Journal Stockage des mots de passe

Posté par .
Tags : aucun
2
4
avr.
2010
'jour,

aujourd'hui j'ai encore une fois dû me créer un compte sur un site quelconque pour pouvoir passer commande sur Internet. Et donc une fois de plus, il a fallu que je génère un mot de passe que je dois mémoriser un petit peu.
Et donc je me suis demandé comment vous faites pour:
1. générer les mots de passe:
mkpasswd, openssl, autre ?
2. stocker vos mots de passe.: pour moi c'est dans un fichier crypté. Mais alors quel outil utiliser:
rot13, mcrypt, gpg, openssl, zip (avec mdp), ...

Pour le moment, j'utilise mkpasswd (de expect) et gpg, car c'est ce qui m'est venu à l'idée en premier, mais je me dit qu'un seul outil (openssl) pour tout faire c'est bien aussi, mais qu'un zip avec mot de passe, je peux l'avoir sur 1 clé usb et l'ouvrir même chez mes parents qui n'ont pas de Linux, etc.
Et vous ?
  • # Keepassx ...

    Posté par . Évalué à 9.

    Moi j'utilise Keepassx http://www.keepassx.org qui est plus pratique qu'un fichier plat ...

    Sinon il y a des programmes ou extensions de navigateurs pour générer des mots de passes à partir d'un mot de passe maître+identifiant, ce qui fait qu'il n'y a plus qu'un seul mot de passe à retenir pour avoir des mots de passes uniques sur chaque site.

    En cherchant rapidement : https://addons.mozilla.org/fr/firefox/addon/874
    • [^] # Re: Keepassx ...

      Posté par (page perso) . Évalué à 1.

      voilà j'utilise keepassx aussi. c'est multi-plateforme.

      sinon j'ai eu qq problème en me reposant uniquement sur les navigateurs. Quand tu changes de navigateurs ou que tu as un problème avec ?

      j'ai utilisé un moment un répertoire de fichier encrypté avec encfs. un mot de passe par fichier avec identifiant.

      Pour finalement passer à keepassX
      • [^] # Re: Keepassx ...

        Posté par . Évalué à 2.

        En fait le mieux est d'utiliser un plugin/script avec un algo connu que tu peux reproduire facilement, comme ça tu n'es pas dépendant de ton navigateur. Ce genre de chose : http://www.angel.net/~nic/passwd.html

        Sinon keepassx c'est bien mais faut l'avoir sous la main. Le javascript ci dessus tu peux te faire une page web sur ton site perso.
        • [^] # Re: Keepassx ...

          Posté par . Évalué à 3.

          Moi j'utilise un script (mental) tout con : en fonction du nom du site, je peux te dire quel est le mot de passe que j'utilise ou que j'utiliserais. Un peu d'imagination la première fois et ça suffit.

          Bien entendu je n'utilise pas ce script pour les sites sur lesquels je vais souvent (gmail, ma banque...), mais pour les sites plus "occasionnels", c'est parfait.
          • [^] # Re: Keepassx ...

            Posté par (page perso) . Évalué à 2.

            Un script mental... :-)

            ...fais quand même gaffe aux buffer overflows. Tu pourrais perdre des souvenirs ou faire des choses non désirées !
            • [^] # Re: Keepassx ...

              Posté par . Évalué à 1.

              Je croyais que le buffer overflows été quand tu remplisais trop ton verre d'alcool.
              • [^] # Re: Keepassx ...

                Posté par . Évalué à 3.

                C'est bien ce qu'il dit

                Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # firefox weave

    Posté par . Évalué à 3.

    Perso, j'utilise firefox weave pour tout mes mots de passe des sites web. C'est une petite extension de firefox permettant de synchroniser bookmarks, password et l'historique entre plusieurs installations de firefox. Par défaut, le serveur qui centralise les données est hébergé par la fondation mozilla mais il y a des tutoriaux pour l'installer sur un serveur dédié si besoin(comme celui-là : http://wiki.gromez.fr/linux/howto/weave_server)

    La question aurait peut-être plus sa place dans un forum ;-)
  • # revelation

    Posté par (page perso) . Évalué à 5.

    J'utilise revelation.
  • # PasswordMaker

    Posté par (page perso) . Évalué à 5.

