Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Gestionnaire de mot de passe

gotcha5832

Bonjour à tous,

Je souhaiterais utiliser un gestionnaire de mot de passe.
J'ai donc chercher des infos notamment ici https://doc.ubuntu-fr.org/securite#bien_gerer_ses_mots_de_passe

Mais je reste perdu et indéci sur le logicielle à utiliser.
Ayant entendu du bien, Je pense m'orienter sur Keepass mais je ne sais pas quel version utiliser
KeePassX, KeePassXC & KeePass2

https://doc.ubuntu-fr.org/keepassx

Sachant que idéalement je souhaiterais :
- qu'il tourne sous Xubuntu et android
- permette la saisi automatique dans FF et Chrome.
Quel logiciel, version, me conseilleriez vous?

Par ailleurs, seriez vous comment exporté/importer dans ce logiciel le MDP actuellement enregistrer dans FF et Chrome.

Merci

ox223252

Bonjour, perso je suis sur keepass2, sous linux/Windows et Android, avec la même base de donnée (fichier.kbdx), donc pour la compatibilitée c'est bon.
Par contre que veux tu dire par :

permette la saisi automatique dans FF et Chrome.

nam1962

Grosso :

- tout gestionnaire de mot de passe "en ligne" est un triple risque :
1. si panne réseau ou site en panne, tu n'as plus de mot de passe
2. tu confies tes mots de passe à quelqu'un qui te dit "fais moi confiance" 😛 (encore plus amusant pour les services payants : autant payer un marabout)
3. c'est par définition une cible constante et publique

- tout gestionnaire de mot de passe stockant en local est un double risque :
1. si on perd le fichier on perd tout.
2. la synchro est une excellente cible

La bonne soluce est : pas de stockage du tout !
Et ça existe ! https://masterpassword.app/
Pour FF : https://addons.mozilla.org/fr/firefox/addon/masterpassword-firefox/

Avantage massif : on ne dépend de rien, ni personne et on peut même l'utiliser d'un device (ordi, téléphone, etc...) qui n'est pas le notre on ne peut rien perdre (à moins d'avoir oublié le seul mot de passe clef)
Autre avantage : gère facilement les différentes contraintes des sites et les renouvellements.

Ça fait de l'autocomplétion (mais certains sites ne le permettent pas, pas trop grave : on joue avec copier coller.)

La seule chose que je ne pige pas est pourquoi ça reste peu connu (et pourquoi les gensses continuent à utiliser les cochonneries à stockage)

Pour l'import des mots de passe, oublie plutôt : çà revient à faire un transports de fonds sans véhicule blindé, tout nu avec les billets en main.
J'ai déployé masterpassword très simplement : progressivement au fur et à mesure de mes visites sur mes sites.

gotcha5832

@ox223252
Je te remercie
Je peux te demander pourquoi keepass2 plutot que keepassxc?
Et donc tu pas un base que tu copie/transfert sur ton tel?

permette la saisi automatique dans FF et Chrome.

J'entend par là ne pas être obliger de passer par un copié collé pour saisir le mot de passe.

@nam1962
Merci pour cette proposition faudrait que je me penche sur ce système

nam1962 a écritPour l'import des mots de passe, oublie plutôt : çà revient à faire un transports de fonds sans véhicule blindé, tout nu avec les billets en main.

Ok, mais si tu as à convoyer du papier une simple forgonnette suffit,

nam1962

En fait, c'est un faisceau de cas qui m'a convaincu quand je suis tombé par un total hasard sur MasterPassword :

