Journal L'art de stocker des mots de passe

87
17
jan.
2014

Bonjour à tous,

Je vous propose un enième article sur un sujet bien connu : comment sécuriser des mots de passe dans une base de données. Et au passage, comment éviter de se taper la honte si votre BDD est leakée.

Après une longue réflexion, j'ai décidé de présenter ce journal sous forme de niveaux. Deux négatifs (-2 et -1) qui correspondent à des solutions (trop) souvent mises en place mais pas sécurisées du tout.
Puis, un niveau 0 qui (...)

Gestionnaires de mots de passe

68
12
avr.
2018
Sécurité

La tâche première d’un gestionnaire de mots de passe est de garder en sécurité des informations sensibles (mots de passe, identifiants, adresses URL…) et de pouvoir les restituer de façon commode.

Certains gestionnaires permettent de générer des mots de passe à la demande : l’utilisateur n’a alors même plus besoin de voir ou de connaître le mot de passe, hormis le mot de passe maître (qui donne accès à tous les autres), et peut multiplier l’opération pour créer autant de mots de passe qu’il le souhaite. Sans avoir la prétention de résoudre toutes les questions relatives à la sécurité et à l’usage de mots de passe, cette pratique pourrait contribuer à augmenter leur sûreté d’un cran en dissuadant les usagers de réutiliser le même mot de passe pour des comptes différents, réduisant ainsi l’impact de leur compromission sur les serveurs (qui est un problème concret, comme peut l’illustrer le site Have I Been Pwned).

Il existe pléthore de gestionnaires, qui se distinguent par plusieurs critères :

  • logiciel libre ou propriétaire ;
  • sécurité (audits réalisés, utilisation d’algorithmes de chiffrement sérieux et non dépassés…) ;
  • synchronisation possible ou non entre plusieurs emplacements ou appareils ;
  • facilité d’utilisation (intégration avec les navigateurs) ;
  • disponibilité sur différents systèmes d’exploitation ;
  • format de stockage (portabilité) ;
  • type d’utilisation (personnel, groupe).

Nous n’en présentons ici qu'une sélection. Notre choix s’est d’abord porté sur des logiciels libres et supportés par une communauté active ; de même, il est important qu’ils soient disponibles sur un maximum de plates‐formes avec au moins une possibilité de synchronisation (Git, WebDAV, Dropbox…) pour pouvoir fonctionner au sein d’une famille ou d’un groupe. Le choix est forcément arbitraire et dépend aussi de la disponibilité et de la bonne volonté des rédacteurs.

Journal La proche fin des mots de passe

57
9
oct.
2013

Je viens vous présenter un article de Ars Technica que je viens de lire, et qui va probablement faire de grosses vagues.

TL;DR:

Pour les décideurs pressés: l'article explique comment Kevin Young, un cryptanalyste qui craque les mots de passes, ne se limite plus à des rainbow table et du brute force, mais cherche maintenant à intégrer des phrases récupérées d'internet et qui généralement produisent des résultats ultra rapidement.

Pour exemple, Young évoque un hack d'une base de données (...)

Authentifiez-vous sans mot de passe grâce à XMPP !

Posté par . Édité par Goffi, palm123, Benoît Sibaud et Nils Ratusznik. Modéré par Nils Ratusznik. Licence CC by-sa.
54
22
juil.
2016
XMPP

L’authentification HTTP via XMPP est une extension du protocole XMPP (XEP).
Elle permet de s’authentifier sur un site Internet sans avoir besoin de mot de passe : le site en question envoie une demande de confirmation à l’utilisateur du compte XMPP qui autorise ou non l’accès.

Des implémentations sont récemment apparues ou en cours, plus de détails en deuxième partie de dépêche.

Journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free

Posté par (page perso) . Licence CC by-sa.
38
6
août
2018

Bienvenue en 2018,

Année de la mise en application du RGPD.
Année de la maturité en cybersécurité ? Pas pour tout le monde en tous cas.

Mon expérience d'hier soir m'a laissé perplexe. Sur la page de connexion des abonnés Freebox, ayant perdu mon mot de passe, j'ai renseigné les champs me permettant de le récupérer et … surprise, je l'ai récupéré … en clair par mail.

Nous sommes en 2018 et Free stocke les mots de passe de ses (...)

Les mots de passe des premiers développeurs‐utilisateurs d’UNIX, notamment celui de Ken Thompson

38
14
oct.
2019
Sécurité

En 2014, une ingénieure, Leah Neukirchen, trouve un fichier /etc/passwd archivé avec du vieux code source BSD et décide de déchiffrer les mots de passe des premiers développeurs‐utilisateurs d’UNIX.

Assez facilement, les mots de passe sont trouvés les uns après les autres. Je ne sais quels étaient vos premiers mots de passe, mais, personnellement, j’utilisais le même sur beaucoup de mes comptes et c’était soit des mots de la langue française faciles à taper, soit le nom de ma copine.

Ces tout premiers développeurs‐utilisateurs d’UNIX étaient‐ils plus inventifs ? À vous d’en juger, les voici en deuxième partie.

