Gestion des mots de passe

Le problème exposé dans ce sujet a été résolu.

Coucou les zesteux !

Alors voila, j'utilise pleins de mots de passe, un par sites web, 1 à 2 par adresse email (1 SMTP et 1 IMAP), 1 par compte SSH, 1 par compte FTP et je n'enregistre JAMAIS mes mots de passes. Tout simplement car Firefox / Thunderbird n'utilise pas de chiffrement pour stocker les mots de passes pas défaut et que je connais pas le chiffrement qu'ils utilisent pour le mot de passe maître.

Ça doit bien faire plus de 3 ans que je fais ça … Mais depuis ces derniers temps, je me dis que j'ai vraiment besoin d'un gestionnaire de mot de passe. ( oui je sais … enfin ! )

Alors je me demandais … Qu'utilisez-vous comme gestionnaire de mot de passe ?

Je voudrais bien me fier au mot de passe maître de Firefox/Thunderbird mais je ne sais pas de quoi il en retourne.

Le mieux serrait un truc bien générique qui fonctionne un peu partout, en ligne de commande ou pas. L'avantage du mot de passe maître de Firefox c'est que c'est le même principe pour les 2 et que si c'est "sûr" ben j'aurais déjà une solution pour les 2/3 de mes mots de passes.

Merci d'avance ^^

PS: Il existe des utilitaires pour cracker les mots de passe Firefox par brute force, mais je sais pas si c'est en temps raisonnable pour une vingtaine de caractères par exemple.

+0 -0

Moi j'utilise Keepass (Sur windows),
l'avantage c'est qu'il est open-source, donc potentiellement beaucoup moins de risque.

Par sécurité j'ai configurer le par-feu pour qu'il bloque toute connexion de ce logiciel.

Un autre avantage c'est la possibilité de ranger les mots de passe par "dossier", pour la copie tu peux mettre un temps limite avant la suppression de celui-ci du buffer.

WinXaito

[edit]
Et on a la possibilité de mettre une "master key" et/ou un "fichier clé (Key file)".

+1 -0

Salut !

Pour ma part j'utilise Lastpass, qui est un gestionnaire de mots de passe en mode Saas. Bien sûr, il faut avoir confiance en l'entité car les mots de passe sont stockés sur des serveurs sur lesquels tu n'as pas la main. Mais j'ai fait le choix de leur faire confiance, et pour le moment je n'ai pas eu de problème.

Ça a grandement amélioré la sécurité de mes comptes, puisque maintenant chaque mot de passe est généré aléatoirement et est très robuste.

De plus, il est disponible en tant qu'extensions de navigateur et d'appli mobile.

+0 -0

Bien sûr, il faut avoir confiance en l'entité car les mots de passe sont stockés sur des serveurs sur lesquels tu n'as pas la main.

Theo

C'est selon moi pour ça que j'ai préféré Keepass, car c'est enregistré dans un fichier sur ton propre pc, fichier depuis le quel tu peux faire une sauvegarde sur un DD externe par exemple …

+0 -0

Je crois qu'on avait eu le même débat sur un autre sujet… L'inconvénient avec KeePass (que j'utilisais avant) c'est la difficulté de synchronisation "out of the box" entre plusieurs appareils (ce qu'on appelle le cloud, quoi).

On peut toujours s'en sortir en utilisant un cloud personnel (vraiment personnel, hébergé chez soi) mais bon pour pas se prendre la tête, je trouve Lastpass meilleur. Mais je suis d'accord qu'il est moins sécurisé (potentiellement) que KeePass.

+0 -0

Oui après je comprend totalement, c'est sur que si le but est de pouvoir travailler sur plusieurs pc .. LastPass est plus pratique. Mais si comme moi je l'utilise uniquement sur mon PC j'ai tout avantage à utiliser Keepass.

Il faut voir en fonction de l'utilisation que ache en fait.

