Journal Coffre numérique.

Posté par . Licence CC by-sa.
Tags :
12
16
déc.
2017

Cher journal,

Après le succès planétaire rencontré lors de l'ébauche de ma dernière causerie, tu m'as vraiment donné envie de continuer à échanger avec toi, cette fois de manière plus apaisée.

Me sentant d'humeur loquasse, je souhaitais partager sur un sujet qui m'intéresse la sécurité, et notamment la gestion des mots de passe.

Inutile de te présenter : https://haveibeenpwned.com/

De plus une rapide recherche dans google actu avec les mots clés "leak password" ferait transpirer n'importe quel RSSI, ça semble devenu le nouveau e-sport avec le mining de crypto-monnaie

Initialement j'utilisais, KeepassX en dur sur mon PC de bureau.
Hors vraiment peu pratique lorsque tu es à l'extérieur ou sur ton smartphone pour par exemple accéder à tes mails …

Puis j'ai migré vers LastPass qui propose un coffre fort en ligne.
J'en étais satisfait, ils ont l'air de proposer un service sérieux et de chiffrer les comptes sur leur serveur.
Seulement ça reste une solution propriétaire hébergée chez un tiers …

En fouillant un peu il y a quelques jours j'ai découvert : "Bitwarden".

Opensource (le core est sous AGPL-3.0, les outils de connexion sous GPL-3.0 ), authentification "two-step" disponible, ce dernier propose surtout la particularité de pouvoir héberger le service sur ta machine à la maison (ou ailleurs) : génial c'est ce que je recherchais, avoir la possibilité de mettre mes crédentials chez moi, mais disponible à travers le net.

Toutefois, en grattant un peu on s'aperçoit qu'il faut utiliser des outils assez propriétaires (mais gratuit) pour l'héberger notamment : .NET Core 2.x SDK et SQL Server 2017 … et ça commence à faire lourd l'application quand même. Tu peux oublier sur ton Raspberry pi.

Petite nuance toutefois ce dernier est gratuit jusqu’à 2 utilisateurs, il vous faudra passer en revanche passer à un "plan" pour l'utiliser en entreprise ou mode "famille", à des tarifs toutefois tout à fait raisonnable. Pour un usage personnel ça ne pose aucun soucis.

Point de vue personnel : ça ne me choque pas d'aider un peu les développeurs du projet lorsqu'on monte un business avec des outils de cette qualité pour soutenir leur travail (on doit tous payer les factures).

L'interface est sympathique, il manque encore quelques petites fonctionnalités comme la génération d'un password par l'interface web (mais ce ne sont pas les outils qui manquent pour faire ça), de plus les développeurs semblent être attentifs aux questions sur reddit.

Le plugin Firefox et l'application Android sont quant à eux plutôt bien foutus, il y a également un mode cli que je n'ai pas encore testé.

En attendant de rencontrer un service de cette qualité 100% Open-Source et 100% gratuit (encore que est-ce absolument nécessaire …?) je pense que je vais utiliser cette solution, pour l'instant j'suis le cul entre deux chaises, entre lastpass et bitwarden à défaut de mieux.

La migration de LastPass ou KeePass(x) se fait très simplement par un import/export.

Chose intéressante leur site m'a fait découvrir un nouveau navigateur "Brave", le lion à l'air sympathique, j'vais m'empresser de le tester :0

Et toi journal tu utilises quoi pour sécuriser tes pass ?

  • # Je suis venu râler

    Posté par . Évalué à 10. Dernière modification le 16/12/17 à 22:43.

    .NET Core 2.x SDK et SQL Server 2017 […] ce dernier est gratuit jusqu’à 2 utilisateurs

    Ça vend du rêve…

    tout à fait raisonnable

    Bien sûr.

    En attendant de rencontrer un service de cette qualité 100% Open-Source et 100%

    Un « service open-source » ça n’existe pas, ça n’a aucun sens.

    • [^] # Re: Je suis venu râler

      Posté par . Évalué à 2.

      Sauf erreur de ma part .NEt core est open source:
      https://msdn.microsoft.com/fr-fr/library/dn878908(v=vs.110).aspx

      (Ne me parlez pas des brevets, merci)

      Et sinon pour l'hébergement sur 1 raspberry:
      https://www.reddit.com/r/Bitwarden/comments/7jkmyh/a_bitwardencompatible_server_written_in_golang/

      Quand aux alternatives open-source même si pas mal ont été citées, allez faire un tour ici:
      https://alternativeto.net/software/1password/?license=opensource
      Dans la section reviews des outils, il y les commentaires d'un gars assez au fait:
      https://alternativeto.net/software/bitwarden--free-password-manager/reviews/

      • [^] # Re: Je suis venu râler

        Posté par . Évalué à 1.

        Et accessoirement ce n'est pas compliqué d'installer une image Docker:
        https://help.bitwarden.com/article/install-on-premise/

        • [^] # Re: Je suis venu râler

          Posté par . Évalué à 2.

