Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Où stocker une liste de mots de passe ?

percherie

Bonjour,

Je pense que c'est une question récurrente mais j'ai une liste d'identifiant et de mots de passe que je souhaite placer à un endroits sécurisé sur internet et pouvoir y accéder de partout.

J'hésite entre plusieurs solutions :
- LastPass, solution simple mais on doit faire entièrement confiance à un service ;
- Cacher la liste en clair dans un endroit connu de moi seul, pas forcément idéal mais c'est ce que j'ai fait pour l'instant ;
- Crypter un fichier et le stocker dans un stockage personnel (DropBox, Ubuntu One, Google Drive) ;

Utilisations souhaitée :
- Modification depuis un ordinateur ;
- Consultation depuis un internet café ou autre endroits où je ne peut utiliser de logiciel de décryptage, dans ce cas il me faudrait une solution en ligne ;
- Consultation depuis un téléphone type smart phone

Pour l'instant je pense m'orienter vers LastPass mais peut être qu'une solution Ubuntu existe.

marcazer

Et un truc tout con, tu t'envoie par mail un fichier avec tes mots de passes, que tu mets ensuite dans un dossier, avec une étiquette? Ainsi tu peux accéder à ta messagerie de n'importe ou!
Un fichier crypter avec true crypte dans une clé usb cacher dans la chaussette?
Ou à la général Rondot, à l'ancienne.
Pour ma part, j'ai last pass et c'est nickel, des fois ça bug entre les formulaires à remplir pour l'inscription et la connexion identifiant, mais le service est bon.

percherie

J'y ai pensé... le problème est que j'ai peur qu'un jour où l'autre en passant par un internet café à l'étranger je me fasse volé mon mot de passe de connexion. Lors d'un voyage au Maroc près de 75 % des Internet Café avait des virus en tout genre rarement détecte par leur antivirus car tout est cracké et surtout n'est pas tenu à jour.

J'ai mis ce fameux fichier dans mon drive google et j'y ai accès facilement avec leur éditeur de texte mais je ne suis pas à l'abris d'un vol par keylogguer.

Est ce qu'il existe une méthode en ligne pour décrypter un fichier ? Ce serait un bon mix... accessible et sécurisé à la fois.

marcazer

Général Rondot vous répond: Tu notes par exemple des lettres de l'alphabet en te disant qu'à chaque lettre, c'est la lettre suivante! idem pour les chiffres.
ex: azerty: zertyu. noter sur ton fichier: azerty mais c'est zertyu
1234: 23456
J'ai compris ton soucis en voyant ton blog, (magnifique d'ailleurs) t'a du coup raison d'être en mode parano.
Mais ça n'empêche pas dans un cyber de sniffer tes codes quand tu les tapes!
Moi mon mot de passe c'est: incorrect; car quand je me trompe,c'est marquer: votre mot de passe est incorrect.

percherie

Merci pour le blog... je pense repartir en voyage l'année prochaine ;-p

Lors du dernier voyage j'avais modifier mes mots de passe les plus courant le temps du voyage pour les corriger à mon retour. Pour le coup des claviers c'est une idée qui fonctionne en France, arrivé en Espagne les claviers change ainsi que dans les autres pays (clavier avec touche arabe ou en qwerty).

Entre temps j'ai trouver un site de chiffrement en ligne : http://cryptage.online-convert.com/fr par contre je n'ai pas trouver comment déchiffrer en ligne.

percherie

J'ai enfin trouvé l'outil parfait : http://www.redkernel-softwares.com/web/fr/df/Home/Encrypt-Decrypt-AES-256

Je prend mon fichier, choisi un grain de sel et je télécharge mon fichier totalement chiffré. Pour le chemin inverse c'est la même logique et je télécharge mon fichier déchiffré. Il me reste plus qu'a test de décryptage avec les outils qu'on peut installé sur Ubuntu ou autre mais étrangement je ne trouve pas d'interface graphique pour cette simple fonction.
En connait tu une ?