- avoir vu des gens coupés de leurs applis car leur "coffre-fort" cloud (payant en plus) était tombé
- avoir déployé sur tous mes ordis et mon phone sans aucun transfert de rien (juste installer MasterPassword et ne m'en servir que quand nécessaire)
- avoir fait la régénération de mes mots de passe depuis plusieurs ordis, au fil de l'eau, sans jamais me préoccuper d'une quelconque syncro
- avoir eu à retrouver un mot de passe alors que j'étais sur un ordi qui ne m'appartenait pas. Dans le cas d'espèce, je n'ai même rien eu à installer, j'ai utilisé l'app MasterPassword de mon iPhone pour avoir le mot de passe.
- avoir un cousin qui hait les mots de passe et les différents standards (ça le met dans des colères noires) qui ne râle plus jamais
- savoir que même moi ne connais pas le mot de passe d'un site spécifique et qu'il n'est stocké nulle part

gotcha5832

Je viens de regarder https://masterpassword.app/what/ pour comprendre comment ca fonctionnais Mais je me pose plusieurs question.

Du coup tu saisi à chaque connexion
- nom et Masterpassword
- email et masterpassword

Et comment ca se passe quand tu as plusieurs identité sur un site?

bruno

Le logiciel proposé par nam1962 propose un concept intéressant mais j'y vois plusieurs points d'achoppement (problèmes avec les identités multiples, problèmes avec les changements de mot de passe, etc.)
En outre, cela signifie que tu fais confiance au développeur de ce logiciel qui n'a pas été audité contrairement à Keepass.

nam1962

Quel problème d'identités multiple ?
Le principe de base est de prendre ton identité (email, pseudo) et la racine du site (ou application). Donc sur le même site ou app, tu peux gérer une infinité d'identités.
Si sur truc.com tu as le compte : moi@monmail.net et moi2@monmail.net, les mots de passe générés n'auront aucun rapport.
Le seul "ennui" est le site mal foutu auquel tu peux accéder par moi@monmail.net ou par monpseudo, because dans ce cas, MasterPassword donne deux mots de passe qui n'ont rien à voir. Mais est-ce un ennui ?

Pour le changement de mot de passe, il y a la clef subsidiaire (numerotation)

....quand au pas étudié, contrairement à Keepass (qui est total vulnérable et fragile puisqu'il stocke l'info et qui pose un souci : il faut accéder à l'info) ben.... : https://gitlab.com/MasterPassword/MasterPassword

En fait je ne pige pas l'inquiétude : pourquoi doutes-tu, alors que tu crois à Keepass ?

bruno

Je ne crois rien du tout.
Le choix entre un obscur logiciel qui n'est disponible qu'en Java et une solution éprouvée et qui a passé avec succès des audits de sécurité, est vite fait. Ceci dit je n'utilise ni l'un ni l'autre 😉

Avec le même niveau de mauvaise foi que toi je pourrai dire que ton logiciel est fragile puisqu'il suffit de trouver le mot de passe maître pour avoir accès à tous les mots de passe de l'utilisateur sans même avoir à récupérer et déchiffrer une base de données.

erresse

@bruno: cépafo !!!
Mais ce qui me chiffonne avec ces gestionnaires ou générateurs de mots de passe, c'est que ni les uns ni les autres ne peuvent résoudre le problème du mot de passe à saisir à la souris, un caractère après l'autre...
C'est le cas pour toutes les banques en ligne et ça a tendance à se répandre, ne serait-ce que pour bloquer les connexions indésirables par les robots.
Alors, même si je peux recalculer mon mot de passe ou que je peux le retrouver dans une base de données chiffrée, je ne peux pas le copier/coller, parce-qu'il n'y a pas de champs prévu pour la saisie de cette information, il faut la cliquer à chaque fois ! Et les chaînes générées, si elles sont bien sécurisées, sont aussi parfaitement indigestes à retenir ou à entrer "à la mano"...

bruno

@erresse : c'est vrai que les trucs à « clavier virtuel » soit disant super sécurisé, c'est particulièrement pénible. Il y a cependant moyen de les contourner :
- utiliser une version accessible aux handicapés ;
- utiliser des scripts comme ceux de weboob

nam1962

bruno a écritJe ne crois rien du tout.
Le choix entre un obscur logiciel qui n'est disponible qu'en Java et une solution éprouvée et qui a passé avec succès des audits de sécurité, est vite fait. (...)

Marrant : c'est exactement la phrase que l'on entend dans la bouche des responsables de procurement de grands groupe quand on veut leur présenter un OS ou un logiciel open source (rien qu'Ubuntu ou LibreOffice.)
Alors après, ils engagent des mois de consultants et de mobilisation de collaborateurs pour faire des tests fonctionnels et des audits de sécurité, alors qu'avec l'open source l'étude serait carrément moins coûteuse...

Plus généralement, toutes les solutions astucieuses ou performantes ont commencé de manière confidentielle, non ?

Pour la passphrase, le problème est exactement le même pour n'importe quel vault : celui qui la connaît a accès à tout.

Mais en fait le problème résolu est dans l'autre sens : un externe qui n'est pas au dessus de ton épaule peut-il voler ?
Dans le cas du vault, il peut nuire à plusieurs niveaux (dont te couper l'accès ou le détruire.)
Avec l'outil dont je parle, ton ordi peut bruler et ton cloud être fermé du jour au lendemain, tu as toujours tes mots de passe.

Sinon, il a la tentative de rétro-ingénérie pour trouver comment a été construit le mot de passe qui aurait été volé sur un site ou tenter de le réutiliser sur d'autres sites et là MasterPassword est au moins aussi solide qu'un vault, sinon plus (tu peux stocker 123456 ou password ou le même mot de passe pour 10 sites différents dans un vault...)

Pour les keyboards virtuels il y a la version handicap ou la génération via MasterPassword en l'affichant dans un fichier texte, c'est moins bien, mais possible.

mareuil

Bonjour à tous.
Je me pose des questions de même nature et j'ai les mêmes réticences.
Je me demande si le plus fiable ne serait pas de stocker les fichiers du gestionnaire sur un stockage amovible ( clé USB, disque dur amovible ou pseudo disque amovible) QU'ON EMPORTE AVEC SOI hors du PC bien sûr ???
Par contre, je ne sais comment faire. Vos observations et vos idées sont les bien venues.
Cordialement.

nam1962

Ton post, qui suit les miens me montre qu'il faut comprendre mieux

Pourquoi une soluce qui ne stocke rien n'est elle pas sexy assez ?

Teena02

Je suis intéressée à utiliser la solution proposée par nam1962: Masterpassword. Mais après avoir téléchargé le fichier sur le site https://masterpassword.app/, et tenté de l'ouvrir avec Java, j'obtiens le message suivant :
The file '/.../masterpassword-gui.jar' is not marked as executable. If this was downloaded or copied from an untrusted source, it may be dangerous to run. For more details, read about the executable bit.
Y a-t-il un autre site où je peux trouver l'application ? Si non, comment puis-je corriger cette erreur ?
Merci

metalux

Bonjour Teena02,

Comme te dis le message d'erreur, ton fichier n'est pas exécutable. En ligne de commande:

chmod u+x chemin_vers_ton_fichier_masterpassword

Le plus simple est de glisser le fichier dans le terminal pour que le chemin vers le fichier téléchargé se remplisse tout seul.
Sinon en graphique, ça dépend de l'environnement mais c'est du genre un clic droit/propriété/permissions.
Bah faut que je teste un de ces 4 mais bon, je reste sur keepassXC/KeeWeb pour l'instant.

nam1962

Comme en général on s'en sert sur un navigateur, l'extension est le plus pratique :
https://addons.mozilla.org/fr/firefox/addon/masterpassword-firefox/
https://chrome.google.com/webstore/detail/masterpassword-for-chrome/hifbblnjfcimjnlhibannjoclibgedmd
Sur téléphone :
https://apps.apple.com/app/id510296984
https://masterpassword.app/masterpassword-android.apk
Etc...

Teena02

Merci, cela fonctionne très bien.