+0 -0

Alors voila :D

Je suis sous Linux. KeePass et LastPass sont tous les 2 portables de toute façon. Cependant … Je ne supporte pas de laisser tous mes mdp à une société. Du coup, LastPass, bye bye.

Sinon, après avoir fait 2-3 recherches (non en vrai c'était carrément pas facile de trouver l'info), il se trouve que le mot de passe maître de Firefox apporte une sécurité correcte. C'est à dire que 9 caractères, même alphabétique minuscule, c'est dur à cracker (des mois pour être précis, de 1 à 10mois). Le rajout de caractère majuscule et spéciaux suffit à avoir un truc qui tiendra la décennie. Pour l'instant, aucune faille n'a été trouvé dans le système de chiffrement …

Bref, je vais testé KeePass et le mdp maître et je choisirais certainement entre ces 2 là.

Merci à tous :D

PS: Mes sources pour la protection de Firefox … Ce code source C++ de firefox … Du coup, pour le Master Password, c'est PSCK #11 qui est utilisé. C'est basé sur RSA apparemment.

+0 -0

Pour j'utilise Keepass, je fais une sauvegarde du fichier régulièrement, sur un disque dur et sur un serveur dédié.

Sur mon ordi j'utilise le gestionnaire de mot de passe de Firefox que je NE SYNCHRONISE PAS avec Sync (je sauvegarde les marques pages et la configuration)

Sur android ça se complique, soit j'ai une application pour le service, je me fais chier a taper le mot de passe une fois, ou a ouvrir ma base keepass dessus pour le copier/coller, ce qui au final est plus compliqué vu que de toute façon ma clé keepass est une horreur a saisir sur un smartphone.

Sinon si c'est un service web bah je stocke le mot de passe en local dans le gestionnaire de mon navigateur qui n'utilise pas le cloud.

Globalement sur mon ordi c'est pratique et sur mon téléphone c'est souvent une horreur d’utiliser un nouveau truc.

+0 -0

Alors bon … La solution KeePass + Master password me convient parfaitement (combinaisons des 2 pour la totalité des mots de passe).

Merci à tous :)

Si quelqu'un à quelque chose d'autre à proposer, le sujet est toujours ouvert (et le restera :p)

+0 -0

Je me tate depuis quelques temps à utiliser un password manager, de mon côté j'ai repéré pass, cité par nax, qui est apparemment compatible Windows et Linux, en plus d'offrir un certain nombre de plugins (Firefox, etc.)

Mais au quotidien c'est pas trop chiant à utiliser ce genre de trucs ? Prenons Keepass par exemple, si je comprends bien les mots de passe sont stockés en local, du coup si je suis sur un deuxième PC ou sur un mobile comment ça se passe ? Et si la machine où sont stockés mes pass tombe en rade ? Je peux plus utiliser mes comptes ?

Ensuite pour LastPass par exemple qui offre un stockage cloud, sur le papier c'est cool (ou pas) mais en terme de sécurité comment ça se passe ? Est-ce que les passwords sont générés et chiffrés sur ma machine et que seul le chiffré est envoyé sur leurs serveurs ? Car si j'ai la certitude (ie. algos publics + preuve qu'aucun pass clair/clé ne transite sur le réseau) que techniquement LastPass n'a pas accès à mes pass en clair ça me va, sinon clairement non

+0 -0

Ensuite pour LastPass par exemple qui offre un stockage cloud, sur le papier c'est cool (ou pas) mais en terme de sécurité comment ça se passe ? Est-ce que les passwords sont générés et chiffrés sur ma machine et que seul le chiffré est envoyé sur leurs serveurs ? Car si j'ai la certitude (ie. algos publics + preuve qu'aucun pass clair/clé ne transite sur le réseau) que techniquement LastPass n'a pas accès à mes pass en clair ça me va, sinon clairement non

Je te réponds sur Lastpass, comme je le connais. D'après eux, c'est chiffré/déchiffré en local : voir la deuxième colonne de cette page.

