Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Je comprends pas : Gestionnaire de mots de passe et différents OS

Flying-Fish

Salut à tous,

Ça fait un moment que je me dis que je devrais utiliser un gestionnaire de mots de passe afin d'améliorer ma sécurité sur internet mais y a encore 2/3 trucs qui m'échappent. Par exemple, comment un gestionnaire de mots de passe sous Linux peut-il également fonctionner avec d'autres OS (par exemple ma tablette sous IOS et mon smartphone sous Android) ?

Merci !

Tamarou

Bonjour,

En gros, il y a deux composants :
1/ le programme du gestionnaire de mots de passe. Chaque version ne fonctionne qu'avec un seul système d'exploitation.
2/ la base de données. Elle est construite selon un format spécifique au gestionnaire de mots de passe. Elle peut être lue et écrite par tous ceux qui sont faits pour ce format de base de données.

(par exemple ma tablette sous IOS et mon smartphone sous Android)

Ils auront chacun une application distincte et adaptée à Android ou Ios, mais ils pourront lire la même base.

http://doc.ubuntu-fr.org/keepassx

Flying-Fish

Salut et merci !

Donc si je comprends bien, mes mots de passes sont stockés dans une base de données (cryptée j'imagine) et ce qui va changer d'un OS à l'autre ce sera le logiciel ou l'appli qui ira piocher dans la base de donnée.

Dans ce cas, est-ce que tous les logiciels de gestion de mots de passe sous ubuntu permettent de créer et d'accéder à des bases de données utilisables dans d'autres OS ?

Tamarou

Flying-Fish a écrit.. une base de données (cryptée j'imagine)...

Oui, avec un mot (ou phrase) de passe ou un fichier-clé.

... est-ce que tous les logiciels de gestion de mots de passe sous ubuntu permettent de créer et d'accéder à des bases de données utilisables dans d'autres OS ?

Il faut voir les compatibilités, en général ça marche.
Avec Keepassxc sur GNU/Linux et Keepass2Android sur Android, je lis la même base.

J'ajoute que le module complémentaire de Firefox "KeePassXc-Browser permet la saisie automatique des nom d'utilisateur et mots de passe stockés.

Flying-Fish

Super, merci beaucoup !

Et dans ce cas, avec KeepassXC, est-ce qu'il faut renseigner les sites un par un ou est-ce qu'il peut aller chercher dans Firefox les mots de passe déjà enregistrés et les sites qui y sont liés ?

Tamarou

A ce stade, autant tester toi-même 🙂

A la première connexion sur un site, tu remplis les identifiants avec ceux en mémoire de Firefox et ensuite tu les rentres dans Keepassxc en cliquant sur "new" quand le plugin te demande si tu veux enregistrer.

Par la suite, le gestionnaire de mots de passe de Firefox devient inutile..

nam1962

Master Password résout plusieurs problèmes :
- il est compatible multi OS et multi device (je l'ai sur ma Xubuntu, ma Manjaro et mon iPhone, par exemple)
- il ne stocke rien, donc pas de problème de base de donnée vulnérable

---> https://forum.ubuntu-fr.org/viewtopic.php?pid=22129567#p22129567

Flying-Fish

A ce stade, autant tester toi-même

Tu as raison c'est encore ce qu'il me reste de mieux à faire.

Master Password résout plusieurs problèmes :
- il est compatible multi OS et multi device (je l'ai sur ma Xubuntu, ma Manjaro et mon iPhone, par exemple)
- il ne stocke rien, donc pas de problème de base de donnée vulnérable

J'admets pour m'être penché vite fait dessus que ça a l'air plutôt séduisant.

Le seul truc qui m'échappe c'est comment le logiciel fait-il pour que quelqu'un qui a notre username et le nom du site, ne puisse pas retrouver le mot de passe correspondant.

Si je pige bien, Master Password utilise ces 2 infos pour générer le mot de passe donc si quelqu'un connaît mon username sur un site donné, rien ne doit pouvoir l'empêcher en utilisant Master Password de retomber sur mon mot de passe. Ou alors j'ai raté un truc (ce qui est sûrement le cas !) ?

PS : Oui, j'avais bien raté un truc, c'est aussi lié au username et au mot de passe qu'on utilise pour ouvrir Master Password.
1) Username Master Password
2) Mot de passe Master Password
3) Username Site
et tout ça donne le mot de passe du site.

nam1962

Il y a plusieurs niveaux.
- de l'extérieur qui peut savoir que tu utilises masterpassword ?
- de l'intérieur (accès physique à ton ord)i, encore faut-il connaitre login et mot de passe
- et tu peux parfaitement renseigner un login différent du login du site (genre "toto" alors que le site te demande "tonnom@site.truc")

Flying-Fish

Merci pour tout !

Je pense que je vais donner sa chance à Master Password. Avant de me lancer, je suis déjà en train de faire le tri dans tous les mots de passe inutiles vers des sites où je ne vais de toute façon plus et ensuite, j'installerai pour l'essayer vers des sites que j'utilise quotidiennement.

nam1962

Perso, j'ai fait dans l'autre sens : j'ai changé au fur et à mesure de mes visites sur les sites (j'en ai donc changé quelques uns au bout.. d'un an ! )

Flying-Fish

Hum... j'ai pas mal de temps à perdre aujourd'hui 😛, je préfère en profiter et m'y atteler de suite...

Tamarou

Parfait, on attend le résultat 😛

nam1962

Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/masterpassword-firefox/

Flying-Fish

Parfait, on attend le résultat

Ca risque d'être principalement de la sueur et des larmes ! :lol:

melixgaro

Salut,

à Flying-Fish : tu ferais mieux de tester la solution proposée par nam qques temps avant de tout changer. En particulier, cette solution donne l'impression de ne plus avoir à retenir quoi que ce soit (à part un mot de passe maître, en gros) alors qu'en fait, au lieu de retenir un couple login + mot de passe par site, il faut retenir un couple “login fourni à masterpassword” + "nom du service fourni à masterpassword” (voire aussi le niveau de complexité du mdp et la version de l'algorithme). Je considère ici une situation (extrême) de nomadisme où tu te retrouves sans tes appareils habituels à devoir générer le mot de passe depuis un masterpassword “vierge” ou la situation où tu as oublié/perdu la sauvegarde de la base de donnée de masterpassword. Ça donne l'illusion de pouvoir reconstruire facilement tous ses mdp à partir de pas grand chose alors que je ne pense pas que ce soit le cas. En particulier, si on veut jouer au plus malin en trompant l'attaquant et en faisant de choix non-évidents (exemple choisir ubuntu-fr.org au lieu de forum.ubuntu-fr.org ou choisir un coup user@service pour le nom du service). Comment se souvenir de ce choix bizarre dans un an, deux ans, etc si le besoin se présente ?

nam1962

Euhhh...
Pourquoi utiliser autre chose que la racine du site ?

Tamarou

@Flying-Fish,
Tu as pu essayer un gestionnaire de mots de passe ?