          C'est pas très compliqué mais malheureusement, SQL server est imposé et nécessite au moins 2GB de RAM. Si elle n'y est pas, impossible de booter les VM Docker.

          Ça paraît bête, mais bon moi j'ai voulu tester cette application et à cause de ça, j'ai été coincé.

          Et franchement, je vois pas pourquoi une simple dB SQLite n'aurait pas pu faire l'affaire pour de l'autohebergement.

      • [^] # Re: Je suis venu râler

        Posté par . Évalué à 4.

        Sauf erreur de ma part .NEt core est open source

        Mais pas SQL Server, et à priori il faut Visual Studio (tout aussi non libre) pour compiler le code de .NET core :

        Pour générer le code, vous devez disposer d'une installation de Visual Studio 2013.

        Ce n’est pas tant le côté non-libre de la solution qui me fait rire mais surtout le fait de sortir la grosse artillerie SQL Server pour une application dont le modèle de données doit pas être hyper-complexe…

    • [^] # Re: Je suis venu râler

      Posté par . Évalué à 1.

      Un « service open-source » ça n’existe pas, ça n’a aucun sens.

      Blabla … un service régit par des applications open-source… voilà comme ça c'est mieux …

      • [^] # Re: Je suis venu râler

        Posté par . Évalué à 4. Dernière modification le 21/12/17 à 18:04.

        Et ça voudrait dire quoi ?

        Que le service en question ne repose que sur des logiciels libres (n’ayant pas été modifiés localement), que tous les détails de l’infra sont publics et libres : infrastructure matérielle, scripts techniques, mais aussi infrastructure humaine : combien d’employés dans l’entreprise qui fournit le service ? CA ?

        Note que ce sont de vraies questions. Pour moi « service libre/basé sur du LL » ne veut rien dire (car l’entreprise qui fournit le service peut bien te raconter ce qu’elle veut…), mais je suis prêt à changer d’avis si on me donne une définition qui puisse être acceptée par le plus grand monde.

  • # Brave

    Posté par (page perso) . Évalué à 2.

    Ça fait 3 fois que j'en entends parler en 2 jours (contre 0 jusque là), ça sent le matraquage marketing !

    • [^] # Re: Brave

      Posté par . Évalué à 3. Dernière modification le 17/12/17 à 06:43.

      J'en avais parlé ce journal qui date de 2016.

      Je n'ai pas réessayé depuis et n'en suis pas intéressé.

      • [^] # Re: Brave

        Posté par . Évalué à 2. Dernière modification le 17/12/17 à 12:45.

        Ha wé donc rien de neuf, si ça n'a pas percé depuis c'est qu'il y a probablement des raisons.

        J'en touchais deux mots car c'est la première fois que je rencontrais le nom via les plugins dispo sur bitwarden …

        En deux jours, je l'ai déjà désinstallé.

  • # Classique

    Posté par . Évalué à 4.

    Comme tout le monde j'utilise pass (https://www.passwordstore.org/) qui remplit merveilleusement son rôle sur mes ordinateurs.

    Sinon, tu peux utiliser passman (https://github.com/nextcloud/passman) qui est une appli Nextcloud qui a l'air assez sécurisée avec un plugin Firefox et une appli Android.

    • [^] # Re: Classique

      Posté par . Évalué à 2.

      Salut.
      J'ai essayé keepass2android et password store,mais sous Android l'autofill ne fonctionne pas (chrome ou Firefox) chez moi. Là j'utilise pass synchronisé avec Gogs sous Yunohost. Je trouve un peu laborieux d'aller chercher le mot de passe.
      Je trouve keepass2android plus agréable que Pass au niveau ergonomie (fingerprint).
      Mais la synchronisation par Git me plaît bien. Je ne connaissais pas le plugin sous Nextcloud pour keepass2android.

      Pour toi l'autofill marche bien ? Linux et Android ?

    • [^] # Re: Classique

      Posté par . Évalué à 2.

      oula… je ne connaissais pas passwordstore, mais vraiment, ça me plait !!!
      Jusque la j'utilisais keepass, mais la j’adore…
      git + gpg + ssh + un peu de glu autour… toute la puissance d'unix… je prend…
      Et pour migrer ma base de keepass, y'a même des scripts python… bref… le top ;-)

  • # Auto-promo

    Posté par (page perso) . Évalué à 2.

    Si tu es curieux et que tu veux un truc pas lourd, j'ai parlé de Hutch quelques journaux plus bas, ca roule sans problèmes sur un Raspberry PI.

  • # Keepass synchronisé

    Posté par . Évalué à 10.

    Ma solution actuelle :

    • Keepass ou une de ses variantes (KeepassX, KeepassXC) ;
    • Synchronisation du fichier de base de données via Nextcloud ;
    • Application Keeweb intégrée à Nextcloud pour avoir un accès web ;
    • Application Keepass2Android et synchronisation Webdav pour un usage mobile.
    • [^] # Re: Keepass synchronisé

      Posté par . Évalué à -10.