Passbolt, un nouveau gestionnaire de mots de passe pour les équipes

31
16
avr.
2016
Sécurité

Passbolt est un gestionnaire de mots de passe open source [N. D. M. : licence libre AGPL v3 pour le code, mais licence non libre CC BY-NC-SA pour leur site Web] conçu pour la coopération. Il permet aux membres d’une équipe de stocker et partager leurs mots de passe de manière sécurisée, et d’être intégré à un écosystème existant par l’intermédiaire de son API et de son client console. Le chiffrement des mots de passe se base sur un standard reconnu : OpenPGP.

passbolt logo

Sortie de passbolt v1.3.0

Posté par . Édité par Nils Ratusznik, Davy Defaud, ZeroHeure, Benoît Sibaud et palm123. Modéré par tankey. Licence CC by-sa.
28
29
nov.
2016
Sécurité

La version 1.3.0 de passbolt est sortie le 25 novembre 2016. Passbolt est un gestionnaire de mots de passe, conçu pour la collaboration en équipe, sous licence libre AGPL. Cette sortie marque notamment le début de la prise en charge d’un greffon pour le navigateur chrome.

Journal gPass : un concurrent libre de lastPass

Posté par (page perso) . Licence CC by-sa.
26
1
nov.
2013

Bonjour bonjour,

Je vous présente encore un projet personnel. Sans le lier aux récents scandales de la NSA, ça faisait longtemps que ça me trottait dans la tête. Comme la plupart des personnes, je n'ai pas un ensemble important de mots de passes pour me connecter aux multiples services du web. Du coup, s'il y en a un qui tombe, c'est plusieurs comptes qui sont accessibles. Une des solutions est le Single Sign On, mais il n'est pas disponible partout. (...)

Sortie de Passbolt v1.5.0, avec “groupes”

26
25
mai
2017
Sécurité

La version 1.5.0 de Passbolt, incluant la très attendue fonctionnalité « groupes », est sortie le 23 mai 2017. Passbolt est un gestionnaire de mots de passe conçu pour les équipes, sous licence libre AGPL. Cette sortie inclut également des améliorations du code et la mise en place d’un outil de diagnostic du statut de l’instance accessible depuis la console.

Crédit : Arthur Duarte pour Passbolt, CC BY-SA 4.0

Journal Où mettre son archive de mots de passe ?

26
25
jan.
2016

Bonjour Nal,

Depuis peu, j'utilise des gestionnaires de mots de passe qui utilisent un format de fichier commun, et qui me permettent donc de partager la même archive aussi bien à la maison qu'au travail. Maintenant, le problème, c'est que cette archive des mots de passe, je dois la partager. J'ai pour l'instant quelques solutions en tête, et j'aimerais savoir ce que vous, mes moules paranoïaques préférées, vous faites ou feriez…

Les solutions actuelles sont :

  1. Stocker l'archive de mots de (...)

Journal Vérifier ou retrouver un mot de passe sur un fichier XLS/DOC avec pseudo-sécurité XOR

25
4
juin
2011

J'ai eu récemment à retrouver un mot de passe sur un fichier DOC et un fichier XLS (deux formats propriétaires créés par Microsoft). Il s'agissait d'un mot de passe bloquant l'ouverture des fichiers, stocké dans une méthode basique, le XOR (l'algo est légèrement différent pour les deux formats).

Visiblement lorsque l'on cherche un peu des logiciels pour faire le boulot, on ne trouve pas de logiciel libre (genre John the Ripper ou autres), uniquement des logiciels propriétaires (et pour Windows).

(...)

Journal MPW 4.2.0 released

Posté par . Licence CC by-sa.
Tags :
24
8
juin
2017

Bonjour,

Je n'ai pas l'habitude d'écrire un journal, mais aujourd'hui je viens à vous pour faire un peu de pub et parler de mon expérience sur le développement d'un logiciel.

Donc on commence par la pub avec la sortie de la version 4.2.0 de manage-password alias mpw.
Qui n'est autre qu'un gestionnaire de mot de passe en cli, qui utilise GPG pour chiffrer les données.

Les améliorations, dans le désordre, sont:

  • gestion de plusieurs portefeuilles (base de donnée de mots (...)

Journal KeePassXC-Browser et gestion des mots de passe

24
6
mar.
2018

Bonsoir,

J'ai une approche très conservative (voire vieillotte) pour gérer mes mots de passe: je place tout dans un fichier texte chiffré.

Je suis séduit par l'idée d'avoir une intégration avec le navigateur, mais jusqu'ici j'étais un peu inquiet (peut-être à tort ?) qu'une faille dans le navigateur puisse facilement donner accès à tous mes mots de passe.

Je viens de voir passer la sortie de KeePassXC-Browser qui apparemment est une extension de navigateur avec une communication sécurisée avec le gestionnaire (...)

Journal La loose des mots de passe sur les sites webs

Posté par . Licence CC by-sa.
23
19
juin
2014

Bonjour Nal,

Plein de sites webs permettent de s'inscrire via un login et un mot de passe. Les mots de passe, on le sait, c'est la loose absolue. Entre la très grande majorité des gens qui continuent de mettre 123456 ou password comme mot de passe et les formulaires webs qui imposent un minimum de 23 caractères dont au moins une majuscule, une minuscule, un nombre, un caractère spécial, deux emojis et une résistance au dictionnaire, on ne sait pas (...)