Gestionnaires de mots de passe

Posté par olivier (Mastodon) le 12 avril 2018 à 12:03. Édité par Davy Defaud, cacatoès, Benoît Sibaud, Olivier HUMBERT, Bruno Michel, ZeroHeure, Nils Ratusznik, Anonyme, Nicolas Casanova, Envel Le Hir, ComputingFroggy, Cliclac, palm123 et Bilbo. Modéré par ZeroHeure. Licence CC By‑SA.

Étiquettes :

avr.

2018

La tâche première d’un gestionnaire de mots de passe est de garder en sécurité des informations sensibles (mots de passe, identifiants, adresses URL…) et de pouvoir les restituer de façon commode.

Certains gestionnaires permettent de générer des mots de passe à la demande : l’utilisateur n’a alors même plus besoin de voir ou de connaître le mot de passe, hormis le mot de passe maître (qui donne accès à tous les autres), et peut multiplier l’opération pour créer autant de mots de passe qu’il le souhaite. Sans avoir la prétention de résoudre toutes les questions relatives à la sécurité et à l’usage de mots de passe, cette pratique pourrait contribuer à augmenter leur sûreté d’un cran en dissuadant les usagers de réutiliser le même mot de passe pour des comptes différents, réduisant ainsi l’impact de leur compromission sur les serveurs (qui est un problème concret, comme peut l’illustrer le site Have I Been Pwned).

Il existe pléthore de gestionnaires, qui se distinguent par plusieurs critères :

logiciel libre ou propriétaire ;
sécurité (audits réalisés, utilisation d’algorithmes de chiffrement sérieux et non dépassés…) ;
synchronisation possible ou non entre plusieurs emplacements ou appareils ;
facilité d’utilisation (intégration avec les navigateurs) ;
disponibilité sur différents systèmes d’exploitation ;
format de stockage (portabilité) ;
type d’utilisation (personnel, groupe).

Nous n’en présentons ici qu'une sélection. Notre choix s’est d’abord porté sur des logiciels libres et supportés par une communauté active ; de même, il est important qu’ils soient disponibles sur un maximum de plates‐formes avec au moins une possibilité de synchronisation (Git, WebDAV, Dropbox…) pour pouvoir fonctionner au sein d’une famille ou d’un groupe. Le choix est forcément arbitraire et dépend aussi de la disponibilité et de la bonne volonté des rédacteurs.

Sommaire

KeePass

Ce gestionnaire de mots de passe utilise une base de données et possède plusieurs interfaces graphiques très agréables et modernes. Il y a de multiples options de configuration et il est à la portée d’un utilisateur lambda sans grande connaissance de l’informatique.
Son format (kdbx) est très largement utilisé sur la plupart des plates‐formes. Tous les mots de passe ainsi que les autres informations (identifiants, URL, notes) se trouvent dans une base de données chiffrée ; ainsi, il n’y a qu’un seul fichier à gérer.
Il est soutenu par une importante et vivante communauté qui écrit de nombreux greffons et est publié sous licence GPL v2+.

Clients graphiques

Il existe de nombreuses applications utilisant le format de KeePass (extension .kdbx), elles ont des interfaces plus ou moins évoluées, certaines permettent la synchronisation, d’autres non, le nombre d’options dans la configuration diffère (j’ai mis en lien celles qui me paraissaient les plus importantes). On peut même s’en servir sous forme d’application Web. Il vous suffit donc d’un navigateur et d’une clef USB contenant votre base de données et vous pouvez utiliser vos mots de passe à l’aide de KeeWeb :

Android : Keepass2android, KeePassDX, KeePassDroid, etc. ;
GNU/Linux : KeePass Password Safe, KeePassX, KeePass XC, KeeWeb ;
Windows : KeePassX, KeePass XC, KeeWeb ;
macOS : KyPass, KeePassX, KeePass XC, KeeWeb ;
iOS : KyPass ;
Web app : KeeWeb.

Sécurité

KeePass va être audité prochainement par le biais d’une entreprise pour améliorer sa sécurité grâce à un financement de la commission européenne. Il est même recommandé par l’État français et l’ANSSI :

fichier maître ;
mot de passe ;
OTP ;
empreinte digitale ;
partage.

Synchronisation

Il est possible de l’utiliser en local ou, si vous utilisez plusieurs appareils, même sur différents systèmes, de synchroniser votre base de données par divers protocoles ou services, que ce soit en auto‐hébergement ou par le biais de services propriétaires :

Dropbox ;
OneDrive ;
Google Drive ;
owncloud et Nextcloud ;
transfert de fichiers SSH/SFTP ;
FTP/FTPS ;
HTTP/HTTPS.

Importation et exportation

On peut exporter et importer plusieurs types de format, cela vous permettra ainsi de rapatrier vos données depuis d’autres gestionnaires de mots de passe pour les convertir en .kdbx, ainsi que d’utiliser vos données dans d’autres gestionnaires.

types de fichier importés : CSV, XML, KDBX et KDB ; ceci permet de récupérer ses mots de passe sur des services tiers (1Password, Lastpass, Enpass…) ;
types de fichier exportés : HTML, CSV, XML, KDBX et KDB ; ainsi, il est possible de changer pour Password-store ou d’autres gestionnaires (propriétaires ou pas).

Fonctionnalités

auto-remplissage : auto‐complétion, intégration au navigateur grâce à cette extension KeePassHttp-Connector pour Chrome et Firefox ;
Firefox : Kee, Passifox, KeePass XC, KeePass Tusk, KeePassHelper Password Manager ;
Chrome : PassIFox, ChromeIPass ;
Safari : passafari.safariextension ;
générateur de mots de passe :
- nombre de caractères, types de caractères (caractères spéciaux, chiffres, majuscules, minuscules …),
- répétition ou non des caractères,
- inclusion de caractères personnalisés,
- suivant un algorithme,
- prévisualisation ;
expiration du mot de passe ;
gestion du presse-papiers ;
durée de disponibilité.