      C'est aussi aussi ce que j'utilise. Pour l'instant je n'ai pas trouvé plus flexible et universel (l'utilisation est à la portée de la femme)

    • [^] # Re: Keepass synchronisé

      Posté par (page perso) . Évalué à 2.

      C'est aussi exactement mon setup et je confirme que ça remplit tous mes critères personnels:

      • facile d'utilisation et bonnes fonctionnalités.
      • 100% sous mon contrôle.
      • accessible depuis mon téléphone et depuis n'importe quel ordi ayant accès à internet.
      • pas de dépendances à un service qui peut mettre la clef sous la porte ou changer ses conditions d'utilisation à tout moment.
        • --> c'est future-proof, dans 5 ans je sais que je peux toujours accéder à mon fichier Keepass, tant que j'en garde une copie ainsi que du binaire de Keepass (n'oubliez pas de faire des sauvegardes régulières).
      • niveau sécurité, c'est mature, depuis le temps que ça existe. Je dis pas que c'est garanti sans faille, mais ma confiance dans la sécurité de Keepass est élevée. (contrairement à d'autres alternatives qui poussent (et meurent quelques temps plus tard) comme des champignons)

      Besoins non couverts mais dont je n'ai pas l'utilité:

      • pas besoin d'autofill, c'est plus un risque qu'une fonctionnalité.
      • pas besoin de partager avec d'autre personnes. Si le besoin de mutualiser des mots de passe existe c'est souvent un signe que le système associé est mal conçu et ne permet pas la délégation de rôles. Et au pire, je peux partager un fichier Keepass différent avec d'autres personnes.
    • [^] # Re: Keepass synchronisé

      Posté par (page perso) . Évalué à 3.

      J'utilise la même chose, si ce n'est un Nginx en webdav à la place de Nextcloud. Keeweb est juste génial. Par contre, j'ajoute l'extension Firefox Kee à la pile.

      Le seul reproche que j'aurai à faire, c'est :
      - Le manque d'OTP dans Keeweb
      - Le manque d’intégration [avec les navigateurs] sur android. Il y a environ un an, je crois, des travaux en vue d'une API pour ce point à été lancé par Lastpass et Google. Keepass à été consulté aussi. On nous a promis du code open-source. J'ai pas vu de nouvelles depuis.

  • # RatticDB?

    Posté par (page perso) . Évalué à 2. Dernière modification le 17/12/17 à 00:51.

    C'est ce que j'ai utilisé dans mon ancien taf et que je compte déployer rapidement dans mon nouveau boulot…

  • # Keepass + syncthing

    Posté par . Évalué à 4.

    Keypass + syncthing fonctionne à merveille, surtout si on a à dispo une machine connectée et allumée 100% du temps.

    Il y a aussi passwordstore qui permet il me semble de synchroniser le magasin chiffré sur github ou autre…

  • # Mode auto promo aussi

    Posté par (page perso) . Évalué à 5.

    J'utilise passprotect un logiciel fait par moi même

    Https://passprotect.shadoware.org
    https://github.com/phoenix741/passprotect-server

    Libre sans condition, en js, crypter côté client.

  • # Secretin

    Posté par . Évalué à 1.

    j'utilise Secretin
    Disponible ici
    https://github.com/secretin

    On a le choix d'utiliser le site web déjà existant ou de se l'auto héberger.

    • [^] # Re: Secretin

      Posté par . Évalué à 6.

      En voyant le nom je me suis dit "comme le célèbre pongiste" ? En voyant la photo du projet, il semblerait bien que oui.

      J'ai joué un set contre lui, il m'avait donné 18 points d'avance, il a gagné 22-20 (je vous rassure, il a perdu 2 points en faisant le con, hors de question que le commun des mortels lui mette un seul point).

  • # Pourquoi héberger en ligne sa base de mots de passe ?

    Posté par . Évalué à 4. Dernière modification le 17/12/17 à 11:54.

    Héberger en ligne, c'est quand même l'exact opposé de la sécurité. Je m'étais posé la question d'héberger en ligne ma base de mots de passe Keepass (ou d'utiliser une solution en ligne) et j'ai finalement laissé ça de côté, pour raison de sécurité. Je changerai peut-être d'avis un jour si Nextcloud fournit un jour une solution de chiffrement/déchiffrement côté client.

    Ma solution de stockage, c'est d'avoir plusieurs copies de ma base de mot de passe hors-ligne et d'utiliser la solution de synchronisation de bases de mots de passe intégrée à Keepass.
    J'ai donc ma base de mots de passe intégrale hébergée sur :
    - deux clés USB chiffrées (j'ai tendance à les perdre dans la nature)
    - mon fixe, sur une partition non chiffrée
    - mon laptop, sur une partition chiffrée
    J'ai aussi une copie partielle sur mon mobile, avec le strict minimum de mots de passe mais surtout sans aucun mot de passe critique (boîte mail, auth google, etc…). Je saisis les rares mots de passe critiques à la main sur mon mobile.

