Journal Mot de passe etc

Posté par . Licence CC by-sa.
Tags : aucun
-5
30
juil.
2013

Salut,

Un petit journal bookmark nombriliste pour ceux qui n'ont pas vu passer cette perle : https://linuxfr.org/nodes/99177/comments/1473113

Ok c'est du recyclage de contenu (à quand la dépêche qui référence un journal qui parle d'un commentaire d'une entrée de forum sur une fortune de la tribune qui se retrouve dans les trucs les mieux notés…). Mais comme ça fait un moment que je cherchais une solution élégante pour me souvenir des mots de passe et que ma technique de génération de tête était … pourrie, je suis trop content (enfin pas au point de , mais quand même pas mal).

C'est le genre de solutions qui fait penser "mais bien sûr, pourquoi je n'y ai pas pensé avant". Je trouvais pénible de devoir avoir un logiciel pour gérer mes mots de passe (si je dois me connecter depuis un autre poste / tablette / smartphone…). Or, si je dois utiliser un mot de passe sur le net, bah… c'est que j'ai accès au net (et en général à un navigateur). Donc un javascript sur une page web (web/net, désolé Tanguy) et … bam. Merci téthis<.

Quasi parfait. Quasi car j'ai bien un mot de passe par site/clé. Mais si un site me demande de changer de mot de passe, c'est à nouveau de la bidouille (gérer plusieurs masterpass, changer tous les mots de passe …) Si quelqu'un à une solution sympa, je prends.

Sinon, ça a pas grand-chose à voir mais je ne vais pas faire un autre journal pour ça : crypter ses données pour préserver sa vie privée ça la préserve combien de temps (avant que le cryptage soit cassable facilement) ?

  • # memoire de mon navigateur

    Posté par . Évalué à 5.

    pour les mots de passes sur le web, je demande à mon navigateur de s'en souvenir.
    comme il propose de synchroniser les bookmarks et les mots de passe avec les autres navigateurs, je n'ai plus de soucis.

    en plus, quand je change le mot de passe sur un site, il me demande si je dois mettre à jour sa base de données.

    • [^] # Commentaire supprimé

      Posté par . Évalué à 4.

      Ce commentaire a été supprimé par l'équipe de modération.

      • [^] # Re: memoire de mon navigateur

        Posté par . Évalué à 1.

        je n'avais pas été voir le commentaire cité dans le journal, et comme il parlait de addon, je pensais betement à un addon qui fait ce que fait deja le navigateur

        mais en fait il parlait de faire son propre site web qui contiendrait ses propres mot de passe, et donc accessible en ligne depuis n'importe quel appareil.

  • # password hasher

    Posté par . Évalué à 1.

    personnellement j'utilise l'addon Password Hasher que j'ai découvert grâce à ce post : http://neosting.net/logiciels/password-hasher-creer-mot-de-passe-securise.html

  • # journal + keepass

    Posté par . Évalué à 2.

    Sinon, ça a pas grand-chose à voir mais je ne vais pas faire un autre journal pour ça :crypter ses données pour préserver sa vie privée ça la préserve combien de temps (avant que le cryptage soit cassable facilement) ?

    T'as raison ne fait pas de Journal par contre tu peux poser la question dans un forum ;-)

    sinon, blague à part, pour ta question principale il y a keepass.

    Le truc c'est que tu vas trouver relou de devoir l'installer sur ton poste parce que quand tu change de poste ça ne va plus.
    Mais il existe des greffons pour le synchroniser dans le cloud (j'ai jamais testé) donc ça!

    Mais si jamais tu es sur un poste ou tu n'a pas la main ?
    Pour ça il y a un port sur android (voir le lien sur la page wikipedia de keepass, je vais pas te mettre tout les liens non plus!) (je n'ai pas testé non plus mais il y aurai moyen de le synchroniser avec le PC)

    Et enfin, au cas ou ton téléphone n'a plus de batterie, il y un port en version web webkeepass (jamais tésté non plus).

    Bref si avec ça tu ne trouve pas ton bonheur moi je ne peux plus rien pour toi…

  • # KeePassX et Yubikey

    Posté par (page perso) . Évalué à 1.

    J'ai un mot de passe différent pour tous les services Web, ils sont stockés dans ma kdb. J'ai également un mot de passe unique pour toutes les appliances et tous services de mon infrastructure (typiquement, l'accès admin à mon hyperviseur, l'accès root à mon NAS, l'accès admin à mon serveur de monitoring) qui lui est stocké à la fois dans ma Yubikey et dans ma kdb. Et il y a quelque mot de passe que je connais par cœur (mot de passe de la kdb, mot de passe root des certaines machines, etc).

    Le but c'est de ne pas avoir à déverrouiller ma kdb toutes les 5 minute tout en pouvant m'en sortir si je perds la Yubikey. Cela dit, c'est pas super sûr comme méthode.

  • # Crypter ses données

    Posté par (page perso) . Évalué à 8.

    Je vais faire mon relou, mais le verbe « crypter » n'existe pas, je suppose que tu voulais dire « chiffrer ». « Décrypter » existe, et signifie « tenter de déchiffrer un contenu chiffré sans connaitre la clef de déchiffrement ». Du coup « crypter » pourrait signifier « chiffrer un contenu sans connaitre la clef », ce qui n'a aucun sens.