Password-store

Password Store ou pass, est un gestionnaire de mots de passe minimaliste d’abord conçu pour être utilisable en ligne de commande, mais sur lequel peuvent se greffer d’autres interfaces. Il permet de stocker les mots de passe, ou bien des textes arbitrairement formés, dans des fichiers texte chiffrés avec GPG. Il est publié sous licence GPL v2+.

L’outil est plutôt agnostique de son environnement, c’est‐à‐dire que vous devrez vous‐mêmes réaliser l’intégration pour qu’il corresponde à vos usages.

La première étape consiste donc à décider sous quelle forme les mots de passe seront stockés. Un besoin courant étant de stocker les mots de passe de sites Web, il est suggéré de créer un fichier pour chaque site, contenant le mot de passe suivi du nom d’utilisateur dans une seconde ligne, ce qui donnerait, par exemple, pour un fichier nommé web/linuxfr.org :

SuPeR_mOt_De_PaSsE
login: jean-yvonne

Il semble en effet judicieux de structurer un minimum le fichier, comme ici avec YAML. Cette convention simple (1ʳᵉ ligne = mot de passe, 2ᵈᵉ ligne = login) est déjà utilisée par d’autres outils écrits par la communauté, comme les extensions navigateur et certains scripts.

Pass propose de se greffer sur un dépôt Git pour accroître ses fonctionnalités. Chaque opération réalisée sur les mots de passe entraînera un commit. Outre le versionnage, cela peut permettre de synchroniser plus facilement ses mots de passe entre différents postes.

Pass est donc un bon candidat pour s’imbriquer dans d’autres outils, cependant les navigateurs sont rarement pensés pour être modulaires (à quelques exceptions près comme Uzbl), ce qui fait que l’intégration sera difficilement parfaite.

En cadeau pour les administrateurs utilisant Ansible, celui‐ci intègre un greffon de type Lookups qui vous permettra de chiffrer des fichiers de variables via votre instance pass, tenant un rôle similaire à Ansible Vault.

Clients graphiques

Des interfaces sont disponibles pour de nombreux systèmes et sont déjà utilisables tout en étant en développement actif :

Android : Password Store ;
GNU/Linux : QtPass ;
Windows : QtPass, Pass4Win ;
macOS : pass.applescript, QtPass ;
iOS : passforios.

Sécurité

L’intégration d’OpenKeychain dans la version Android permet d’importer sa clef PGP très facilement, il en est de même sur votre ordinateur. Il est aussi possible d’importer ou de générer une clef SSH :

PGP ;
SSH ;
mot de passe.

Synchronisation

Il vous faudra connaître les rudiments de Git si vous voulez l’utiliser sur plusieurs appareils avec une synchronisation, il existe pour cela plusieurs tutoriels. Sinon, l’usage de Git n’est pas obligatoire et vous pouvez utiliser pass sans nécessairement y associer un dépôt.

Importation et exportation

De nombreux scripts ont été écrits par la très active communauté pour faciliter la migration vers Password Store. Que ce soit en provenance d’outils propriétaires ou libres (voir l’outil pass-import), tels que :

1Password ;
KeePass ;
LastPass ;
Firefox ;
KWallet ;
etc.

Fonctionnalités

auto‐remplissage : auto‐complétion, intégration au navigateur ;
Firefox : passff, Browserpass ;
Chrome : Browserpass ;
générateur de mots de passe :
- répétition ou non des caractères,
- inclusion de caractères personnalisés,
- suivant un algorithme,
- prévisualisation ;
expiration du mot de passe ;
gestion presse‐papiers ;
effacement automatique ;
suppression de l’historique ;
durée de disponibilité.

Universal Password Manager (UPM)

UPM est un gestionnaire de mots de passe écrit en Java, multi‐plate‐forme et protégé par un mot de passe maître. Chaque entrée comporte plusieurs champs : compte, identifiant, mot de passe, URL et notes. Il est publié sous licence GPL v2+.

Client graphique

Le seul client compatible est le client UPM disponible sur GNU/Linux, Windows, macOS et Android (pas de version iOS à ce jour).

Sécurité

Les fichiers de mots de passe sont chiffrés par l’algorithme AES.

Synchronisation

Avec UPM il est possible de synchroniser le fichier de mots de passe via un serveur Web (par HTTP) ou bien, plus récemment, par Dropbox.

Importation et exportation

Il est possible d’exporter et d’importer la base de données en fichiers CSV… qui ne sont plus chiffrés (du coup).

Fonctionnalités

Les versions de bureau (seulement testé sous GNU/Linux) et Android ne sont pas complètement identiques, mais on retrouve les mêmes fonctionnalités :

recherche sur le champ compte ;
copier‐coller de l’identifiant et du mot de passe par bouton (ou clic droit) ;
lancement de l’URL ;
génération d’un mot de passe aléatoire ;
multi‐langue.

Limitations

UPM ne gère pas de hiérarchie sur les entrées : on ne peut pas saisir une sous‐entrée d’une entrée existante ;
pour pouvoir effectuer une modification d’une entrée, il faut d’abord effectuer une synchronisation, si le fichier est synchronisé (cela peut être un problème avec la version Android si l’on n’a pas de connexion réseau) ;
pas de listes de fichiers récents de mots de passe, il faut aller chercher le fichier, à chaque fois qu’on change de fichier ;
il y avait des bogues de synchronisation (perte de la dernière version) qui semblent résolus.

