C’est effectivement le principe de lesspass ou de UniquePasswordBuildder (dont je suis l’auteur). J’ai utilisé UniquePasswordBuilder pendant des années mais je suis passé sur un bitwarden auto-hébergé (VaultWarden) pour 2 raisons : le problème de règles (stupides) sur certains sites tels que décrit dans l’article et le fait que tous les mots de passes dépendent d’un mot de passe maître. S’il y a une fuite de donnée et donc le besoin de changer de mot de passe, il faut soit mémoriser un autre mot de passe maître pour ce site, soit changer tous les mots de passe… Ce qui est une plaie.
Enfin, une autre fonctionnalité très sympa de BitWarden/VaultWarden est le partage de mot de passe au sein d’une organisation ou famille.
J’ai moi aussi codé une petite webapp en JS (React) pour mes enfants.
Elle est dispo ici et le code source est là .
Il n’y a pas de stats ou autre tracking.
Elle peut s’installer en PWA sur son téléphone pour fonctionner en mode avion.
Après avoir développé un outil pour « hasher » un mot de passe depuis l’URL du site et un mot de passe maître (UniquePasswordBuilder), je suis passé à un bitwarden auto-hébergé via https://github.com/dani-garcia/bitwarden_rs pour éviter les limitations de mon outil (notamment le fait de ne pas pouvoir facilement changer un mot de passe « leaké »).
Je suis très content de cette solution et j’ai installé cela à ma famille pendant les vacances.
C’est user-friendly, open source et auto-hébergé. Que demander de plus ?
Merci pour vos remarques.
Vous avez raison, je vais revoir ma copie (et en profiter pour mettre à jour ce bout de script qui n’a pas bougé depuis quelques années).
Effectivement. C’est mieux. :-)
Au temps pour moi, je n’avais pas connaissance de ce billet et je n’avais pas bien compris HMAC.
J’adapterais mon algo pour respecter cette RFC (je trouve qu’il y a un avantage à utiliser JavaScript pour le côté portable via bookmarklet).
J’en profite pour signaler que j’ai entendu parler de SQRL qui permet de se logger sans mot de passe.
Les spécification sont en cours de finition et l’implémentation de référence en cours d’écriture.
L’idée est qu’une graine (un gros bon random) est initialement générée sur ton périphérique et permet de générer à la volée une paire de clé privée/publique par site. Ce sont ces clés qui permettent de répondre à un challenge différent à chaque login et pour chaque site.
Ainsi, on peut se logger fortement sans mot de passe.
L’autre avantage est que le site ne sait rien de toi (il n’a qu’une clé publique, aucun autre identifiant tel que login ou mot de passe).
Je trouve le concept génial mais c’est balbutiant (et le problème est que personne ne le supporte aujourd’hui).
Le protocole est ouvert et il n’y a pas de problème de brevet à priori.
Si je comprends bien, ta passphrase est la même mais c’est juste le nom du site qui change ?
Si c’est bien cela, le problème est que si un attaquant trouve l’une de tes passphrase, il est facile de deviner les passphrases des autres sites.
En fait, le gros problème est que les entreprises se font régulièrement pirater leur base de mots de passe (dernier exemple en date ebay puis dominos pizza) qui se retrouve donc dans la nature.
Si elle n’a pas fait les choses proprement (PKDF2, scrypt, etc), c’est un peu comme si le mot de passe était maintenant en clair sur pastebin…
Et malheureusement, il y a beaucoup d’exemple où les choses ne sont pas fait proprement (l’exemple le plus flagrant est la fuite chez adobe).
Oups, je n’avais pas vu le message sur http://motdepassealacon.com/ mais globalement, j’ai l’impression que c’est la même idée. Donc rien de nouveau, juste une variante.
De mon côté, je me suis développé un petit JavaScript (que j’héberge chez moi via TLS) qui me permet de construire un mot de passe par site à partir d’un mot de passe maître.
La construction d’un mot de passe pour un site se fait via un sha1(mot de passe maître + protocole + domaine) et ce, répéter plusieurs dizaines de fois pour rendre cela un peu plus robuste en cas de brute force (c’est paramétrable).
Concrètement, je tape mon mot de passe maître sur le site, je clique sur un bookmarklet qui va charger ce script et m’ajoute un lien (generate password) à côté de chaque , je clique dessus et voilà, le mot de passe maître a été remplacé par un mot de passe unique pour ce site.
Le gros avantage de passer par un bookmarklet est que ça fonctionne sur toutes les plateformes (y compris mobile, enfin, pas encore sous Firefox OS car il me faut le copier/coller :-D ).
Enfin, le système ne stocke aucun mot de passe (ce qui lui permet d’être léger) mais il y a quelques limitations du coup :
1/ si le protocole ou le domaine change, le mot de passe généré change,
2/ le mot de passe généré dépend du mot de passe maître et du domaine. Du coup, ce n’est pas possible de changer un mot de passe juste pour un site (il faut changer de mot de passe maître et donc tous les changer),
3/ De la même façon les règles de générations (longueur du mot de passe, alphabet utilisé) est le même pour tous les sites, j’ai donc été obligé de le limiter afin de trouver un ensemble qui marche à peu près partout.
Il y a également un risque dans le cas où un keylogger sur un site renvoie tous les caractères tapées… Il sera alors possible de connaître mon mot de passe maître ce qui craint… (après, c’est une question de confiance et si je n’en ai pas pour un site, j’ouvre la console JavaScript pour voir s’il y a des requêtes qui partent).
Attention, si vous considérez utiliser ce système, je vous encourage fortement à jeter un oeil aux sources et à héberger vous même ce fichier, de préférence via TLS.
C’est un cas particulier mais la série Gibraltar Earth/Star/Sun de Michael McCollum m’a vraiment beaucoup plu et l’auteur les vends $7.50 sur sa boutique (http://www.scifi-az.com/). Il y a tous les formats, la plupart (tous?) sans DRM. Bon, par contre, il ne faut pas être allergique à l’anglais bien que cela lit facilement.
# Bonne idée !
Posté par Grégory Paul (site web personnel) . En réponse au journal Mon gestionnaire de mots de passe, en 50 lignes de HTML. Évalué à 8 (+8/-0).
C’est effectivement le principe de lesspass ou de UniquePasswordBuildder (dont je suis l’auteur). J’ai utilisé UniquePasswordBuilder pendant des années mais je suis passé sur un bitwarden auto-hébergé (VaultWarden) pour 2 raisons : le problème de règles (stupides) sur certains sites tels que décrit dans l’article et le fait que tous les mots de passes dépendent d’un mot de passe maître. S’il y a une fuite de donnée et donc le besoin de changer de mot de passe, il faut soit mémoriser un autre mot de passe maître pour ce site, soit changer tous les mots de passe… Ce qui est une plaie.
Enfin, une autre fonctionnalité très sympa de BitWarden/VaultWarden est le partage de mot de passe au sein d’une organisation ou famille.
# Another Math Game
Posté par Grégory Paul (site web personnel) . En réponse au journal Comment laisser l'ordinateur faire réciter les leçons de ses enfants. Évalué à 7.
J’ai moi aussi codé une petite webapp en JS (React) pour mes enfants.
Elle est dispo ici et le code source est là .
Il n’y a pas de stats ou autre tracking.
Elle peut s’installer en PWA sur son téléphone pour fonctionner en mode avion.
[^] # Re: bitwarden
Posté par Grégory Paul (site web personnel) . En réponse au journal Résolution de l'année 2021 : changez votre mot de passe !. Évalué à 2.
Après avoir développé un outil pour « hasher » un mot de passe depuis l’URL du site et un mot de passe maître (UniquePasswordBuilder), je suis passé à un bitwarden auto-hébergé via https://github.com/dani-garcia/bitwarden_rs pour éviter les limitations de mon outil (notamment le fait de ne pas pouvoir facilement changer un mot de passe « leaké »).
Je suis très content de cette solution et j’ai installé cela à ma famille pendant les vacances.
C’est user-friendly, open source et auto-hébergé. Que demander de plus ?
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 1.
Le projet a été migré sur github et j’utilise maintenant scrypt avec 1024 rounds (c’est configurable).
Voici la nouvelle page du projet et les tests unitaires mis à jour.
N’hésitez pas si vous avez des remarques.
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 0.
Merci pour vos remarques.
Vous avez raison, je vais revoir ma copie (et en profiter pour mettre à jour ce bout de script qui n’a pas bougé depuis quelques années).
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 0. Dernière modification le 19 juin 2014 à 17:42.
Effectivement. C’est mieux. :-)
Au temps pour moi, je n’avais pas connaissance de ce billet et je n’avais pas bien compris HMAC.
J’adapterais mon algo pour respecter cette RFC (je trouve qu’il y a un avantage à utiliser JavaScript pour le côté portable via bookmarklet).
# SQRL ?
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 6.
J’en profite pour signaler que j’ai entendu parler de SQRL qui permet de se logger sans mot de passe.
Les spécification sont en cours de finition et l’implémentation de référence en cours d’écriture.
L’idée est qu’une graine (un gros bon random) est initialement générée sur ton périphérique et permet de générer à la volée une paire de clé privée/publique par site. Ce sont ces clés qui permettent de répondre à un challenge différent à chaque login et pour chaque site.
Ainsi, on peut se logger fortement sans mot de passe.
L’autre avantage est que le site ne sait rien de toi (il n’a qu’une clé publique, aucun autre identifiant tel que login ou mot de passe).
Je trouve le concept génial mais c’est balbutiant (et le problème est que personne ne le supporte aujourd’hui).
Le protocole est ouvert et il n’y a pas de problème de brevet à priori.
Plus d’info sur wikipedia : https://en.wikipedia.org/wiki/SQRL
[^] # Re: passphrase
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 0.
Si je comprends bien, ta passphrase est la même mais c’est juste le nom du site qui change ?
Si c’est bien cela, le problème est que si un attaquant trouve l’une de tes passphrase, il est facile de deviner les passphrases des autres sites.
En fait, le gros problème est que les entreprises se font régulièrement pirater leur base de mots de passe (dernier exemple en date ebay puis dominos pizza) qui se retrouve donc dans la nature.
Si elle n’a pas fait les choses proprement (PKDF2, scrypt, etc), c’est un peu comme si le mot de passe était maintenant en clair sur pastebin…
Et malheureusement, il y a beaucoup d’exemple où les choses ne sont pas fait proprement (l’exemple le plus flagrant est la fuite chez adobe).
[^] # Re: Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 1.
Oups, je n’avais pas vu le message sur http://motdepassealacon.com/ mais globalement, j’ai l’impression que c’est la même idée. Donc rien de nouveau, juste une variante.
# Génération d’un mot de passe par site
Posté par Grégory Paul (site web personnel) . En réponse au journal La loose des mots de passe sur les sites webs. Évalué à 1.
Hello,
De mon côté, je me suis développé un petit JavaScript (que j’héberge chez moi via TLS) qui me permet de construire un mot de passe par site à partir d’un mot de passe maître.
La construction d’un mot de passe pour un site se fait via un sha1(mot de passe maître + protocole + domaine) et ce, répéter plusieurs dizaines de fois pour rendre cela un peu plus robuste en cas de brute force (c’est paramétrable).
Concrètement, je tape mon mot de passe maître sur le site, je clique sur un bookmarklet qui va charger ce script et m’ajoute un lien (generate password) à côté de chaque , je clique dessus et voilà, le mot de passe maître a été remplacé par un mot de passe unique pour ce site.
Le gros avantage de passer par un bookmarklet est que ça fonctionne sur toutes les plateformes (y compris mobile, enfin, pas encore sous Firefox OS car il me faut le copier/coller :-D ).
Enfin, le système ne stocke aucun mot de passe (ce qui lui permet d’être léger) mais il y a quelques limitations du coup :
1/ si le protocole ou le domaine change, le mot de passe généré change,
2/ le mot de passe généré dépend du mot de passe maître et du domaine. Du coup, ce n’est pas possible de changer un mot de passe juste pour un site (il faut changer de mot de passe maître et donc tous les changer),
3/ De la même façon les règles de générations (longueur du mot de passe, alphabet utilisé) est le même pour tous les sites, j’ai donc été obligé de le limiter afin de trouver un ensemble qui marche à peu près partout.
Il y a également un risque dans le cas où un keylogger sur un site renvoie tous les caractères tapées… Il sera alors possible de connaître mon mot de passe maître ce qui craint… (après, c’est une question de confiance et si je n’en ai pas pour un site, j’ouvre la console JavaScript pour voir s’il y a des requêtes qui partent).
Si ça vous intéresse, il y a une page qui explique le projet et vous pourrez jouer avec ici :
http://javascript.training.free.fr/uniquepasswordbuilder/
Le code source est sur https://code.google.com/p/uniquepasswordbuilder/ et il y a des tests unitaires que vous pourrez lancer : http://javascript.training.free.fr/uniquepasswordbuilder/test/uniquePasswordBuilderTest.html
Attention, si vous considérez utiliser ce système, je vous encourage fortement à jeter un oeil aux sources et à héberger vous même ce fichier, de préférence via TLS.
Grégory
# Bon ebook de SF
Posté par Grégory Paul (site web personnel) . En réponse au journal [prix des ebooks]Pourquoi ai-je du mal à comprendre ?. Évalué à 2.
C’est un cas particulier mais la série Gibraltar Earth/Star/Sun de Michael McCollum m’a vraiment beaucoup plu et l’auteur les vends $7.50 sur sa boutique (http://www.scifi-az.com/). Il y a tous les formats, la plupart (tous?) sans DRM. Bon, par contre, il ne faut pas être allergique à l’anglais bien que cela lit facilement.