EDIT : réponse pour le décryptage : http://forum.ubuntu-fr.org/viewtopic.php?pid=11843091#p11843091

serged

Un antique bout de papier que tu planques avec autant de soin que ta carte bleue ? Voire dans un plan (sens 9) si t'es parano ?

percherie

😃 Cela impliquerai de l'avoir en permanence avec moi j'y stocke :
- Identifiant imposé par mon hébergement web
- Identifiant d'autres service : CAF, Banque, Pôle emploi
- Identifiant de mes multiples compte FTP

Tient au fait en parlant de pôle emploi, il y a plus de radiation chez eux qu'a Tchernobyl :lol:

Non sans dec, je vais faire un petit mix de tout ce que vous avez proposer :
- Stockage dans un fichier chiffré synchronisé avec DropBox. Avantage : simple à tenir à jour depuis un PC ;
- Sauvegarde dans LastPass. Avantage : emplacement de secours si un pays interdit l'accès à un des sites de déchiffrement ou à DropBox (FB est interdit au Vietnam)
- Sauvegarde papier (codé par ex.) très loin de mon matériel informatique. Avantage : même sans électricité ni internet ça fonctionne... ça m'arrive parfois en voyage loin de tout

marcazer

ok, bon voyage à toi, et soit prudent pour le reste aussi!

kleim

percherie a écrit - Sauvegarde papier (codé par ex.) très loin de mon matériel informatique. Avantage : même sans électricité ni internet ça fonctionne... ça m'arrive parfois en voyage loin de tout

Remarque, ça ne sert pas à grand chose si tu n'as pas internet de toute façon...

Pour le papier, écrit avec un crayon à papier ou un bic (moins sensible à l'eau) et plastifie-le avec du scotch. Tu peux toujours garder ton papier sur toi dans une ceinture cache-billet (+ garder un scan de tes pièces d'identité sur une carte SD que tu gardes dans la ceinture et sur une de tes boîtes mail).

Pour ce qui est du stockage numérique chiffré, je ne connais pas LastPass mais Keypass te permet de créer un fichier conteneur de mots de passe et est proposé en version "portable". Donc pas besoin de l'installer, pas besoin de service en ligne (tu peux toujours déposer le fichier conteneur sur ton Google Drive ou Dropbox évidemment). Il existe aussi en version Android donc tu peux l'utiliser sur ton smartphone.

Pour ce qui est des keyloggers, c'est très dur de s'en protéger. Tu peux essayer d'utiliser un clavier virtuel qui ne passe pas par le noyau ou le presse-papier de Windows comme celui de Neo's Safekey.

Hoper

keepass sous windows, keepassx sous linux. Il existe aussi des softs compatibles sous android etc.

Ca te permet de stocker l'ensemble de tes mots de passe de façon chiffré, et de pouvoir y avoir accès depuis la plupart des plateforme.

kleim

NB : KeepassX est compatible uniquement avec Keepass v1 mais n'implémente que partiellement les protections contre les attaques par dictionnaire (avec Keepass on peut changer le nombre de "rounds" de chiffrage pour faire en sorte que l'ordi sur lequel on est prenne au moins 1s pour essayer un mot de passe). Donc il vaut mieux créer le fichier conteneur sous Windows.
Keepass v2 est disponible nativement sous Windows et Linux mais est écrit avec C# donc il faut Microsoft .NET Framework ≥ 2.0 (inclu par défaut à partir de Windows Vista) ou Mono sous Linux.
Keepass Android ne permet de modifier que le fichiers conteneurs de Keepass v1, ceux de la v2 sont en lecture seule.