Aller plus loin

Page Wikipédia sur les gestionnaires de mots de passe (587 clics)
Journal LinuxFr.org sur KeePassXC-Browser (687 clics)
Journal LinuxFr.org sur le gestionnaire de mots de passe Hutch (308 clics)
Journal LinuxFr.org sur le gestionnaire de mots de passe Bitwarden (365 clics)

# Et Passman pour NextCloud ?

Posté par Vincèn PUJOL (site web personnel) le 12 avril 2018 à 13:00. Évalué à 6.

Dommage de ne pas avoir évoqué aussi Passman qui fonctionne très bien avec NextCloud pour faire la synchro automatique (je l'utilise sur ma propre instance NextCloud pour plus de sécurité) avec client installé dans firefox sur les ordis mais aussi sur téléphone/tablette Android ;)
- [^] # Re: Et Passman pour NextCloud ?
  
  Posté par rycks le 12 avril 2018 à 13:59. Évalué à 2.
  
  MERCI !
  je viens de découvrir passman à l'instant ! merci à toi … je teste pour voir si c'est mieux que ma combinaison actuelle de keepass (mono) et autres plugins dont j'ai toujours un peu de mal à avoir un truc "stable" (sur un firefox j'ai passifox, sur un autre j'ai kee, sur le 3° je ne sais même plus !)
  
  eric.linuxfr@sud-ouest.org
- [^] # Re: Et Passman pour NextCloud ?
  
  Posté par dark_moule le 13 avril 2018 à 08:53. Évalué à 1.
  
  Merci pour cette découverte aussi ! https://passman.cc/
  
  Cette appli semble très complète (classement par tags, génération de mot de passe, indication du niveau de sécurité, plugin chrome et firefox ; ainsi qu'une appli android)
  
  Avec la gestion des URL et des notes, la solution est également assez souple pour gérer un peu plus que seulement des identifiants et mots de passe. Je vais installer immédiatement !
  - [^] # Re: Et Passman pour NextCloud ?
    
    Posté par bepolymathe le 10 mai 2018 à 23:49. Évalué à 0.
    
    Je confirme que c'est un excellent gestionnaire de mot de passe. Il a remplacer keepass lorsque j'ai mis en place une instance Nextcloud…
# KeepassX n'est plus maintenu

Posté par diyod le 12 avril 2018 à 13:13. Évalué à 10.

Attention KeepassX n'est plus maintenu, il a été remplacé par KeepassXC. Il est peu judicieux de mentionner les deux.

À noter aussi que concernant les extentions, celles disponibles dépendent du client utilisés : par exemple Kee n'est que compatible avec keepass.
- [^] # Re: KeepassX n'est plus maintenu
  
  Posté par Jean-Max Reymond (site web personnel) le 14 mai 2018 à 15:11. Évalué à 1.
  
  merci du tuyau. En lisant la FAQ de KeypassXC, je vois que notre vénérable KeyPassX est écrit en C# et tourne avec le runtime Mono sous Linux. Cela me suffit pour essayer KeypassXC et l'adopter.
  
  KeePass is a very proven and feature-rich password manager and there is nothing fundamentally wrong with it. However, it is written in C# and therefore requires Microsoft's .NET platform. On systems other than Windows, you can run KeePass using the Mono runtime libraries, but you won't get the native look and feel which you are used to.
  KeePassXC, on the other hand, is developed in C++ and runs natively on all platforms giving you the best-possible platform integration.
  - [^] # Re: KeepassX n'est plus maintenu
    
    Posté par Frédéric Blanc le 15 mai 2018 à 01:41. Évalué à 1.
    
    je vois que notre vénérable KeyPassX est écrit en C#
    
    keE, pas keY (une sombre histoire de conservation (KEEp) de mot de passe et non de passage de clefs (key)) ; sinon ce n'est pas KeePassX qui est écrit en C#+Mono, mais KeePass, de qui KeePassX était initialement un port vers linux écrit en C++ avant de voler de ses propres ailes et de s'ouvrir à d'autres plateformes.
# Firefox ?

Posté par patrick_g (site web personnel) le 12 avril 2018 à 15:39. Évalué à 10.

Quid de l'utilisation toute simple du gestionnaire de mots de passe intégré à Firefox ?

C'est ce que j'utilise pour mes passwords de site web. Quand je dois m'inscrire sur un site je tape au hasard une longue chaine de caractères. Firefox retient ce mot de passe et le synchronise entre mes 3 Firefox (laptop maison, laptop boulot, smartphone).
Rien à installer, super simple.

Quels sont les inconvénients de cette solution (à part évidemment d'obliger à l'utilisation de Firefox) ?
- [^] # Re: Firefox ?
  
  Posté par Damien Pobel (site web personnel) le 12 avril 2018 à 15:48. Évalué à 7.
  
  https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-bother
  
  apparemment le chiffrage du gestionnaire de mot de passe est plutôt faible :(
  
  https://damien.pobel.fr
  - [^] # Re: Firefox ?
    
    Posté par trancheX le 13 avril 2018 à 11:52. Évalué à 1.
    
    Ha mince, je fais exactement comme patrick_g pour mes mots de passe.
    
    Visiblement Mozilla a l'intention de corriger le tir avec lockbox … même si je vois pas ce qui les empêche de changer l'algo de cryptage du password manager actuel par quelque chose de plus solide, au moins en attendant lockbox.
    - [^] # Re: Firefox ?
      
      Posté par barmic le 13 avril 2018 à 15:39. Évalué à 3.
      
      même si je vois pas ce qui les empêche de changer l'algo de cryptage du password manager actuel par quelque chose de plus solide, au moins en attendant lockbox.
      