    La synchro manuelle n'est pas si contraignante que ça vu que je crée au final grand max 3 mots de passe par mois.

    Alors oui, je sais que la base Keepass est chiffrée, mais ça n'est pas une excuse pour la laisser traîner en ligne.

    • [^] # Re: Pourquoi héberger en ligne sa base de mots de passe ?

      Posté par . Évalué à 5.

      Ok, donc pour ne pas les mettre dans le cloud, tu les échappe un peu partout sur les bancs publics.

      C'est un choix.

      • [^] # bancs publics

        Posté par . Évalué à 2. Dernière modification le 17/12/17 à 17:36.

        Mouais enfin mettre un keepass sur un mobile au contenu chiffré, un laptop au disque dur chiffré je n'appelle pas ça les bancs publics, en tout cas moins que de l'exposer sur l'internet sur une appli qui se veut #1 dans le cloud perso et de surcroit en php (donc cible de choix au même titre que wordpress)…je choisis la solution offline.

        Bon par contre moi je synchronise via syncthing entre mon laptop, mon smartphone et mon asus tinker board et ça se fait automatiquement dès que mes devices sont sur le wifi de la maison.

        • [^] # Re: bancs publics

          Posté par . Évalué à 4. Dernière modification le 17/12/17 à 19:33.

          Non mais c'était juste le contraste entre "je veux pas le mettre sur dans le cloud" et "je le mets sur des clés USB, 2 parce que je les perds". J'ai trouvé ça amusant.

          Mais je suis d'accord avec toi : une fois chiffré (avec un système reconnu - ce qui est vraisemblblement le cas ici) t'es peinard. Mais je peux savoir ce qui ne te plaît pas dans le fait de mettre un fichier chiffré "dans le cloud" ? Tu le penses plus vulnérable ?

          • [^] # Re: bancs publics

            Posté par . Évalué à 4. Dernière modification le 17/12/17 à 20:29.

            Mais je peux savoir ce qui ne te plaît pas dans le fait de mettre un fichier chiffré "dans le cloud" ? Tu le penses plus vulnérable ?

            Le truc c'est que nexcloud c'est le #1 du soft de cloud perso libre, donc il a toutes les chances d'avoir son code étudié par tous les groupes malfaisants du net et d'être exploité automatiquement par des botnets à la moindre faille publiée au même titre que wordpress pour les blogs. On a beau avoir confiance aux developpeurs pour faire du mieux possible, des bugs ça se trouve partout.

            Pas vraiment le genre de truc où je voudrais y stocker mes secrets. En tant cas pas sans une grosse limitation des addresses IP ayant l'autorisation d'y accéder et/ou du port knocking.

            • [^] # Re: bancs publics

              Posté par . Évalué à 2.

              Ouais pas faux non plus… je suis justement en train de bosser sérieusement mon "infrastructure perso" (à l'échelle de la famille tout de même), et je pense que finalement tout passera dans un VPN. Pas de VPN, pas d'accès. Point.

          • [^] # Re: bancs publics

            Posté par . Évalué à 1. Dernière modification le 22/12/17 à 12:09.

            Les clés USB sont chiffrées avec VeraCrypt. Et je considère que la probabilité qu'une clé USB chiffrée correctement soit déchiffrée est largement inférieure à la probabilité qu'un serveur Nextcloud soit compromis. Nextcloud a un problème de sécurité connu ; les mots de passe des clients transitent en clair côté serveur.
            Donc tant que je n'ai pas un équivalent open source à MEGA (dépôt de fichiers en arborescence avec chiffrement côté client), j'évite de mettre tout et n'importe quoi en ligne.

            • [^] # Re: bancs publics

              Posté par (page perso) . Évalué à 3.

              Je ne pige pas pourquoi tu ne fais pas exactement comme avec ta clef USB : tu chiffres tes fichiers avant de les mettre sur le cloud. Du coup tu n'as pas à faire des trucs compliqués avec des clefs USB, ni à les acheter, ni à les gérer (zut je l'ai oublié à la maison) etc.

    • [^] # Re: Pourquoi héberger en ligne sa base de mots de passe ?

      Posté par . Évalué à 2.

      C'est fonction du choix et de l'usage que tu en as.

      Je changerai peut-être d'avis un jour si Nextcloud fournit un jour une solution de chiffrement/déchiffrement côté client.

      Tu pourrais détailler ? En passant par l'interface web + https ce n'est pas assez pour sécuriser le flux entre ton infra maison (de confiance donc) et le pc tiers que tu utilises ?
      Cela revient à ne pas avoir confiance dans le navigateur ou le poste que tu utilises, j'imagine ? J'ai pris le paris de faire confiance en FF.
      La faille se situerait dans la pile du copier/coller de l'os que tu utilises ou quelque chose du genre … cela dit la clée USB ne règle pas le problème tu peux faire un c/c également ..