    Je terminerais avec une citation qui m'a fait sourire :

    Paradoxalement donc, le terme "crypter" est souvent bien employé : il consiste au final à faire du chiffrement sans avoir la moindre idée de ce que l'on est en train de faire.

    Il existe deux catégories de gens : ceux qui divisent les gens en deux catégories et les autres.

    • [^] # Re: Crypter ses données

      Posté par . Évalué à 3. Dernière modification le 30/07/13 à 14:50.

      Dans une optique descriptive plus que normative, le wiktionnaire définit le mot :wikt:fr:crypter. Les notes mentionnent la polémique autour du mot et sont intéressantes à lire.

      « chiffrer un contenu sans connaitre la clef », ce qui n'a aucun sens.

      Cela rappelle le chiffrement homomorphique. Ce sont des systèmes qui permettent de travailler sur des données sans connaitre la clef de déchiffrement. Exemple d'application, un ordinateur dans une banque qui pourrait effectuer des opérations sur les comptes (ajout et retrait de valeur) sans avoir à connaitre le montant des comptes (meilleure séparation des privilèges). Également cela évite de déchiffrer/re-chiffrer en permanence pour réaliser des opérations simples (addition, multiplication) et permet donc de réduire la charge sur un ordinateur travaillant sur une base de données chiffrée.

    • [^] # Re: Crypter ses données

      Posté par (page perso) . Évalué à -3.

      Du coup « crypter » pourrait signifier « chiffrer un contenu sans connaitre la clef », ce qui n'a aucun sens.

      Bien sûr que si, ça a du sens, dans un système de chiffrement asymétrique. Tu peux chiffrer sans connaître la clé qui permet de déchiffrer.

    • [^] # Re: Crypter ses données

      Posté par . Évalué à 0.

      Bien sur que si ça a du sens de crypter. Faut arrêter avec ces affirmation toutes faites de la part de linguistes qui ne connaissent rien en informatique. Quand tu obtient la capacité d'insérer ou de remplacer des données dans un flux chiffé, tu peux en faire des dégâts. Ce genre d'attaque a existé, par exemple avec WEP qui permettait de retrouver le keystream si tu pouvait injecter des paquets depuis l'éxterieur. Ensuite, tu pouvait crypter les paquets que tu voulait, et en décrypter certains… sans avoir la clef !

  • # Chiffrer ses données

    Posté par (page perso) . Évalué à 3. Dernière modification le 30/07/13 à 16:03.

    XKCD

    En pratique c'est rarissime que quelqu'un tente vraiment de casser le chiffrage de tes données (A moins que le chiffrage soit notoirement faible). Soit il te demande la clé (en usant de force, de menace, et/ou de violence), soit il sait que c'est probablement peine perdue et fait une croix dessus.

    • [^] # Re: Chiffrer ses données

      Posté par . Évalué à 4.

      En pratique c'est rarissime que quelqu'un tente vraiment de casser le chiffrage de tes données

      Tes données spécifiquement, oui, mais tes données au milieux de celles de milliers d'autres personne c'est pas rare du tout. Casser par force brute, ça coûte pas plus cher de le faire pour les milliers de mot de passe que pour seul (ça coûte moins cher en fait si on cherche juste à en casser un maximum sans en vouloir un particulier).

      Please do not feed the trolls

    • [^] # Re: Chiffrer ses données

      Posté par . Évalué à 1.

      Je pensais plus à des problématiques de surveillance / cassage systématique : genre si j'ai un ami (sic) qui a/communique des données de vie privée qu'il ne veut absolument pas exposer, comment il fait ? J'aurais dit il crypte chiffre ces données.
      Sauf que si les données sont stockées par le "gouvernement" / "google" / "grand méchant loup" , dans 15 ans elles ne seront plus forcément inviolables .
      Je sais qu'il n'y a que les vilains (et qu'on ne vienne pas me chicaner avec le fait que vilains != villains) qui ont des choses à cacher.

  • # encfs

    Posté par . Évalué à 2.

    Personnellement, j'utilise encfs et synchronise le dossier sur plusieurs supports avec rsync (y compris mon téléphone sous android). Pas trouvé plus simple et plus efficace car un simple mount suffit pour accéder au dossier des mot de passe, un cat permet d'afficher le mot de passe, et un nano permet d'en enregistrer de nouveau ou de les modifier.

    • [^] # Re: encfs

      Posté par (page perso) . Évalué à 2.

      Ça ne répond pas à la problématique de base: comment tu fais quand tu n'es pas dans un environnement connu ? Tu te débrouilles pour installer un binaire-compatible-encfs en plus de télécharger le fichier de mots de passe ?

      Je ne dénigre pas ta solution hein, je fais juste remarquer qu'elle ne marche que tant que tu es dans un environnement que tu maitrises totalement.

      • [^] # Re: encfs

        Posté par . Évalué à 2.

        Je peux toujours utiliser mon smartphone pour accéder aux données (ce n'est pas l'idéale, mais ça reste néanmoins acceptable). Ou bien alors je peux me connecter en ssh au cubieboard hébergé chez moi pour accéder à cette partition.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.