      Ou simplement utiliser le format kdbx au lieu de réinventer un truc à coté ?
      - [^] # Re: Firefox ?
        
        Posté par Maclag le 18 avril 2018 à 03:03. Évalué à 4.
        
        En parlant de ça, il existe un moyen d'exporter les données de FF Sync? Genre si on veut changer de gestionnaire de mots de passe à la lecture de ces quelques commentaires?
        
        [^] # Re: Firefox ?
        
        Posté par Frédéric Blanc le 18 avril 2018 à 11:28. Évalué à 2.
        
        firefox_decrypt peut être ? (pas testé, mais semble toujours développé : dernier commit du 19 mars.)
        
        [^] # Re: Firefox ?
        
        Posté par olivier (Mastodon) le 18 avril 2018 à 11:41. Évalué à 2.
        
        Salut, il y a au moins ça:
        
        Keepass
        
        Pass
        
        Pas contre je ne les ait jamais utilisé.
- [^] # Re: Firefox ?
  
  Posté par Letho le 12 avril 2018 à 15:58. Évalué à 3.
  
  C'est ce que je fais également, mais j'en vois les limites, principalement au boulot : certains mots de passe que je veux garder en sécurité ne sont pas liés à mon utilisation du web, par exemple ceux de comptes mails utilisés par nos applications.
  - [^] # Re: Firefox ?
    
    Posté par caracole_linuxfr le 13 avril 2018 à 15:11. Évalué à 1.
    
    Suite à vos discussions, j'ai installé KeePassXC et l'extension KeePassXC pour Firefox mais ça n'ai pas l'air de fonctionner… Quelqu'un l'utilise ?
    - [^] # Re: Firefox ?
      
      Posté par zedS le 13 avril 2018 à 15:36. Évalué à 1.
      
      J'ai testé également suite à la lecture de la dépêche et ça ne fonctionne pas non plus. L'extension se déconnecte de KeePassXC.
      Je test du coup l'extension "KeePassHelper Password Manager". ça fonctionne mais c'est via KeePassHTTP qui est déprécié.
      - [^] # Re: Firefox ?
        
        Posté par caracole_linuxfr le 13 avril 2018 à 15:57. Évalué à 1. Dernière modification le 13 avril 2018 à 15:57.
        
        Je n'ai pas trouvé d'aide sur l'utilisation de l'addon KepassXC. J'ai activé "browser integration" sur KepassXC mais je ne sais pas quoi faire d'autre pour qu'elles communiquent.
        
        [^] # Re: Firefox ?
        
        Posté par caracole_linuxfr le 13 avril 2018 à 16:07. Évalué à 1.
        
        J'ai fini par trouver la doc… ça a l'air de fonctionner !
        
        [^] # Re: Firefox ?
        
        Posté par fero14041 le 13 avril 2018 à 17:08. Évalué à 1.
        
        Heu, ça m'intéresse a priori également ^^;
        J'ai commencé à jouer 10min. avec KeePassXC, installé l'extension pour Firefox, et échoué à faire communiquer l'extension avec KeePassXC… Suis preneur de tout matériel accélérant cet apprivoisement.
        
        [^] # Re: Firefox ?
        
        Posté par caracole_linuxfr le 14 avril 2018 à 16:19. Évalué à 1.
        
        Ce lien : https://keepassxc.org/docs/keepassxc-browser-migration/
        ça a marché sur mon poste Ubuntu 17.10 mais pas Mint 18.3
        toujours avec Firefox 59.0.2
    - [^] # Re: Firefox ?
      
      Posté par Bigon le 14 mai 2018 à 08:07. Évalué à 1.
      
      J'avais personnellement un bug qui est normalement fixé dans la release d'il y a 3-4 jours
# I have been Pwned

Posté par bibifric05 le 12 avril 2018 à 17:27. Évalué à 1.

J'ai fait le test "Have I been Pwned?" (https://haveibeenpwned.com/) et le résultat est positif :

"Oh no — pwned!

Pwned on 2 breached sites and found no pastes (subscribe to search sensitive breaches)"

Mais c'est du chinois pour moi… Que suis-je censé faire pour protéger mon adresse mail????
- [^] # Re: I have been Pwned
  
  Posté par ZeroHeure le 12 avril 2018 à 17:57. Évalué à 5. Dernière modification le 12 avril 2018 à 22:23.
  Tu as peut-être remarqué qu'il y a des liens explicatifs dans la phrase que tu cites, et en dessous de cette phrases sont indiquées les 3 étapes à suivre pour se protéger :
  - Dans ton cas, ton email a été récupéré sur un site compromis, mais il n'a pas été partagé sur des site façon Pastebin.
  - Pour se protéger il est essentiel de ne pas réutiliser les mots de passe (un mot de passe différent par site ou par application), mais comme la mémoire ne peut pas tout, on utilise un gestionnaire de mot de passe ; ensuite il faut des authentifications en deux temps ; enfin change le mot de passe maître du gestionnaire périodiquement
  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
  - [^] # Re: I have been Pwned
    
    Posté par bibifric05 le 13 avril 2018 à 08:33. Évalué à -4.
    
    OK merci pour cette explication, je vais changer mes mots de passe…
    
    Sinon, attention, ce site https://haveibeenpwned.com/ est sans doute une usine à spam, en effet ce matin j'avais plus de 20 spams dans ma boîte mail (alors que un ou deux d'habitude), ce n'est sans doute pas un hasard ! Et les autres comptes que j'ai testés aussi…
    
    Donc site à bannir, je pense !
    - [^] # Re: I have been Pwned
      
      Posté par ZeroHeure le 13 avril 2018 à 09:39. Évalué à 6.
      
      une usine à spam
      
      Non, pas du tout. C'est connu et fiable.
      
      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
      - [^] # Re: I have been Pwned
        
        Posté par bibifric05 le 13 avril 2018 à 14:27. Évalué à 0.
        
        Donc, c'est une coïncidence que le lendemain je reçois 20 spams…
        Étrange !
        
        [^] # Re: I have been Pwned
        
        Posté par Kerro le 13 avril 2018 à 17:12. Évalué à 5.
        
        Vu qu'ils connaissent ton email d'avance, ainsi que celles de millions de personnes, ils n'ont pas besoin d'attendre que tu entres ton adresse email.
        
        Sauf si la base de données leur a été donnée hachée. Cela voudrait dire que ce ne sont pas eux qui font le job de recherche.
        
        [^] # Re: I have been Pwned
        
        Posté par Gabbro le 14 avril 2018 à 11:36. Évalué à 3.
        
        J'ai aussi vérifier mes boites mails, et j'ai reçu exactement 0 spam dessus depuis (il y a quelques jours).
        
        Sur tous ceux qui ont vérifié suite à cet article, seuls ceux (celui ?) qui ont reçu des mails le lendemain le disent, les autres, non. Il est tout à fait possible que, pas de bol, ce soit tombé sur toi.
        
        Étrange pour toi, oui (ça avait peu de chance de t'arriver) ; improbable sur linuxfr, non (ça avait de bonne chance d'arriver à quelqu'un).
# bitwarden ?

Posté par Paddy le 12 avril 2018 à 17:39. Évalué à 4.

Et quid de Bitwarden qui semble être à la mode en ce moment ?

Pour ma part j'utilise Enpass depuis longtemps. à l’époque c'est le seul que j’avais trouvé qui permettait une synchro sur son espace de stockage perso (OwnCloud dans mon cas) et multi plateforme (Linux, Windows, Android, Firefox/IE dans mon cas), le tout avec une interface utilisateur agréable. Par contre c'est pas opensource et j'ai payé pour disposer de la version mobile complète.

Je suis en train d'étudier la possibilité de migrer vers Bitwarden pour le coté opensource et des fonctionnalités similaires.
- [^] # Re: bitwarden ?
  
  Posté par little-dude le 12 avril 2018 à 18:12. Évalué à 2.
  
  C'est ce que j'utilise depuis six mois. Ca fonctionne nickel, j'ai mes mots de passe au boulot, a la maison, et sur mon telephone.
  - [^] # Re: bitwarden ?
    
    Posté par MrBidon le 12 avril 2018 à 22:17. Évalué à 3. Dernière modification le 12 avril 2018 à 22:17.
    
    Beaucoup de retour positif sur cet outil en effet, mais bon c'est quand même du dotnet, je ne suis pas prêt ;-)
    - [^] # Re: bitwarden ?
      
      Posté par Moonz le 13 avril 2018 à 10:33. Évalué à 2.
      
      https://github.com/jcs/bitwarden-ruby/
  - [^] # Re: bitwarden ?
    
    Posté par dark_moule le 13 avril 2018 à 08:35. Évalué à 1. Dernière modification le 13 avril 2018 à 08:38.
    Sur le site de bitwarden il est indiqué que les versions payantes permettent une hébergement personnel (self-hosting)
    
    La procédure d'installation semble néanmoins autoriser une installation pour tout le monde, avec des fonctionnalités réservés à l'obtention d'une licence que je présume liée à l'abonnement : https://help.bitwarden.com/article/install-on-premise/
    
    Il s'agit des trois éléments suivants :
    1. Register your installation and contact email so that we can contact you in case of important security updates
    2. Validate licensing of paid features
    3. Authenticate to push relay servers for push notifications (see below)
    Le deuxième point n'est pas clair sur les fonctions concernées, le 3ème concerne les notifications.
    
    Est-ce que vous savez s'il est possible d'auto héberger le service sans payer l'abonnement, et quelles sont les fonctionnalités qui sont retirées sans abonnement ?
    
    Merci
    
    PS : Les listes numérotées ne fonctionnent pas malgré la syntaxe indiquée dans l'aide mémoire ? :(
    - [^] # Re: bitwarden ?
      
      Posté par Bruno Michel (site web personnel) le 13 avril 2018 à 08:41. Évalué à 5.
      
      Est-ce que vous savez s'il est possible d'auto héberger le service sans payer l'abonnement, et quelles sont les fonctionnalités qui sont retirées sans abonnement ?
      
      À noter qu'il existe également une implémentation en Ruby de la partie serveur de Bitwarden : https://github.com/jcs/bitwarden-ruby. Elle est sous licence libre et paraît plus simple à héberger (pas besoin d'un serveur MS SQL).
      
      PS : Les listes numérotées ne fonctionnent pas malgré la syntaxe indiquée dans l'aide mémoire ? :(
      
      Si, elles fonctionnent mais il faut laisser une ligne vide avant.
  - [^] # Re: bitwarden ?
    
    Posté par lascapi le 26 avril 2018 à 17:53. Évalué à 1.
    
    Merci de m'avoir fait découvrir bitwarden. J'ai essayé et je l'ai adopté sur macos, sur linux et lineageos ! C'est top.
    J'avais essayé plusieurs fois d’utiliser Keepass et les différents logiciels/plugin mais c'est trop compliqué, notamment la partie synchronisation des mots de passes !
    Donc pour une utilisation basique et simple je recommande plutôt bitwarden. :-)
# GNOME Keyring + Seahorse + mozilla-gnome-keyring

Posté par Davy Defaud le 12 avril 2018 à 18:03. Évalué à 5. Dernière modification le 12 avril 2018 à 19:01.
Avantages :
- déverrouillage du trousseau de clefs GNOME à l’ouverture de la session ;
- prend en charge les mots de passe, les certificats X.509 et les phrases de passe des clefs privées SSH et GPG ;
- fonctionne avec de nombreux logiciels du projet GNOME ou affiliés (Remmina, par exemple) ;
- fonctionne en mode console ;
- fonctionne avec Firefox et Thunderbird (et Enigmail) grâce à l’extension mozilla-gnome-keyring.
Inconvénient : dédié aux utilisateurs de GNOME.
- [^] # Re: GNOME Keyring + Seahorse + mozilla-gnome-keyring
  
  Posté par gouttegd le 12 avril 2018 à 18:08. Évalué à 4.
  
  Inconvénient : dédié aux utilisateurs de GNOME.
  
  Pas complètement, je l’utilise dans mon environnement non-GNOME (Awesome), ça marche très bien. La seule chose qui manque est le déverrouillage automatique du trousseau à l’ouverture de la session.
  - [^] # Re: GNOME Keyring + Seahorse + mozilla-gnome-keyring
    
    Posté par riskou le 13 avril 2018 à 01:23. Évalué à 3.
    
    Dans mon cas, Openbox sous Debian, le déverrouillage automatique à l'ouverture de la session fonctionne en utilisant un module PAM (paquet libpam-gnome-keyring).
    
    Par contre, l'extension mozilla-gnome-keyring ne fonctionne plus depuis quelques versions de Firefox, car non compatible avec les WebExtensions.
    - [^] # Re: GNOME Keyring + Seahorse + mozilla-gnome-keyring
      
      Posté par gouttegd le 13 avril 2018 à 10:42. Évalué à 2.
      
      le déverrouillage automatique à l'ouverture de la session fonctionne en utilisant un module PAM (paquet libpam-gnome-keyring).
      
      Bon à savoir, merci. :) (Même si dans mon cas ça ne changera pas grand’chose, n’utilisant pas PAM.)
      
      Par contre, l'extension mozilla-gnome-keyring ne fonctionne plus depuis quelques versions de Firefox, car non compatible avec les WebExtensions.
      
      Sh*t. Bon (ou plutôt mauvais ?) à savoir aussi.
- [^] # Re: GNOME Keyring + Seahorse + mozilla-gnome-keyring
  
  Posté par amdg le 12 avril 2018 à 18:11. Évalué à 2.
  
  Est-ce qu'il existe une interface pour gérer tout les mots de passe ?
  Comment on peut synchroniser ça ?
  Ça m'intéresse pour faire passer la pilule du gestionnaire de mot de passe auprès de ma famille, surtout le côté intégré à Gnome == déverrouillage automatique c'est top !
  - [^] # Re: GNOME Keyring + Seahorse + mozilla-gnome-keyring
    
    Posté par Davy Defaud le 12 avril 2018 à 18:54. Évalué à 4.
    
    Tu peux visualiser tous les mots de passe de ton trousseau de clefs à l’aide de seahorse. Le fichier du trousseau déverrouillé au lancement de la session est ~/.local/share/keyrings/login.keyring. Il n’y a pas de fonctionnalité de synchronisation (en revanche, tu peux publier des clefs publiques sur un serveur), mais ça reste un fichier copiable à la mimine si tu le veux.
# Synchronisation de fichier kdbx ?

Posté par MrBidon le 12 avril 2018 à 22:44. Évalué à 1.

Je profite de ce journal pour savoir si certain on des solutions pour synchroniser les fichiers kdbx entre un PC Linux et un téléphone Android.
- [^] # Re: Synchronisation de fichier kdbx ?
  
  Posté par olivier (Mastodon) le 12 avril 2018 à 22:58. Évalué à 0.
  
  Tu peux le faire avec Syncthing,Nextcloud,Dropbox,Seafile … .
  Il y a vraiment plein de solutions et facile a mettre en oeuvre.
  - [^] # Re: Synchronisation de fichier kdbx ?
    
    Posté par MrBidon le 13 avril 2018 à 13:12. Évalué à 4. Dernière modification le 13 avril 2018 à 13:12.
    
    Quid du merge de fichier kdbx (dans le cas où le fichier est édité à deux endroit en même temps), je ne vois pas ce genre de fonctionnalité dans KeepassXC ou Keepass2Android.
    - [^] # Re: Synchronisation de fichier kdbx ?
      
      Posté par Yannick (site web personnel) le 14 avril 2018 à 10:34. Évalué à 5.
      
      Tu n’as pas à t’en inquiéter. Il faut juste assurer le stockage du fichier (WebDAV pour ma part). Comme le format du fichier garde un historique des modifs, c’est l’appli qui se charge des merges, et qui le fait sans aucun problème.
      Lorsque tu vas utiliser Keepass, tu vas lui dire soit d’utiliser le fichier distant, soit d’utiliser le fichier local. Dans ce dernier cas, il faut régulièrement demander une synchronisation avec le fichier distant (c’est-à-dire mettre les deux fichiers à jours entre eux).
      Avec Keepass2Android, la première chose qu’il fait lorsque tu as saisi ton mot de passe maitre pour ouvrir la base, c’est une synchronisation du fichier local avec le fichier distant. Opération tellement rapide qu’on ne la remarque même pas.
      Petit avertissement : Techniquement, il faut le mot de passe maitre pour faire la synchronisation. J’ai dit “le”, pas “les”. Donc, si on modifie le mot de passe en local, il n’est plus possible de faire la synchro avec un distant qui a toujours l’ancien. Il faut donc : soit faire une synchro avant et une copie à l’ancienne du nouveau fichier sur les autres, soit changer le mot de passe sur chacun des fichiers.
# Password-store : mot de passe en clair dans le système de fichier ?

Posté par Eiffel le 13 avril 2018 à 02:05. Évalué à 1.

En lisant l'article j'ai compris que Password-store utilise pour chaque site un fichier contenant le mot de passe.

Ce mot de passe est-il stocké en clair ? Si oui, n'est-ce pas un problème de sécurité ?
- [^] # Re: Password-store : mot de passe en clair dans le système de fichier ?
  
  Posté par Benoît Sibaud (site web personnel) le 13 avril 2018 à 09:26. Évalué à 4.
  Non il utilise la clé GPG sur chaque fichier.
```
$ file .password-store/*/*
.password-store/linuxfr.org/superadminmegasecret.gpg: PGP RSA encrypted session key - keyid: CAFEBEEF 42C0C042 RSA (Encrypt or Sign) 4096b .
.password-store/fosdemx.org/nudes.gpg:                PGP RSA encrypted session key - keyid: CAFEBEEF 42C0C042 RSA (Encrypt or Sign) 4096b .
.password-store/xkcd.com/root.gpg:                    PGP RSA encrypted session key - keyid: CAFEBEEF 42C0C042 RSA (Encrypt or Sign) 4096b .
…
```
  - [^] # Re: Password-store : mot de passe en clair dans le système de fichier ?
    
    Posté par Eiffel le 13 avril 2018 à 13:46. Évalué à 4.
    
    Je vous remercie pour la réponse !
    .password-store/fosdemx.org/nudes.gpg J'aimerai beaucoup connaître le mot de passe stocké dans ce fichier !
    -->[]
# Enpass

Posté par randoo le 13 avril 2018 à 08:29. Évalué à 1.

Bonjour à tous.

Article très intéressant car il est vrai qu'il est important d'avoir des mots de passe différents pour chaques sites ou appli, mais compliqué de les retenir tous.
Perso, j'utilise Enpass, et j'en suis très satisfait. Son gros avantage, c'est que les mots de passe sont sauvegardés dans un fichier là où vous le souhaitez, que ce soit sur votre ordi, sur un serveur, et/ou des services de cloud, et ainsi, c'est automatiquement synchronisé entre vos différents appareils.

Encore merci pour vos articles
Guillaume
# gpg ?

Posté par YuGiOhJCJ (site web personnel) le 13 avril 2018 à 09:19. Évalué à 4. Dernière modification le 13 avril 2018 à 09:20.

Moi, j'utilise gpg dans le terminal pour mes mots de passe depuis des années.
Il suffit de crypter le fichier contenant tous les mots de passe.
Quand il est nécessaire de retrouver un mot de passe, alors je décrypte le fichier.
L'intérêt de passer par le terminal est que je peux appliquer des expressions régulières grâce à grep pour filtrer les lignes affichées et obtenir rapidement le mot de passe que je cherche.
- [^] # Re: gpg ?
  
  Posté par binoyte le 13 avril 2018 à 12:21. Évalué à 5.
  
  J'ai fait pareil pendant un temps, mais attention à ne pas laisser de trace lors de l'édition de ton fichier genre fichier~ qui lui ne serait pas chiffré !
- [^] # Re: gpg ?
  
  Posté par Jiel (site web personnel) le 13 avril 2018 à 14:21. Évalué à 3.
  
  C'est le concept de pass, sauf qu'il offre plus de fonctionnalités.
  - [^] # Re: gpg ?
    
    Posté par KiKouN le 13 avril 2018 à 14:48. Évalué à 3.
    
    Et que l'on peut utiliser pass ou gpg|grep|sed|awk|elasticsearch ensemble tant que l'on respect le format assez simple de pass.
- [^] # Re: gpg ?
  
  Posté par matm le 13 avril 2018 à 19:30. Évalué à 2.
  
  Idem, j'utilise GnuPG + vim avec le plugin GPG. Ainsi, vim monfichier.asc demande la passphrase et permet de consulter/éditer en toute sécurité.
# HashiCorp Vault?

Posté par fero14041 le 13 avril 2018 à 10:30. Évalué à 3.

Dans la longue liste d'outils à disposition, j'ai retenu également Vault de HashiCorp (l'entreprise derrière (entre autres) Vagrant). Il vient juste de passer à la version 0.10. Je me pose de sérieuses questions à l'utiliser pour partage des secrets en équipe. Quelqu'un aurait un retour à partager?
- [^] # Re: HashiCorp Vault?
  
  Posté par n.rigaud le 13 avril 2018 à 11:23. Évalué à 0. Dernière modification le 13 avril 2018 à 11:26.
  
  Hello,
  même problématique ici pour le partage de secrets en équipe. Je n'avais pas entendu parler de Vault je vais jeter un coup d'oeil.
  Pour l'instant nous avons regardé Teampass (évoqué par l'ANSSI) et Passbolt.
  
  Pour l'instant, un soucis que je vois avec ces gestionnaires de mot de passe en mode Web est la perte d'une fonctionnalité que nous utilisons beaucoup (c'est peut être possible mais nous n'avons pas encore trouvé!):
  dans KeepPass Password Safe, un raccourci clavier permet de lui faire saisir identifiant et mot de passe dans l'application ou le site Web qui aura été défini. C'est très pratique pour les utilisateurs et favorise nettement l'adoption d'un tel outil.
# haveibeenpwned / xkcd

Posté par kna le 13 avril 2018 à 11:01. Évalué à 10.

Sur https://haveibeenpwned.com/Passwords, si je tape « correcthorsebatterystaple » :

Oh no — pwned!
This password has been seen 103 times before
# CLI / Terminal ?

Posté par XaT le 13 avril 2018 à 16:56. Évalué à 1.

Quid de ces softs ou d'un soft version cli/terminal ?
- [^] # Re: CLI / Terminal ?
  
  Posté par fero14041 le 13 avril 2018 à 18:29. Évalué à 2.
  
  Il suffisait de demander: vu passé dans ma veille: https://opensource.com/article/18/4/3-password-managers-linux-command-line
  (aucune idée de la qualité et/ou pertinence des outils mentionnés)
- [^] # Re: CLI / Terminal ?
  
  Posté par matm le 13 avril 2018 à 19:32. Évalué à 0.
  
  Ironclad pourrait être un bon outil CLI. Pas encore testé.
  
  https://github.com/dmulholland/ironclad
- [^] # Re: CLI / Terminal ?
  
  Posté par gouttegd le 13 avril 2018 à 23:23. Évalué à 2.
  
  Alors, pour ce que ça vaut, en début d’année j’ai commencé un client en ligne de commande pour Passman, après avoir constaté que passmancli semblait au point mort.
  
  S’il y a des courageux pour essayer (le code est dans un état très préliminaire, d’ailleurs il n’y a pas encore de release tarball, il faut cloner le dépôt), le projet est décrit par ici et le code est disponible par là.
- [^] # Re: CLI / Terminal ?
  
  Posté par martinclic le 16 avril 2018 à 13:52. Évalué à 1.
  
  J'utilise keepassc au quotidien (donc format keepass), que je trouve très pratique à l'usage.
# Utilisation collective

Posté par Michaël (site web personnel) le 14 avril 2018 à 14:35. Évalué à 8.
Salut, merci pour ton journal! Il est vraiment axé sur l'utilisation individuelle mais pour une utilisation collective (par exemple dans une administration, une organisation, une entreprise…) on a besoin de quelques fonctions supplémentaires:
- Il faut pouvoir définir qui a accès à quels mots de passe (p.ex. grâce à une notion de rôle, par exemple).
- Il faut pouvoir documenter la dissémination de mots de passe, a minima documenter la premiere lecture d'un certain mot de passe par un utilisateur.
Le second point peut être une condition légale (règle de protection des données qui entrent en vigueur le 25 mai) ou contractuelle.

Est-ce que ces fonctions ou des fonctions analogues sont implémentées par ces logiciels?
- [^] # Re: Utilisation collective
  
  Posté par Alex G. le 15 mai 2018 à 11:22. Évalué à 2. Dernière modification le 15 mai 2018 à 11:23.
  
  Il y a rattic qui fait ça. On l'utilise au boulot et ça fonctionne bien.
# Et keybase ?

Posté par Miguel Moquillon (site web personnel) le 18 avril 2018 à 20:34. Évalué à 1.

Et que pensez vous de keybase ?
S'il ne génère pas de mots de passe, on peut les stocker (ils sont chiffrés par le biais d'une pair de clé publique/privée) et même les partager avec d'autres personnes ; intéressant dans le cas d'associations où des crédences peuvent être communes à plusieurs personnes attitrées (pour le site web, la banque en ligne, etc.)
- [^] # Re: Et keybase ?
  
  Posté par Yves (site web personnel) le 23 avril 2018 à 13:15. Évalué à 1. Dernière modification le 23 avril 2018 à 13:16.
  
  L’important, c’est que le serveur n’ait jamais connaissance de la donnée en clair.
  À vrai dire, un simple PrivateBin peut servir à héberger, voire partager, un dépôt de mots de passe… (après, faut se souvenir de la clef de déchiffrement :-p qui se trouve derrière le signe « # »)
# keepassx

Posté par maxmasou le 08 mai 2018 à 23:05. Évalué à -1.

Moi j’utilise encore Keepassx. Les nouvelles options de Keepassxc ne m'intéressent pas vraiment de toute façon. Par contre, une mise à jour de sécurité serait effectivement la bienvenue! Une suggestion en passant, il est utile d'utiliser firejail pour blacklisté la base de donnée du gestionnaire de mot de passe de toute application qui communique avec le web (firefox, chrome, thunderbird, transmission, etc). C'est pas compliqué à faire et sa augmente énormément la sécurité de votre gestionnaire de mot de passe!
- [^] # Re: keepassx
  
  Posté par arno le 14 juin 2018 à 21:28. Évalué à 0.
  
  il est utile d'utiliser firejail pour blacklisté la base de donnée
  du gestionnaire de mot de passe de toute application qui communique
  avec le web (firefox, chrome, thunderbird, transmission, etc)
  
  Peux-tu expliquer un peu plus en détail la façon dont tu t'y prends, STP ?
  Ma base est sur un nextcloud, et je n'ai pas bien compris si l'intérêt est d'utiliser firejail pour isoler le gestionnaire de mots de passe qui est sur mon ordi principal, ou bien si dans mon cas ça n'a aucun intérêt.
# Gestionnaires de mots de passe sous Android

Posté par Mathieu Peltier le 13 mai 2018 à 14:57. Évalué à 0.

A propos des gestionnaires de mots de passe sur Android, je suis tombé récemment sur cette vidéo :
https://www.youtube.com/watch?v=L8HmNm0kCBc

Voir aussi ici : https://team-sik.org/trent_portfolio/password-manager-apps/

"We performed a security analysis on the most popular Android password manager applications from the Google Play Store based on download count. The overall results were extremely worrying and revealed that password manager applications, despite their claims, do not provide enough protection mechanisms for the stored passwords and credentials. Instead, they abuse the users` confidence and expose them to high risks."

Toutes ces vulnérabilités ont été corrigées depuis d'après ce même site, mais ça donne à réfléchir…
Mathieu

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.