accèdes avec simplement le master password (ou un pin, ou ton empreinte).

Ce qui fait qu’en pratique, pour perdre l’accès, il faudrait d’une part que toutes les solutions en place pour la continuité foirent (ce qui est déjà très improbable, ne serait-ce que parce que Bitwarden est open source), et que par malchance tu n’aies de copie locale sur aucun des ordinateurs que tu utilises. Et si tu psychotes vraiment, tu peux faire un export non chiffré et le chiffrer par une autre méthode pour le préserver en local.

J’avoue être un peu perplexe par ta réponse… Tu fais confiance au stockage Cloud de Google mais pas à celui de LastPass ou de Bitwarden alors que la sécurité est leur cœur de métier ?

La grande différences ici, c’est que pour Lastpass on ne connaît absolument pas la façon dont il protège les informations. Qui nous dis qu’elle ne sont pas stocké en clair et qu’il y a ont accès ?

Keepass est OpenSource et audité. Le chiffrement est en AES-256, donc avec un bon mot de passe, le fichier est dur à cracker.

Après il est toujours mieux de l’héberger soit même, ça le rend un peu moins accessible. (Pour ma part le fichier de ma base est sur mon Nextcloud).

c’est que pour Lastpass on ne connaît absolument pas la façon dont il protège les informations. Qui nous dis qu’elle ne sont pas stocké en clair et qu’il y a ont accès ?

C’est un peu faux, il y a des audits fait par des tiers. Le niveau de connaissance n’est pas aussi grand qu’avec KeePass ou Bitwarden, mais il n’est pas complètement nul. Il est hautement improbable que le coffre soit stocké en clair et que personne ne s’en soit rendu compte. Soyons clairs, le fait que leur code est fermé est clairement un deal breaker pour moi parce que ça limite énormément les possibilités d’audit, mais il ne faut pas non plus raconter n’importe quoi. Par contre, dans le workflow suggéré par @FougereBle, il y a l’outil "KeePass Tusk", qui lui a ma connaissance n’a pas été audité professionnellement et est largement moins connu et donc potentiellement moins surveillé que LastPass. Être open source ça suffit pas à garantir quoique ce soit si personne n’audite effectivement les sources et les procédures de releasing. Il est un peu étrange de critiquer LastPass mais accueillir Tusk à bras ouverts.

Après il est toujours mieux de l’héberger soit même, ça le rend un peu moins accessible.

Bof, entre héberger sur un cloud soit même ou laisser ça à la charge de l’outil utilisé, ça change vraiment pas grand chose. Tu gagnes même probablement plus en sécurité en ajoutant un seul caractère à ton master password qu’en auto-hébergeant de façon ultra-fermé. La sécurité vient (ou devrait venir…) surtout du chiffrement du coffre. Le reste, c’est assez secondaire.

Salut @FougereBle,

Concernant la peur de la perte des données, je confirme ce qu’a dit adri1 pour le stockage local : même sans connexion Internet (et donc même si les serveurs de Bitwarden disparaissaient subitement) tu peux quand même utiliser les applications iOS/Android, celles sur PC et les extensions pour navigateurs sans problème. La connexion n’est utile que lors des synchronisations.

Je vois. Merci pour vos réponses.

Par contre, dans le workflow suggéré par @FougereBle, il y a l’outil "KeePass Tusk", qui lui a ma connaissance n’a pas été audité professionnellement et est largement moins connu et donc potentiellement moins surveillé que LastPass. Être open source ça suffit pas à garantir quoique ce soit si personne n’audite effectivement les sources et les procédures de releasing. Il est un peu étrange de critiquer LastPass mais accueillir Tusk à bras ouverts.

Alors non, je n’accueil pas Tusk à bras ouvert. En fait, comme je l’ai dit, je ne connais rien à la sécurité. Et si j’ai installé Tusk, c’est tout simplement parce que je ne savais pas ce que cette extension est en mesure de faire et ce qu’elle fait réellement.

Tout ce que j’ai vu, c’est que je pouvais lui donner mon fichier, et le mot de passe maître… et… heu… bon ok, maintenant ça paraît clair. Mais sur le coup, j’ai juste vu qu’elle me permettait d’auto-compléter les champs de login.

De ce que je comprend, Last Pass à l’air bien sécurisé, mais comme leurs sources sont fermés, il est difficile de savoir ce qu’il se passe derrière avec précision. D’autant plus que si eux ferment, il n’y à peut être pas moyen de récupérer les mots de passe à moins de les sauvegarder régulièrement.

Et donc, même si LastPass est une bonne solution, il vaudrait mieux se tourner vers Bitwarden qui, même si c’est du stockage en ligne, serait mieux pour pouvoir récupérer mes données en cas de fermeture ou autre.

Je ne me rend pas compte. Pensez-vous que le changement LastPass -> Bitwarden vaille le coup ?

Et encore désolé à l’OP d’avoir un peu fait dévié son sujet… si jamais ça pose problème, j’ouvre mon propre topic.

Pensez-vous que le changement LastPass -> Bitwarden vaille le coup ?

Clairement. C’est open source et le premium est moins cher pour les même possibilitées, c’est vite vu.