Malgré tout, c'est pas de l'open source, on peut donc te raconter ce qu'on veut. J'ai choisi de leur faire confiance, mais il faut comprendre qu'il y aura toujours un risque.

+0 -0

Salut,

Mais au quotidien c'est pas trop chiant à utiliser ce genre de trucs ? Prenons Keepass par exemple, si je comprends bien les mots de passe sont stockés en local, du coup si je suis sur un deuxième PC ou sur un mobile comment ça se passe ? Et si la machine où sont stockés mes pass tombe en rade ? Je peux plus utiliser mes comptes ?

Pour l'utiliser au quotidien, non c'est pas forcément contraignant, c'est même devenu indispensable, surtout au boulot vu le nombre de comptes différents à utiliser (et renouveler pour certains). Le tout est d'avoir une phrase maitre facile à entrer pour ne pas être rebuté par le fait de devoir l'utiliser plusieurs fois par jour.

Après vu que les données sont enregistrées dans un fichier, il suffit de le sauvegarder sur un support externe et du coup même en cas de défaillance, rien ne sera perdu. Et du coup il est possible de le copier entre plusieurs machines au besoin. Après faut juste éviter de modifier ce fichier des deux côtés en même temps, mais y'a peu de risques que tu sois amené à le faire.

+0 -0

J'apporte une précision sur Keepass pour ceux qui se demande. On peut ouvrir plusieurs fichiers en même temps et donc accéder a plusieurs bases de mots de passe. Et, meme si le master password est différent, Keepass supporte sans problème le copier/coller entre bases.

C'est a dire que si j'ajoute un mot de passe sur mon ordi et sur mon tel et que je veux unifier, je suis pas obligé de tapé le mot de passe a la main, je me débrouille pour récupérer les 2 fichiers sur mon ordi, j'ouvre les 2 et je copie les mots de passes pour avoir les mêmes partout.

Évidemment, c'est le bordel globalement pour gérer l'utilisation sur plusieurs appareils (ordi + tel). Même avec un cloud privé style owncloud vu que c'est impossible de gérer une diff dés qu'il y a une modification plurilatéral c'est fini. En fait je déconseil d'ouvrir le fichier depuis l'espace cloud, mais de le copier en local.

Le gros soucis pour moi c'est que taper un mot de passe sur son smartphone c'est une horreur, surtout si le mot de passe est compliqué. On se retrouve souvent a choisir un mot de passe pas trop compliqué pour qu'il soit simple a saisir. Par exemple, mon master password sur mon tel il fait 2 caractères, si il était plus long, j'abandonnerai l'idée de me connecter a un site a chaque fois.

Tout cela montre qu'il faut vraiment trouver une alternative au mot de passe, qui de toute façon est voué a disparaitre vu la capacité grandissante des ordinateurs a les casser et l'incapacité des humains d'en retenir des suffisamment complexes en grand nombre.

Mais ça, c'est pas le sujet.

+0 -0

Merci pour vos réponses, c'est assez convaincant. Je pense que je vais sauter le pas, plus qu'à trouver pour lequel :p

Sinon je comprends pas bien la différence entre KeePass et KeePassX ? Sur le forum de KeePassX ils disent qu'il est compatibles Windows/Linux, contrairement à Keepass qui serait Windows only, mais ça a pas l'air d'être le cas d'après les premiers posts. Du coup il faut mieux utiliser lequel ?

Autre question par rapport à Keepass(x), il génère un fichier chiffré, je suppose donc qu'on peut le stocker sur le cloud (Dropbox, etc.) sans trop de risques pour peu qu'on fasse confiance à leur algo de chiffrement et à notre passphrase ?

Et enfin par rapport à la YubiKey (je connaissais pas ça, ça m'intrigue :-° ) mais je comprends pas bien ce que ça fait ? Ca "remplace" le master password de LastPass ? Ou ça se rajoute à ce master password en double authentification ?

+0 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte