Contenu | Rechercher | Menus

Annonce

La nouvelle clé USB Ubuntu-fr est en prévente
Rendez-vous sur la boutique En Vente Libre

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 08/02/2019, à 12:38

gotcha5832

Gestionnaire de mot de passe

Bonjour à tous,

Je souhaiterais utiliser un gestionnaire de mot de passe.
J'ai donc chercher  des infos notamment ici https://doc.ubuntu-fr.org/securite#bien … s_de_passe

Mais je reste perdu et indéci sur le logicielle à utiliser.
Ayant entendu du bien, Je pense m'orienter sur Keepass mais je ne sais pas quel version utiliser
KeePassX, KeePassXC & KeePass2

https://doc.ubuntu-fr.org/keepassx


Sachant que idéalement je souhaiterais :
- qu'il tourne sous Xubuntu et android
- permette la saisi automatique dans FF et Chrome.
Quel logiciel, version, me conseilleriez vous?

Par ailleurs, seriez vous comment exporté/importer dans ce logiciel le MDP actuellement enregistrer dans FF et Chrome.

Merci

Dernière modification par gotcha5832 (Le 08/02/2019, à 12:38)

Hors ligne

#2 Le 08/02/2019, à 13:15

ox223252

Re : Gestionnaire de mot de passe

Bonjour, perso je suis sur keepass2, sous linux/Windows et Android, avec la même base de donnée (fichier.kbdx), donc pour la compatibilitée c'est bon.
Par contre que veux tu dire par :

permette la saisi automatique dans FF et Chrome.

?

Hors ligne

#3 Le 08/02/2019, à 14:38

nam1962

Re : Gestionnaire de mot de passe

Grosso :

- tout gestionnaire de mot de passe "en ligne" est un triple risque :
1. si panne réseau ou site en panne, tu n'as plus de mot de passe
2. tu confies tes mots de passe à quelqu'un qui te dit "fais moi confiance" tongue (encore plus amusant pour les services payants : autant payer un marabout)
3. c'est par définition une cible constante et publique

- tout gestionnaire de mot de passe stockant en local est un double risque :
1. si on perd le fichier on perd tout.
2. la synchro est une excellente cible

La bonne soluce est : pas de stockage du tout !
Et ça existe ! https://masterpassword.app/
Pour FF : https://addons.mozilla.org/fr/firefox/a … d-firefox/

Avantage massif : on ne dépend de rien, ni personne et on peut même l'utiliser d'un device (ordi, téléphone, etc...) qui n'est pas le notre on ne peut rien perdre (à moins d'avoir oublié le seul mot de passe clef)
Autre avantage : gère facilement les différentes contraintes des sites et les renouvellements.

Ça fait de l'autocomplétion (mais certains sites ne le permettent pas, pas trop grave : on joue avec copier coller.)

La seule chose que je ne pige pas est pourquoi ça reste peu connu (et pourquoi les gensses continuent à utiliser les cochonneries à stockage)

Pour l'import des mots de passe, oublie plutôt : çà revient à faire un transports de fonds sans véhicule blindé, tout nu avec les billets en main.
J'ai déployé masterpassword très simplement : progressivement au fur et à mesure de mes visites sur mes sites.

Dernière modification par nam1962 (Le 08/02/2019, à 14:45)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#4 Le 09/02/2019, à 08:59

gotcha5832

Re : Gestionnaire de mot de passe

@ox223252
Je te remercie
Je peux te demander pourquoi keepass2 plutot que keepassxc?
Et donc tu pas un base que tu copie/transfert sur ton tel?

permette la saisi automatique dans FF et Chrome.

J'entend par là ne pas être obliger de passer par un copié collé pour saisir le mot de passe.


@nam1962
Merci pour cette proposition faudrait que je me penche sur ce système

nam1962 a écrit :

Pour l'import des mots de passe, oublie plutôt : çà revient à faire un transports de fonds sans véhicule blindé, tout nu avec les billets en main.