      Je cherche une solution vraiment "simple" à utiliser "friendly-user", je suis une feignasse …

      Si j'utilise Mint sur mon desktop et plus Arch Linux ou une BSD, c'est juste que je n'ai pas/plus envie de bricoler sur PC perso, je veux du clés en main sur mon PC du moins.

      Je suis un vilain de je colle absolument tout dans le coffre fort, mot de passes, comptes, mails, compte linuxfr, numéro des impots, tout c'est devenu un réflexe -> inscription quelque par = insert nouveau pass dans le coffre fort.
      A l'usage c'est vraiment super pratique, tu es à l'extérieur tu accèdes par le web (via https évidemment). Si jamais lastpass devait être leaké j'ai pris le pari de faire confiance en la qualité du chiffrement qu'ils proposent.

      HS : D'ailleurs tout n'est qu'histoire de confiance en définitive, dans la sécurité comme dans l'économie ..

      J'aime bien mettre des mots de passes bien complexes sur 16 caractères et ne me rappeler de rien. J'ai juste une unique "passephrase" bien solide à me rappeler et c'est tout !

      Le local c'est bien, mais dés que tu es à l'extérieur sur un autre ordinateur, tu n'accèdes plus à rien … et je ne me trimballes pas avec 2 clés usb (j'ai vite fait d'oublier ça dans le sac à la maison ou autre chose …) Idem au taf clé USB = forbidden, là t'es à la porte de tout …

      Alors les solutions avec deux clés USB c'est vraiment trop complexes pour moi ..

      • [^] # Re: Pourquoi héberger en ligne sa base de mots de passe ?

        Posté par . Évalué à 2. Dernière modification le 22/12/17 à 12:15.

        Tu pourrais détailler ? En passant par l'interface web + https ce n'est pas assez pour sécuriser le flux entre ton infra maison (de confiance donc) et le pc tiers que tu utilises ?

        Comme dit dans un autre de mes messages, NextCloud déchiffre les fichiers côté serveur, pas côté client. Donc le code PHP manipule joyeusement une variable $password qui contient le mot de passe de l'utilisateur actuellement connecté. Les fichiers sont chiffrés sur le disque, mais ça ne sert à rien vu que si on peut modifier le code PHP du serveur on peut récupérer en clair les mots de passe des utilisateurs.
        Je cherche plutôt une alternative Open Source à MEGA qui me permettrait de déchiffrer mes fichiers dans le navigateur et non pas sur le serveur.

  • # Implémentation en Ruby

    Posté par (page perso) . Évalué à 4.

    Il existe une implémentation en Ruby de la partie serveur de bitwarden. L'auteur de cette implémentation a expliqué sa démarche ici : https://jcs.org/2017/11/17/bitwarden. Et en bonus, il a documenté toute l'API par là : https://github.com/jcs/bitwarden-ruby/blob/master/API.md.

  • # Pourquoi avoir une base de donnée ?

    Posté par . Évalué à 3.

    Sous un titre un peu provoquant, je voulais vous parler d'une simple extension de navigateur qui permet d'accéder à tous ses mots de passe dynamiquement : LessPass. C'est un logiciel libre (et écologique vu qu'il ne nécessite pas de serveur pour satisfaire nos besoins de portabilité :)).
    Je trouve l'idée très intéressante notamment pour toutes les personnes qui ne veulent pas ou ne sauraient pas gérer une base de donnée (typiquement moi) !
    Pour l'instant je trouve qu'il manque 2-3 fonctionnalités pour améliorer la praticité de l'outil (par exemple une sorte d'autofill), et moyennant ces améliorations je serais convaincu de l'utiliser sérieusement (même si l'auteur ne semble pas très actif en ce moment).
    D'ailleurs je suis preneur de critique sur ce logiciel, pour voir si je pourrais me l'approprier…

    • [^] # Re: Pourquoi avoir une base de donnée ?

      Posté par . Évalué à 3.

      Il a l'air très intéressant ce logiciel ! Je m'en vais le tester dès maintenant. Déjà j'aime le principe du sans serveur et de la fonction pure.

      l'auteur ne semble pas très actif en ce moment

      Les derniers commits sur le dépôt core ont 1 mois et moins d'une semaine pour le dépot principal. Ça va quand même !
      En plus le code est suffisament simple et léger pour observer comment ils l'intègre aux différents environnements supportés (web, cli, desktop, android, cozy,…)
      Par contre, ils ne semblent pas avoir beaucoup de donateurs… Si je l'adopte pour remplacer mon .txt dans encfs synchronisé par Unison je tâcherai d'y remédier.

    • [^] # Re: Pourquoi avoir une base de donnée ?

      Posté par . Évalué à 3.

      D'ailleurs je suis preneur de critique sur ce logiciel, pour voir si je pourrais me l'approprier…

      Je ne connais pas LessPass mais:

      • Comment fais tu pour changer un mot de passe ? (X s'est fait trouer ou simplement rotation régulière forcée ou souhaitable)
      • Comment fais tu pour gérer les groupes de sites avec la même authentification ?

      Le logiciel étant sans état, l'état se retrouve dans ton cerveau. Le but initial était de virer cet état de ton cerveau…

      Si tu lui colles une DB aux fesses comme cela semble être possible pour garder l'état de counter et autres options côté serveur, pourquoi s'embêter avec un système "compliqué" plutôt qu'un bête stockage des mdp en clair dans une base ? Niveau sécu ca revient au même.

      Comme ca je ne suis pas super convaincu. La version stateless à des limitations assez fortes et je ne vois pas d’intérêt à la version stateful par rapport à d'autres.

      • [^] # Re: Pourquoi avoir une base de donnée ?

        Posté par . Évalué à 1.

        2 questions très pertinentes.
        - Je n'ai pas de réponse pour la première, et c'est peut-être rédhibitoire sur le long terme (?)
        - Pour la deuxième j'ai en effet buté sur cette difficulté sur wikipedia/wikimedia, mais ça reste bénin : il suffit sur une page X.fr, de spécifier dans la case "site web" de l'extension le domaine Y.fr avec lequel tu a créé le mot de passe. Ceci dit une amélioration d'ergonomie du logiciel serait bienvenue pour rendre la procédure plus facile, voir semi-automatique pour des site web connus (comme wikimedia et Cie) ou pour des intégration de connexion google, osm, etc, dans d'autres sites web…

        • [^] # Re: Pourquoi avoir une base de donnée ?

          Posté par . Évalué à 5.

          Mouais, alors faut quand même pas te planter, genre pour ton mot de passe youtube c'est youtube.com, google.com, google.fr ? Pour amazon, c'est amazon.com ou amazon.fr ?

          Rajoute à ça le login à retenir pour chaque site, entre :
          - ceux où c'est ton pseudo
          - ceux où c'est ton adresse mail (laquelle ?)
          - ceux où ton pseudo est pris
          - ceux où on t'a donné un identifiant client

          Sur le long terme, ça devient assez contraignant.

      • [^] # Re: Pourquoi avoir une base de donnée ?

        Posté par (page perso) . Évalué à 2.

        Bonjour ckyl,

        Pour le changement de mot de passe tu peux utiliser le champ compteur:

        lesspass changer de mot de passe.
        Si tu souhaites modifier ton mot de passe maître tu peux utiliser lesspass move

        Nous avons une discussion en cours concernant la gestion de sites ayant une même authentification.

        Comme tu l'as noté, il est tout à fait possible d'utiliser Lesspass sans base de données (ce que j'ai fait toute la première année du projet). Elle stocke le profile de génération mais aucun mot de passe, pour gérer les sites qui ont des contraintes tordues sur leur mot de passe (longueur, caractères, etc.).

        Avec Lesspass nous avons cherché à répondre à des besoins que nous avions, notamment gérer nos mot de passe web sans les stocker, rendre cette utilisation ludique et détecter les typos dans le mot de passe maître (cf. les icônes).
        Le logiciel ne répond pas à tous les scénarios d'usages et c'est un choix pour le garder simple. Personnellement, je continue à utiliser Keepass pour certains usages, l'utilisation de lesspass m'a permis de supprimer un grand nombre de mot de passes de ma base.

      • [^] # Re: Pourquoi avoir une base de donnée ?

        Posté par . Évalué à 1.

        Comment fais tu pour changer un mot de passe ? (X s'est fait trouer ou simplement rotation régulière forcée ou souhaitable)

        A part si tu change ton mot de passe master, et donc tous ces autres mots de passe, aucune solution. Ça peut donc être utile d'avoir deux ou trois mots de passe master et de tester les mots de passe générés séquentiellement.

        Mais la question qui me gêne le plus : comment je fais pour supporter les contraintes de complexité des mots de passe qui varient du tout au tout suivant les sites ? Genre pas le droit aux caractères spéciaux (/_){}, et maximum 16 caractères, ou d'autre systèmes débiles que j'ai pu voir sur certains sites.
        Eh bien c'est impossible par design, vu que ça ne peut générer qu'un type de mot de passe. Échec complet ce qui rend ce soft inutilisable dans la vraie vie.

    • [^] # Re: Pourquoi avoir une base de donnée ?

      Posté par (page perso) . Évalué à 3.

      D'ailleurs je suis preneur de critique sur ce logiciel

      Indépendamment de ce logiciel, je ne suis pas fan de l’approche basée sur un master password dont les mots de passes finaux sont directement dérivés.

      Le problème fondamental avec cette approche, c’est que si par malheur le mot de passe principal vient à être compromis, c’est jackpot pour l’attaquant, il peut dériver l’ensemble de tes mots de passe. Contrairement à un gestionnaire de mots de passe classique (qui stockerait les mots de passe dans une base chiffrée), il n’a même pas besoin d’exfiltrer la base de mots de passe, la simple connaissance du mot de passe maître est suffisante. Du coup, cette approche est potentiellement plus risquée qu’une approche « classique ».

      Je note toutefois que contrairement à d’autres logiciels que j’ai pu voir basés sur la même approche, LessPass semble dériver les mots de passe finaux d’une manière cryptographiquement solide (PBKDF2 — encore que j’aurais préféré Argon2 qui est expressément conçu pour ce genre de choses, contrairement à PBKDF2 qui est plus un bidouillage), ce qui au moins devrait empêcher un attaquant de remonter au mot de passe maître juste en connaissant un mot de passe dérivé (sous réserve que l’implémentation est correcte).

      • [^] # Re: Pourquoi avoir une base de donnée ?

        Posté par . Évalué à 1.

        Merci pour ton expertise sur la solidité du chiffrage, je n'avais pas les connaissance nécessaire pour en juger.
        Ceci dit tu as raison, l'attaquant n'a pas besoin d'avoir accès à une DB !
        Après de laisser un logiciel proprio gérer sa DB en ligne me semble aussi risqué, vu les lois américaines sur les portes dérobées, et la faible résilience d'un code non-ouvert. C'est donc un risque mesuré, que je serais prêt à prendre si d'un autre côté le logiciel reste entretenu dans le temps.

        • [^] # Re: Pourquoi avoir une base de donnée ?

          Posté par (page perso) . Évalué à 2.

          Merci pour ton expertise sur la solidité du chiffrage, je n'avais pas les connaissance nécessaire pour en juger.

          Oui, alors euh mon « expertise » est uniquement basée sur ce que les développeurs disent qu’ils font. Je ne suis pas allé regarder le code pour savoir s’il fait correctement ce qu’il est supposé faire — même si j’avais voulu le faire, je ne suis de toute façon pas compétent pour juger de la qualité d’une implémentation (le code pourrait bien être truffé de failles de sécurité, je n’en rendrais jamais compte). D’où ma réserve à la fin, « si l’implémentation est correcte ».

    • [^] # Re: Pourquoi avoir une base de donnée ?

      Posté par (page perso) . Évalué à 4.

      Bonjour bolikahult,
      Merci pour ton message, je suis co-créateur de LessPass (partie UX), ça fait toujours plaisir d'avoir des retours positifs :)

      Lesspass s'efforce de respecter, par défaut, la vie privée tout en restant simple à utiliser.

      Nous avons enlevé l'auto-fill pour des raisons de sécurité, tu trouveras plus de détails dans cette FAQ Why there is no auto-fill feature in the web extension?.

      À noter que la communauté nous aide beaucoup, grâce aux bugs et retours utilisateurs sur lesspass/lesspass ainsi qu'aux messages de soutient.

    • [^] # Re: Pourquoi avoir une base de donnée ?

      Posté par . Évalué à 3.

      Hello bolikahult,
      il est vrai que je suis moins actif en ce moment, pour la simple et bonne raison que l'outil fonctionne et me satisfait pleinement dans son état. Je suis toujours en train de développer dessus. La dernière version de l'extension date d'avant hier :)
      Et ce n'est pas près de s'arrêter, je travaille en ce moment à améliorer l'expérience sur mobile.

      LessPass c'est entre le même mot de passe partout et Keepass.
      C'est moins sûr que Keepass mais tellement plus sécure qu'un mot de passe unique.

      Pour l'autofill je te conseille d'associer LessPass + Firefox Sync. C'est l'association parfaite. Ton navigateur sauvegarde les mots de passe pour toi et gère l'autofill. Je vais bloguer bientôt sur comment mieux utiliser LessPass.

      Les critiques du logiciel:
      - difficile de changer son mot de passe maître. Il faut se forcer à le changer 1 fois par an.
      - la version mobile est moins "agréable" et "utilisable" que la web extension.
      - pbkdf2 100k itérations c'est pas assez "sur" pour certains

      Toutes ces critiques sont légitimes, et le bon outil dépend du modèle de menace.
      Quel est le meilleur outil entre un marteau et une scie?

      Pour finir: gérer son serveur, synchroniser ses bases de données chiffrées entre ces appareils (boulot, perso), ou faire confiance à des services pour stocker vos mots de passe sans pouvoir voir le code source, sont les raisons qui m'ont amené à créer LessPass.
      LessPass est en licence libre (GPLv3), gratuit > vous pouvez regarder le code source ici: https://github.com/lesspass/
      Les dépôts importants sont https://github.com/lesspass/render-password et https://github.com/lesspass/core
      C'est du Javascript, il y a des tests, c'est hébergé en France, il n'y a pas de mouchard, d'analytics de publicité. Nos DNS sont gérés par Gandi (<3)

      N'hésiter pas à nous faire des retours sur vos frustrations/joies avec l'outil.
      Joyeuses fêtes de Noël

      PS: merci Bolikahult pour avoir entamé la discussion sur LessPass

  • # Clipperz

    Posté par (page perso) . Évalué à 1.

    J'utilise le service Clipperz.

    Comme Firefox Sync (que j'utilise également), c'est un service de type zero knowledge, le serveur n'a pas accès aux données en clair, et ici le cryptage et le décryptage se font via du JavaScript dans une page Web.

    La spécificité de cet outil est que la page en question peut être enregistrée en local avec vos données cryptées, ce qui vous permet de pouvoir l'utiliser offline.

    Clipperz, sous licence BSD/AGPL, a été payant un moment et redevenu gratuit il y a quelques temps, ce qui explique peut-être le fait qu'il soit toujours relativement méconnu.

  • # retour passbolt?

    Posté par . Évalué à 2.

    Bonjour,

    le sujet m’intéresse beaucoup pour le stockage de mes secrets perso et pour le stockage des secrets de mon équipe au boulot :). J'ai pu tester les solutions suivantes:

    • keepassX (partage de la DB via une clé USB)
    • pass (https://www.passwordstore.org/), l'utilisation de git pour la synchro est une bonne idée. De + la communauté est très active (voir la liste des extensions)

    Je sais pas si certains utilisent passbolt (https://www.passbolt.com/) sur papier le projet semble prometteur. J'ai pas encore pu essayer :(

  • # Passman (of course)

    Posté par (page perso) . Évalué à 1.

    J'ai pas mal étudié le sujet du gestionnaire de mot de passe ces derniers temps.
    J'en ai installé pas mal et beaucoup ne remplissez pas mes critères, notamment la synchronisation facile ou le partage de mots de passe.
    Je n'en trouvé qu'un qui soit parfait selon mes critètes :

    Passman.

    Il est :
    - Libre
    - Gratuit
    - auto-hébergeable (via Nextcloud qui, lui aussi est parfait :-) )
    - synchronisable avec presque tout (Android, Navigateurs, …)
    - Possible de partager un mot de passe

    C'est le top !

    Quelle est la différence entre un pigeon ?

  • # Mooltipass

    Posté par (page perso) . Évalué à 3.

    Moi je suis passé sur gestionnaire de mot de passe matériel. Vu que la majorité des "password keeper" soft ont déjà connus des soucis de sécu, c'était pour moi bien plus safe.

    Mooltipass

    • Open source
    • Mots de passe stockés dans l'appareil
    • Possibilité de syncro avec un autre appareil
    • Extension de navigateurs Chrome, FF, Safari pour se connecter sur ses sites
    • Possibilité de stocker ses clés SSH et de l'utiliser comme ssh-agent
    • Multi utilisateur (plusieurs DB sur un meme appareil)

    Perso j'en ai un au boutot, un a la maison, et ca fait bien le job. Dès que j'ai besoin d'un couple identifiants + mot de passe, c'est auto-généré par les outils mooltipass.
    Et si l'appareil est cassé, je peux toujours en prendre un neuf et importer ma DB dessus. Les exports de DB sont tous chiffrés donc pas de soucis non plus si la DB se retrouve en libre accès.

    • [^] # Re: Mooltipass

      Posté par . Évalué à 1.

      NextCloud annonce le chiffrement bout-en-bout pour la v13.
      Source

      PassBolt
      - Gestionnaire de mot de passe en ligne, service (bientôt) ou auto-hébergeable
      - AGPL v3
      - FF, Chrome, CLI
      - plutôt orienté équipe mais qui peut le plus peut le moins.

      Je ne l'ai pas encore testé.

    • [^] # Re: Mooltipass

      Posté par . Évalué à 3.

      ouais par contre la petite molette ça ne me parait pas très user friendly passé un certain nombre de comptes. Faudrait pouvoir utiliser la voix pour pouvoir épeler les premières lettres.

  • # Vault par Hashicorp

    Posté par (page perso) . Évalué à 1.

    J'utilise Vault

    Accessible en API, gestion des droits par token.
    Point interessant : Il se démarre completement verrouillé. Tu dois insérer 3 des 5 clés (par défaut) données à l'initialisation du coffre fort

    • [^] # Re: Vault par Hashicorp

      Posté par . Évalué à 1.

      Intéressant, tu pourrais en dire un plus sur la manière dont tu l'utilises.
      J'avais pensé il y a un moment utiliser Vault comme gestionnaire de mots de passe mais il m'avait semblé un peu trop sophistiqué pour cela, je me suis alors tourné vers gopass qui est compatible avec pass que j'utilisais déjà (the standard unix password manager).

  • # Autocorrect

    Posté par (page perso) . Évalué à 2.

    Me sentant d'humeur loquasse

    Low-kass :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.