    Perso je n'utilise plus que http://passwordmaker.org/ et je bénis encore le jour où je l'ai découvert. Simple, multiplateforme, avec extension Firefox, bref que du bon.
  • # cerveau

    Posté par . Évalué à 2.

    J'utilise mon cerveau. Y'a pas plus aléatoire pour générer des mot de passes. Et puis de toute façon je change pas de mot de passe pour chaque site. Pour les plus critiques, je rajoute quelques caractères.
    • [^] # Re: cerveau

      Posté par . Évalué à -4.

      ah oui et pour le stockage aussi y'a pas plus sécurisé que le cerveau. À partir du moment où il est capable de mémoriser plusieurs caractères de suites, ce qui est une caractéristique d'un enfant de 3 ou 4 ans je suppose :-)
      • [^] # Re: cerveau

        Posté par . Évalué à 10.

        nan mais t'es fou ou quoi ?

        Déjà, la génération manuelle, c'est vraiment pas fiable. Imagine, un mot de passe comme M0nSup3rMDP42 cela utilise des moyens mnémotechniques, et c'est mal (un super ordinateur qui t'étudie pendant 15 ans va être capable de penser comme toi et pourra peut-être trouver le mot de passe par déduction). La sécurité par l'obscurité, ce n'est jamais bon !

        Donc, prend plutôt la vitesse du vent, multiplie la par ton uptime, passe le tout dans le SSL d'un OS du bien (évite Debian quand même, NetBSD ou OpenBSD c'est plus sûr), imprime le, photocopie le (pour donner de l'entropie), scanne le tout et compte le nombre de pixels à 4242 dpi, utilise ce nombre selon le code de césar et la clé windows collée sur ton ordinateur car tu n'as pas réussi à te le faire rembourser, et comme cela tu auras un mot de passe pratique à utiliser, genre
        9BOiFDcGdeFy4ycd0v5crgkxe7LN3PhCln27ysyYi

        SURTOUT NE LE RETIENS PAS AVEC TON CERVEAU !

        Car peut-être que pour te faire parler les ninjas du FBIA utiliseront un sérum de vérité concocté par la cruelle secte des Hasshassins, donc le mieux est de la copier dans ton iphone avec le logiciel iStore (56 $ sur lapomme store), c'est très pratique, tu utilises le iThunes installé sur l'ordinateur pour synchroniser l'extension "iStore for Firefox" avec ton navigateur et cela les entrera automatiquement lorsque c'est nécessaire.

        Essaye de faire un mot de passe différent à chaque fois, cela va sans dire, et il est conseillé de le changer toutes les semaines pour plus de sécurité.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: cerveau

          Posté par . Évalué à 2.

          Tu as raison, je vais aller vendre mon cerveau à Cash Converters.
  • # Avec cryptsetup

    Posté par (page perso) . Évalué à 2.

    Ce n'est pas forcément ce qui est le plus pratique mais je gère un répertoire chiffré avec cryptsetup. Voici la doc ubuntu : http://doc.ubuntu-fr.org/cryptsetup
    On peut aussi installer une distribution linux ubuntu complètement chiffrée avec l'image ISO alternative, qui donne la possibilité de créer des partitions chiffrées.
  • # Bientôt dans PPassKeeper

    Posté par (page perso) . Évalué à 6.

    Les keyrings/keychains/autres sont supportés par tous les OS majeurs (KWallet pour kde, Gnome Keyring pour gnome, Keychain pour mac os, Windows's Vault pour doz). Le problème c'est que nos logiciels libres cross-plateforme ne les supporte pas (Firefox dans ton cas).

    Ces keyring résolvent très bien le problème d'accéder à ses mots de passe rapidement sur la machine (voir le niveau d'intégration du keychain dans mac os ou du kwallet dans kde) mais ils deviennent nuls dès qu'on a besoin d'y accéder depuis un autre PC. Du coup, on doit passer par d'autres choses comme keypassx qui permet de stocker sur une clé usb ses mots de passe.

    Le problème de keypassx, c'est que si tu perds ta clé, tu perds tes mots de passe. Si tu gardes des copies, locales, tu sais pas si elles sont à jour. Il faut donc du versionnement. Le top serait une sorte de git pour mots de passe, totalement décentralisable et mergeable à souhait !

    C'est pour combler ces problèmes que j'ai commencé le projet PPassKeeper en 2008. C'est une lib cross-plateforme pour abstraire le stockage/récupération de mot de passe ou tout autre secret.

    Quand un programme cross-plateforme linke avec PPassKeeper, il laisse à l'utilisateur le choix du lieu de stockage de ses mots de passe. En effet, PPassKeeper (ppk pour les intimes) est basé sur une architecture modulaire qui permet aux utilisateur de choisir quel module va se charger du stockage du mot de passe. Tout est documenté.

    Pour l'instant, seuls le kwallet et le gnome keyring sont supportés, le support du keychain et du vault arriveront dans la beta 3.

    Avec ppk, on solve le problème des programmes open sources qui stockent les mots de passes n'importe comment (stockage dans un fichier en clair pour pidgin par exemple) et on centralise les mots de passe de tous les programmes en un seul lieu (celui que l'user veut).

    Reste le problème de l'accès à distance aux mots de passe. Pour ça, je suis en train de développer mon propre keyring (je suis élève-ingénieur en sécurité informatique, j'ai quelques notions en crypto) qui supportera très bientôt un système de centralisation (sur un ftp) et plus tard, sera un système décentralisé(miam miam pour coder ça). Ce keyring ainsi que la version centralisée sera dispo dans la beta 3).

    Toujours dans la catégorie 'en prévision', il faut réaliser l'intégration de ppk dans les programmes.
    Pidgin n'expose actuellement pas aux plugins d'API permettant de stocker les mots de passe. Une personne a proposé l'utilisation de ppk directement, perso, je m'en fou tant que je peux développer un plugin qui hookera le stockage de mot de passe. Ces changements sont prévus pour pidgin 3.
    Reste Firefox/chromium. On a vu que c'était possible car beaucoup le font, j'espère qu'il y en a des open sources pour pouvoir forker ça et modifier simplement le back-end pour ppk.

    D'ailleurs, je profite de ce journal pour lancer un appel aux contributions. Je suis actuellement l'unique programmeur de ce projet. Un ami donne des coups de mains, surtout sur le binding python. D'autres personnes me donnent leurs avis et souhaits mais si vous voulez voir ppk dans vos distribs, il va encore falloir un max de boulot.
    On a actuellement besoin de graphistes, d'évangélisateurs pour faire connaître le projet et recueillir les remarques des programmeurs pour avoir l'API la plus consistante possible avant le freeze de la version 1.0 et de programmeurs en tout genre (pour créer des plugins pour les applis, faire/hacker de nouveau modules de stockage, hacker le coeur).

    Le site du projet: http://ppasskeeper.mupuf.org , hébergé par http://mupuf.org/ .
  • # papier

    Posté par . Évalué à 5.

    1. générer les mots de passe
    Mon cerveau
    2. stocker vos mots de passe.
    Moi j'utilise une feuille de papier pour les mdp que j'utilise que chez moi.Pour les sites de tout les jours, c'est souvent des mots de passe commun que je connais.
  • # apg, papier et cerveau

    Posté par (page perso) . Évalué à 3.

    Pour générer des mots de passe j'utilise apg, pour les retenir j'utilise du papier[1] ou mon cerveau pour ceux que j'utilise le plus (ça rentre tout seul au bout d'un moment), tout simplement.

    Voyez aussi l'avis d'un ptit amateur du dimanche en sécurité, brousse chez nez hier, où qqc comme ça : http://www.schneier.com/blog/archives/2005/06/write_down_you(...)

    [1] Certains prétendent qu'un stylo peut également être utile, mais je préfère me lasserai et écrire avec mon sang ; ça fait tout de suite plus impressionnant et ça en jette quand on dit au recruteur qu'on est un warrior de la sécurité et que nos balafres sont dues à nos précédentes batailles en la matière.
  • # lien "mot de passe oublié"

    Posté par . Évalué à 4.

    Pour les sites que je consulte régulièrement, je connais le mot de passe par cœur.
    Pour les autres, j'utilise le lien "mot de passe oublié"
  • # Stockage mnémotechnique

    Posté par . Évalué à 6.

    Salut,

    J'ai eu une idée il y a quelques temps (je ne suis sûrement pas le premier à y avoir pensé, ça j'imagine bien). En constant que dans l'idéal il faudrait avoir un mot de passe différent pour chaque site mais qu'il tient de l'impossible de tous les retenir, il faudrait pouvoir avoir un seul mot de passe à retenir, ainsi qu'un «algorithme» . Cela permettrai de recomposer le mot de passe pour chaque site. Les mots de passent seraient différents, et pour la mémoire la gymnastique en est facilitée!

    C'est sûrement pas très clair, donc voici un exemple:

    1. Tu génère un mot de passe aléatoire: ABCDEFGH (Bien sur, un vraiment aléatoire avec majuscule, minuscule, et ponctuation), qu'il faut retenir et garder pour soit.
    2. Tu choisis un pseudo-algorithme:

    a. Prendre la première lettre du nom de domaine, l'incrémenter d'un et faire un modulo 26, pour qu'après «z» tu aie «a», et l'ajouter en 2ème position du mot de passe.
    b. Mettre en avant-dernière position du mot de passe le nombre de caractères que contient le domaine.
    c. Rajouter au début du mot de passe, x fois la lettre «t», qui représente le nombre de caractère du domaine principale (.com, .net. .ch, .info, etc.)

    3. Après, lorsque tu définis ton mot de passe, par exemple pour facebook (www.facebook.com), tu le calcul:

    0. ABCDEFGH
    a. AgBCDEFGH
    b. AgBCDEFG8H (facebook = 8 caractères)
    c. tttAgBCDEFG8H (com = 3 caractères)

    4. Et si l'on prend pour exemple un autre site: (www.libellules.ch)

    0. ABCDEFGH
    a. AmBCDEFGH
    b. AmBCDEFG10H (libellules = 10 caractères)
    c. ttAmBCDEFG10H (ch = 2 caractères)

    5. Tu te retrouves avec 2 mots de passe relativement différent,

    Là l'exemple est facile vu que le mot de passe ne base n'est pas aléatoire. Mais avec un bon mot de passe de départ, un algorithme un poil plus compliqué que là, les mots de passes seront bien différents.

    Après pour qu'une personne puisse avoir une chance de trouver ton mot de passe et ton algorithme, il lui faudrait au minimum posséder 2 de tes mots de passes de site différents et de bonnes connaissance en algorithmique. Enfin et surtout savoir que tu utilises cette technique pour tes mots de passe. Elle pourrait simplement croire que les mots de passes sont vraiment aléatoires si ils sont bien fait.

    Par exemple pour complexifier l'algorithme, plutôt que de mettre la première lettre du nom de domaine en 2ème position, on pourrais imaginer mettre la deuxième lettre du nom de domaine, incrémentée du nombre de caractère que contient le nom de domaine, en «nombre de caractère de l'extension (.com, .ch, .info ... )»ème position du mot de passe. Cela casserai déjà la structure fixe du mot de passe.

    Après on va me dire qu'il devient difficile, long et rébarbatif de refaire l'algorithme à chaque connexion sur un site web. C'est vrai, mais les sites sur lesquelles vous allez tout les jours, après une semaine le mot de passe vous le savez par cœur. Et le site sur lequel vous allez tout les deux ans, vous pouvez en tout temps vite retrouver votre mot de passe (vous savez, celui qu'actuellement vous avez déjà oublié) :)
    • [^] # Re: Stockage mnémotechnique

      Posté par . Évalué à 3.

      et pendant ce temps, la plupart des attaques se basent sur un catalogue des mots de passe les plus utilisés. ;)

      Sedullus dux et princeps Lemovicum occiditur

  • # Lastpass

    Posté par . Évalué à 1.

    Moi, j'utilise Lastpass (http://lastpass.com)

    ça sauve les mots de passes en crypter côté serveur, donc aucune info compromettante ne circule!
    ça gère le remplissage de formulaire (si on sauve son identité, ça remplit nom/prénom/...),
    ainsi que génère les MDPs,
    avec autologin et d'autres fonctions

    Bien entendu, multi browser/OS (FF/Chrome/Android/...) :)
  • # Stockage des mdp dans un fichier chiffré. Quelles précautions ?

    Posté par . Évalué à 1.

    Comme proposé par l'auteur du journal on peut utiliser un outil générique comme openssl afin de chiffrer un fichier contenant la liste des mots de passe.

    Pour rajouter de nouveaux mots de passe dans ce fichier chiffré, on peut être tenté de créer un fichier temporaire contenant les informations en clair, de l'éditer, de le chiffrer de nouveau, puis de le supprimer.

    Il important de remarquer qu'il y a un certain nombre de risques dans cette méthode :
    1) les éditeurs de texte créent souvent des fichiers de "swap" et des fichiers de log, qui peuvent fournir une information sinon complète, au moins parcellaire sur le contenu du fichier
    Par exemple, pour vim: les fichiers du type .monfichier.swp et le fichier ~/.viminfo. Pour gedit: les fichiers du type monfichier~
    Dans le cas de vim, on peut empêcher la création de ces fichiers en invoquant vim de la manière suivante : vim -n -i NONE monfichier

    2) L'information en clair peut subsiter sur le disque dur même après effacement par rm. On pourra utiliser la commande suivante : shred --remove monfichier

    3) Dernier risque qui me vient à l'esprit, lié à l'ergonomie spartiate de la méthode. Se tromper de mot de passe en chiffrant de nouveau le fichier. Risque toutefois limité, l'outil de chiffrement demande généralement une confirmation du mot de passe.
    Ecraser, supprimer d'une quelconque manière à la fois le fichier crypté et le fichier en clair.
    Une bonne pratique, valable qu'elle que soit la méthode choisie, est d'avoir un backup du fichier crypté à côté "suffixe .bak" et en plus sur un autre support.

    Afin de pallier à la plupart de ces problèmes, il existe des manières plus pratiques de combiner l'utilisation de l'outil de chiffrement avec l'outil d'édition, et qui évitent la création d'un fichier temporaire en clair.
    Voir ces liens:
    http://www.vim.org/scripts/script.php?script_id=2012
    http://vim.wikia.com/wiki/AES256_encryption_in_Vim
    • [^] # Re: Stockage des mdp dans un fichier chiffré. Quelles précautions ?

      Posté par (page perso) . Évalué à 2.

      J'utilise emacs + gpg : lorsqu'emacs ouvre[1] un fichier ayant pour exension .gpg, il le passe de façon transparente pour l'utilisateur lors de l'ouverture et de la sauvegarde (enfin, sauf pour la demande de la passe de phrase de la clef GPG au moment du déchiffrage).

      Par défaut, emacs ne fait pas de sauvegarde temporaire des fichiers *.gpg, ce qui réponde à ton premier point. Pour le deuxième point, le fichier reste toujours en mémoire principale[2], et pour le troisième point, le chiffrage étant géré par GPG, il n'y a pas de danger de se tromper de mot de passe à la sauvegarde.

      [1] Il faut placer (epa-file-enable) dans son init.el ; ce n'est pas par défaut.

      [2] Et celui qui dit qu'emacs est tellement gros qu'il risque de swapper le buffer sur le disque, et bien je... je le... je le moinse !
    • [^] # Re: Stockage des mdp dans un fichier chiffré. Quelles précautions ?

      Posté par . Évalué à 2.

      le risque de se faire piquer son mot de passe, c'est plus du domaine d'une fuite sur le réseau plutôt que des ninjas du FBIA qui rentrent chez toi pour récupérer tes mots de passe (même si le vol ou la perte d'un ordi portable n'est pas à exclure)

      D'autre part, il existe des logiciels plus adaptés que ssl pour chiffrer et déchiffrer des documents (par exemple truecrypt)

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

  • # Le cerveau, le papier.

    Posté par (page perso) . Évalué à 3.

    La mémoire pour la plupart des sites que j'utilise souvent, et une grille pour les autres, comme sur http://www.vvsss.com/grid/


    Et au cas où j'oublierais, je les ai aussi écrits sur un post-it sous mon clavier.
  • # Partition chiffréef

    Posté par . Évalué à 3.

    Tu peut aussi utiliser une partition chiffrée. Comme ça tu n'a plus à te soucier du chiffrage de tes mot de passe.

    Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # xkcd

    Posté par (page perso) . Évalué à 6.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.