Hello,
J'ouvre ce fil pour savoir comment les autres utilisateurs de ce forum gèrent leurs mots de passe. Après des années d'essai de plein de méthodes différentes, je suis arrivé à la conclusion que les mots de passe, c'est pourri.
Le but est d'avoir un mot de passe à l'entropie correcte pour chaque site, sans jamais le réutiliser. On exclut donc le mot du dictionnaire, le nom du chien, la date de naissance, le code postal, ou une combinaison de tous ces trucs. On oublie également le mot de passe aléatoire auquel on ajoute les initiales du service, qui n'est pas beaucoup plus sécurisé.
La seule option sécurisée semble être le "Xy>\J|$8;m1?", généré totalement aléatoirement. Le problème est qu'on doit aussi le retenir, sinon, le compte qu'il protège ne nous sert pas à grand-chose. Ici, la
méthode Xkcd aide, mais pas au-delà d'une poignée de mots de passe. Ça dépend des personnes, bien sûr.
Alors, il reste les gestionnaires de mots de passe. Ceux du navigateur ont plusieurs défauts : dépendance au navigateur, vulnérabilité aux malwares, incapacité à détecter les champs de mots de passe dans certains sites, non support des mots de passe hors navigateur (du genre SSH, ou volumes chiffrés, qui ont autant besoin de protection que les comptes en ligne).
À ce point, je suis obligé de me rabattre sur les gestionnaires de mots de passe externes. Sous Windows,
KeePass n'est pas parfait mais fonctionne assez bien. Sous Linux, entre la non gestion des raccourcis, la lenteur d'AES dans Mono par rapport à la version optimisée Windows (qui oblige à réduire la sécurité de la base de mots de passe), l'interface moche, les bugs (du genre interface qui se bloque ou programme qui plante, mais reste ouvert, mais refuse de se fermer) et l'intégration pourrie dans les DE (impossible de l'utiliser correctement sous Gnome), KeePass n'est plus une option.
J'ai tenté
LastPass, mais c'est aussi bourré de bugs, pas pratique à utiliser, dépend de la connexion, manque d'un client correct pour Linux, très lourd pour les mots de passe externes, et surtout, je refuse de placer tous mes mots de passe dans un service en ligne. Impossible de savoir si leur sécurité est bien implémentée, et ça serait pas la première fois qu'une grosse entreprise se fait voler toute sa base de données à cause de pratiques pourries, mais acceptées par les responsables parce que les clients ne peuvent pas les voir.
Alors, finalement, j'ai décidé de revenir à un petit programme tout simple que j'avais trouvé il y a environ un an :
pass. C'est une commande Linux qui permet de générer, classer et copier ses mots de passe de manière sécurisée, chiffrés avec sa clé GPG, dans ~/.password-store. C'est sécurisé, rapide, aussi simple que possible (donc aucun bug) et standardisé (facile à scripter, le format de la base de données est une simple arborescence de dossiers, avec un fichier GPG par mot de passe). La clé GPG est protégée par un mot de passe fort, le seul que j'ai encore à retenir.
Il reste des inconvénients à ce programme : inutilisable sous Windows (pour l'instant), et le seul portage Android que j'ai vu est encore une fois bourré de bugs ; ce dernier point est assez gênant parce que j'ai plein d'applications Android qui utilisent des comptes en ligne.
La situation est donc la suivante : on doit utiliser des mots de passe sans cesse plus sécurisés, aléatoires, donc impossibles à retenir en nombre, donc le seul moyen aujourd'hui pour être vraiment sécurisé est de les enregistrer quelque part. Le papier est une option, mais très lente, et vulnérable. Les gestionnaires de mots de passe ont tous de gros inconvénients. Tout semble donc fait pour que personne n'utilise de vrais mots de passe et que les gens se rabattent plutôt sur les mauvaises pratiques qu'on se tue à dénoncer depuis des années. Si quelqu'un a une meilleure solution que la mienne, je suis preneur.
Et j'attends avec impatience le moment où on commencera à implémenter partout des authentifications par clé, pour enfin se débarrasser de ce système dépassé depuis dix ans.