[supprimé]

équivalent à post #6 percherie

chiffrer -e encrypter -a algorithme blowfish mode cbc
openssl enc -e -a -bf-cbc -in skp.ods -out skp.ods.bf

déchiffrer
openssl enc -d -a -bf-cbc -in skp.ods -out skp.ods.bf

openssl enc -h # pour la liste des algo.... -aes-256-cbc

percherie

Merci je viens d'éditer mon message pour pointer vers ta solution (pour les suivants qui passerai lire ce sujet)

Donc l'algo serait blowfish ? Je te cache pas que je n'ai pas eu le temps de consulter de documentation concernant ta commande

[supprimé]

l'algo est de l'aes-256-cbc sur le site en question.

Sinon, tu peux utiliser des méthodes à bi-facteurs, sur ton serveur http, pour verrouiller les ressources sensibles.
par exemple;
le plus simple est avec du x509 client . La négociation au serveur échoue si le client ne présente pas un certificat ou que les conditions ne soient pas remplies ( variables SSL et autres variables d'environnement )
Il n'a pas d'incompatibilté avec les x509 serveurs commerciaux/registrars et les x509 clients faits avec Tinyca

Alias /target "/www/https/target"
        <Directory "/www/https/target">
                SSLRequireSSL
                SSLVerifyClient require
                SSLVerifyDepth 5
                SSLRequire %{SSL_....} eq "valeur" and %{SSL_....} >= 0 and %{SSL_....} eq \
"/C=FR/ST=.../L=.../O=..../OU=.... /CN=...." \
condition %{SSL_....} valeur
        </Directory>

Avec la messagerie, cela fonctionne aussi. les mails sont chiffrés avec authentification x509 cliente.

Sinon, avec un cyber-café complètement keyloggé, vnc et spyware en tout genre, est d'opter pour une authentification de type OTP&OPIE ( mot de passe volatile, challenge, transaction unique, fenêtre de connexion limitée dans le temps, etc ...). L'inconvénient est que c'est très compliqué à mettre en place ( le retour du challege se fait un autre back-end; serveur sms, sasl, ...)
Le net plus plus ultra est de recevoir le précieux sésame (le retour du challenge) sur ton téléphone mobile.

Babdu89

Bonjour...

As tu déjà regardé ici ?...

http://framakey.org/Pack/Framakey-Ubuntu

J'en ai une, elle me suit partout ... Mais je n'ai pas les mêmes besoins de sécurité que toi, certainement...
Mais c'est très pratique ...

L'idéale serait de pouvoir loger ce système sur un smartphone, pour ne plus avoir besoin de station hôte...

@+. Babdu89 .

percherie

@Titouan : intéressant et c'est un défi technique à relever même si l'utilisation ne mérite pas d'y mettre autant de temps pour la culture technique c'est intéressant à creuser... le must est qu'un service propose ce genre de solution. Pour quelques euros par mois (sans engagement) ça peut être plus intéressant que de risquer de tout perdre. <= Idée de création de start-up ???

@Babdu89 : c'est ce que j'utilisait lors du premier voyage et au bout d'un moment j'ai du abandonner à cause d'un vers qui à dupliqué tout le contenu. Au premier nettoyage antivirus tous les raccourcis du vers qui permettait de faire fonctionner la clé on été détruit et la clé inutilisable. J'ai eu beaucoup de poste qui n'arrivait pas à suivre à cause de tous les antivirus que les responsable de cyber mettait (parfois 3 antivirus en même temps). Le soucis est qu'ils travaillent tous sur des images (virtuelle ou pas) de système vérolé (XP customisé et piraté sûrement vérolé dès l'installation) et des définition de virus datant de plus de 6 mois (parfois beaucoup plus). Je te laisse imaginer la pagaille.
J'était très très content d'être sur Ubuntu pour éviter la prolifération des vers… tous mes amis de voyage on beaucoup apprécié que je leur nettoie leur clé AVANT qu'ils la rebranche sur leur poste de retour de cybercafé.
J'ai tester l'utilisation de partition NTFS avec restriction des droits, ça permet de limiter la casse.

[supprimé]

Et pourquoi pas TAILS
Fred