Ok, mais si tu as à convoyer du papier une simple forgonnette suffit,

Dernière modification par gotcha5832 (Le 09/02/2019, à 09:05)

Hors ligne

#5 Le 09/02/2019, à 09:47

nam1962

Re : Gestionnaire de mot de passe

En fait, c'est un faisceau de cas qui m'a convaincu quand je suis tombé par un total hasard sur MasterPassword :

- avoir vu des gens coupés de leurs applis car leur "coffre-fort" cloud (payant en plus) était tombé
- avoir déployé sur tous mes ordis et mon phone sans aucun transfert de rien (juste installer MasterPassword et ne m'en servir que quand nécessaire)
- avoir fait la régénération de mes mots de passe depuis plusieurs ordis, au fil de l'eau, sans jamais me préoccuper d'une quelconque syncro
- avoir eu à retrouver un mot de passe alors que j'étais sur un ordi qui ne m'appartenait pas. Dans le cas d'espèce, je n'ai même rien eu à installer, j'ai utilisé l'app MasterPassword de mon iPhone pour avoir le mot de passe.
- avoir un cousin qui hait les mots de passe et les différents standards (ça le met dans des colères noires) qui ne râle plus jamais
- savoir que même moi ne connais pas le mot de passe d'un site spécifique et qu'il n'est stocké nulle part

Dernière modification par nam1962 (Le 09/02/2019, à 09:59)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#6 Le 09/02/2019, à 10:11

gotcha5832

Re : Gestionnaire de mot de passe

Je viens de regarder https://masterpassword.app/what/ pour comprendre comment ca fonctionnais Mais je me pose plusieurs question.

Du coup tu saisi à chaque connexion
- nom et Masterpassword
- email et masterpassword

Et comment ca se passe quand tu as plusieurs identité sur un site?

Hors ligne

#7 Le 09/02/2019, à 10:18

bruno

Re : Gestionnaire de mot de passe

Le logiciel proposé par nam1962 propose un concept intéressant mais j'y vois plusieurs points d'achoppement (problèmes avec les identités multiples, problèmes avec les changements de mot de passe, etc.)
En outre, cela signifie que tu fais confiance au développeur de ce logiciel qui n'a pas été audité contrairement à Keepass.

Hors ligne

#8 Le 09/02/2019, à 15:23

nam1962

Re : Gestionnaire de mot de passe

Quel problème d'identités multiple ?
Le principe de base est de prendre ton identité (email, pseudo) et la racine du site (ou application). Donc sur le même site ou app, tu peux gérer une infinité d'identités.
Si sur truc.com tu as le compte : moi@monmail.net et moi2@monmail.net, les mots de passe générés n'auront aucun rapport.
Le seul "ennui" est le site mal foutu auquel tu peux accéder par moi@monmail.net ou par monpseudo, because dans ce cas, MasterPassword donne deux mots de passe qui n'ont rien à voir. Mais est-ce un ennui ?

Pour le changement de mot de passe, il y a la clef subsidiaire (numerotation)


....quand au pas étudié, contrairement à Keepass (qui est total vulnérable et fragile puisqu'il stocke l'info et qui pose un souci : il faut accéder à l'info) ben.... : https://gitlab.com/MasterPassword/MasterPassword

En fait je ne pige pas l'inquiétude : pourquoi doutes-tu, alors que tu crois à Keepass ?

Dernière modification par nam1962 (Le 09/02/2019, à 15:34)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#9 Le 09/02/2019, à 17:21

bruno

Re : Gestionnaire de mot de passe

Je ne crois rien du tout.
Le choix entre un obscur logiciel qui n'est disponible qu'en Java et une solution éprouvée et qui a passé avec succès des audits de sécurité, est vite fait. Ceci dit je n'utilise ni l'un ni l'autre wink

Avec le même niveau de mauvaise foi que toi je pourrai dire que ton logiciel est fragile puisqu'il suffit de trouver le mot de passe maître pour avoir accès à tous les mots de passe de l'utilisateur sans même avoir à récupérer et déchiffrer une base de données.

Hors ligne

#10 Le 09/02/2019, à 18:51

erresse

Re : Gestionnaire de mot de passe

@bruno: cépafo !!!
Mais ce qui me chiffonne avec ces gestionnaires ou générateurs de mots de passe, c'est que ni les uns ni les autres ne peuvent résoudre le problème du mot de passe à saisir à la souris, un caractère après l'autre...
C'est le cas pour toutes les banques en ligne et ça a tendance à se répandre, ne serait-ce que pour bloquer les connexions indésirables par les robots.
Alors, même si je peux recalculer mon mot de passe ou que je peux le retrouver dans une base de données chiffrée, je ne peux pas le copier/coller, parce-qu'il n'y a pas de champs prévu pour la saisie de cette information, il faut la cliquer à chaque fois ! Et les chaînes générées, si elles sont bien sécurisées, sont aussi parfaitement indigestes à retenir ou à entrer "à la mano"...


Plus de 50 ans d'informatique, ça en fait des lignes de commandes en console, mais on n'avait pas le choix...
Excellente raison pour, aujourd'hui qu'on le peut, utiliser au maximum les INTERFACES GRAPHIQUES !
Important : Une fois résolu, pensez à clore votre sujet en ajoutant [Résolu] devant le titre du 1er message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.

Hors ligne

#11 Le 09/02/2019, à 18:58

bruno

Re : Gestionnaire de mot de passe

@erresse : c'est vrai que les trucs à « clavier virtuel » soit disant super sécurisé, c'est particulièrement pénible. Il y a cependant moyen de les contourner :
- utiliser une version accessible aux handicapés ;
- utiliser des scripts comme ceux de weboob

Hors ligne

#12 Le 09/02/2019, à 19:26

nam1962

Re : Gestionnaire de mot de passe

bruno a écrit :

Je ne crois rien du tout.
Le choix entre un obscur logiciel qui n'est disponible qu'en Java et une solution éprouvée et qui a passé avec succès des audits de sécurité, est vite fait. (...)

Marrant : c'est exactement la phrase que l'on entend dans la bouche des responsables de procurement de grands groupe quand on veut leur présenter un OS ou un logiciel open source (rien qu'Ubuntu ou LibreOffice.)
Alors après, ils engagent des mois de consultants et de mobilisation de collaborateurs pour faire des tests fonctionnels et des audits de sécurité, alors qu'avec l'open source l'étude serait carrément moins coûteuse...

Plus généralement, toutes les solutions astucieuses ou performantes ont commencé de manière confidentielle, non ?

Pour la passphrase, le problème est exactement le même pour n'importe quel vault : celui qui la connaît a accès à tout.

Mais en fait le problème résolu est dans l'autre sens : un externe qui n'est pas au dessus de ton épaule peut-il voler ?
Dans le cas du vault, il peut nuire à plusieurs niveaux (dont te couper l'accès ou le détruire.)
Avec l'outil dont je parle, ton ordi peut bruler et ton cloud être fermé du jour au lendemain, tu as toujours tes mots de passe.

Sinon, il a la tentative de rétro-ingénérie pour trouver comment a été construit le mot de passe qui aurait été volé sur un site ou tenter de le réutiliser sur d'autres sites  et là MasterPassword est au moins aussi solide qu'un vault, sinon plus (tu peux stocker 123456 ou password ou le même mot de passe pour 10 sites différents dans un vault...)

Pour les keyboards virtuels il y a la version handicap ou la génération via MasterPassword en l'affichant dans un fichier texte, c'est moins bien, mais possible.

Dernière modification par nam1962 (Le 09/02/2019, à 19:27)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#13 Le 10/09/2019, à 11:45

mareuil

Re : Gestionnaire de mot de passe

Bonjour à tous.
Je me pose des questions de même nature et j'ai les mêmes réticences.
Je me demande si le plus fiable ne serait pas de stocker les fichiers du gestionnaire sur un stockage amovible ( clé USB, disque dur amovible ou pseudo disque amovible) QU'ON EMPORTE AVEC SOI hors du PC bien sûr ???
Par contre, je ne sais comment faire. Vos observations et vos idées sont les bien venues.
Cordialement.

Hors ligne

#14 Le 10/09/2019, à 21:02

nam1962

Re : Gestionnaire de mot de passe

Ton post, qui suit les miens me montre qu'il faut comprendre mieux

Pourquoi une soluce qui ne stocke rien n'est elle pas sexy assez ?


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing - Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne