'jour,
aujourd'hui j'ai encore une fois dû me créer un compte sur un site quelconque pour pouvoir passer commande sur Internet. Et donc une fois de plus, il a fallu que je génère un mot de passe que je dois mémoriser un petit peu.
Et donc je me suis demandé comment vous faites pour:
1. générer les mots de passe:
mkpasswd, openssl, autre ?
2. stocker vos mots de passe.: pour moi c'est dans un fichier crypté. Mais alors quel outil utiliser:
rot13, mcrypt, gpg, openssl, zip (avec mdp), ...
Pour le moment, j'utilise mkpasswd (de expect) et gpg, car c'est ce qui m'est venu à l'idée en premier, mais je me dit qu'un seul outil (openssl) pour tout faire c'est bien aussi, mais qu'un zip avec mot de passe, je peux l'avoir sur 1 clé usb et l'ouvrir même chez mes parents qui n'ont pas de Linux, etc.
Et vous ?
Journal Stockage des mots de passe
4
avr.
2010
# Keepassx ...
Posté par Vincent . Évalué à 9.
Sinon il y a des programmes ou extensions de navigateurs pour générer des mots de passes à partir d'un mot de passe maître+identifiant, ce qui fait qu'il n'y a plus qu'un seul mot de passe à retenir pour avoir des mots de passes uniques sur chaque site.
En cherchant rapidement : https://addons.mozilla.org/fr/firefox/addon/874
[^] # Re: Keepassx ...
Posté par solsTiCe (site web personnel) . Évalué à 1.
sinon j'ai eu qq problème en me reposant uniquement sur les navigateurs. Quand tu changes de navigateurs ou que tu as un problème avec ?
j'ai utilisé un moment un répertoire de fichier encrypté avec encfs. un mot de passe par fichier avec identifiant.
Pour finalement passer à keepassX
[^] # Re: Keepassx ...
Posté par Vincent . Évalué à 2.
Sinon keepassx c'est bien mais faut l'avoir sous la main. Le javascript ci dessus tu peux te faire une page web sur ton site perso.
[^] # Re: Keepassx ...
Posté par Quikeg . Évalué à 3.
Bien entendu je n'utilise pas ce script pour les sites sur lesquels je vais souvent (gmail, ma banque...), mais pour les sites plus "occasionnels", c'est parfait.
[^] # Re: Keepassx ...
Posté par Maxime G (site web personnel) . Évalué à 2.
...fais quand même gaffe aux buffer overflows. Tu pourrais perdre des souvenirs ou faire des choses non désirées !
[^] # Re: Keepassx ...
Posté par KiKouN . Évalué à 1.
[^] # Re: Keepassx ...
Posté par barmic . Évalué à 3.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# firefox weave
Posté par djouxy . Évalué à 3.
La question aurait peut-être plus sa place dans un forum ;-)
[^] # Re: firefox weave
Posté par William Briand . Évalué à 2.
[^] # Re: firefox weave
Posté par djouxy . Évalué à 2.
# revelation
Posté par fredix . Évalué à 5.
# PasswordMaker
Posté par Aurélien Bompard (site web personnel) . Évalué à 5.
# cerveau
Posté par WhiteCat . Évalué à 2.
[^] # Re: cerveau
Posté par WhiteCat . Évalué à -4.
[^] # Re: cerveau
Posté par B16F4RV4RD1N . Évalué à 10.
Déjà, la génération manuelle, c'est vraiment pas fiable. Imagine, un mot de passe comme M0nSup3rMDP42 cela utilise des moyens mnémotechniques, et c'est mal (un super ordinateur qui t'étudie pendant 15 ans va être capable de penser comme toi et pourra peut-être trouver le mot de passe par déduction). La sécurité par l'obscurité, ce n'est jamais bon !
Donc, prend plutôt la vitesse du vent, multiplie la par ton uptime, passe le tout dans le SSL d'un OS du bien (évite Debian quand même, NetBSD ou OpenBSD c'est plus sûr), imprime le, photocopie le (pour donner de l'entropie), scanne le tout et compte le nombre de pixels à 4242 dpi, utilise ce nombre selon le code de césar et la clé windows collée sur ton ordinateur car tu n'as pas réussi à te le faire rembourser, et comme cela tu auras un mot de passe pratique à utiliser, genre
9BOiFDcGdeFy4ycd0v5crgkxe7LN3PhCln27ysyYi
SURTOUT NE LE RETIENS PAS AVEC TON CERVEAU !
Car peut-être que pour te faire parler les ninjas du FBIA utiliseront un sérum de vérité concocté par la cruelle secte des Hasshassins, donc le mieux est de la copier dans ton iphone avec le logiciel iStore (56 $ sur lapomme store), c'est très pratique, tu utilises le iThunes installé sur l'ordinateur pour synchroniser l'extension "iStore for Firefox" avec ton navigateur et cela les entrera automatiquement lorsque c'est nécessaire.
Essaye de faire un mot de passe différent à chaque fois, cela va sans dire, et il est conseillé de le changer toutes les semaines pour plus de sécurité.
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
[^] # Re: cerveau
Posté par WhiteCat . Évalué à 2.
# Avec cryptsetup
Posté par frequencebleue (site web personnel) . Évalué à 2.
On peut aussi installer une distribution linux ubuntu complètement chiffrée avec l'image ISO alternative, qui donne la possibilité de créer des partitions chiffrées.
# Bientôt dans PPassKeeper
Posté par Martin Peres (site web personnel) . Évalué à 6.
Ces keyring résolvent très bien le problème d'accéder à ses mots de passe rapidement sur la machine (voir le niveau d'intégration du keychain dans mac os ou du kwallet dans kde) mais ils deviennent nuls dès qu'on a besoin d'y accéder depuis un autre PC. Du coup, on doit passer par d'autres choses comme keypassx qui permet de stocker sur une clé usb ses mots de passe.
Le problème de keypassx, c'est que si tu perds ta clé, tu perds tes mots de passe. Si tu gardes des copies, locales, tu sais pas si elles sont à jour. Il faut donc du versionnement. Le top serait une sorte de git pour mots de passe, totalement décentralisable et mergeable à souhait !
C'est pour combler ces problèmes que j'ai commencé le projet PPassKeeper en 2008. C'est une lib cross-plateforme pour abstraire le stockage/récupération de mot de passe ou tout autre secret.
Quand un programme cross-plateforme linke avec PPassKeeper, il laisse à l'utilisateur le choix du lieu de stockage de ses mots de passe. En effet, PPassKeeper (ppk pour les intimes) est basé sur une architecture modulaire qui permet aux utilisateur de choisir quel module va se charger du stockage du mot de passe. Tout est documenté.
Pour l'instant, seuls le kwallet et le gnome keyring sont supportés, le support du keychain et du vault arriveront dans la beta 3.
Avec ppk, on solve le problème des programmes open sources qui stockent les mots de passes n'importe comment (stockage dans un fichier en clair pour pidgin par exemple) et on centralise les mots de passe de tous les programmes en un seul lieu (celui que l'user veut).
Reste le problème de l'accès à distance aux mots de passe. Pour ça, je suis en train de développer mon propre keyring (je suis élève-ingénieur en sécurité informatique, j'ai quelques notions en crypto) qui supportera très bientôt un système de centralisation (sur un ftp) et plus tard, sera un système décentralisé(miam miam pour coder ça). Ce keyring ainsi que la version centralisée sera dispo dans la beta 3).
Toujours dans la catégorie 'en prévision', il faut réaliser l'intégration de ppk dans les programmes.
Pidgin n'expose actuellement pas aux plugins d'API permettant de stocker les mots de passe. Une personne a proposé l'utilisation de ppk directement, perso, je m'en fou tant que je peux développer un plugin qui hookera le stockage de mot de passe. Ces changements sont prévus pour pidgin 3.
Reste Firefox/chromium. On a vu que c'était possible car beaucoup le font, j'espère qu'il y en a des open sources pour pouvoir forker ça et modifier simplement le back-end pour ppk.
D'ailleurs, je profite de ce journal pour lancer un appel aux contributions. Je suis actuellement l'unique programmeur de ce projet. Un ami donne des coups de mains, surtout sur le binding python. D'autres personnes me donnent leurs avis et souhaits mais si vous voulez voir ppk dans vos distribs, il va encore falloir un max de boulot.
On a actuellement besoin de graphistes, d'évangélisateurs pour faire connaître le projet et recueillir les remarques des programmeurs pour avoir l'API la plus consistante possible avant le freeze de la version 1.0 et de programmeurs en tout genre (pour créer des plugins pour les applis, faire/hacker de nouveau modules de stockage, hacker le coeur).
Le site du projet: http://ppasskeeper.mupuf.org , hébergé par http://mupuf.org/ .
[^] # Re: Bientôt dans PPassKeeper
Posté par meuble2001 . Évalué à 2.
[^] # Re: Bientôt dans PPassKeeper
Posté par Martin Peres (site web personnel) . Évalué à 2.
Je peux pas faire mieux sur LinuxFR je crois.
# papier
Posté par M . Évalué à 5.
Mon cerveau
2. stocker vos mots de passe.
Moi j'utilise une feuille de papier pour les mdp que j'utilise que chez moi.Pour les sites de tout les jours, c'est souvent des mots de passe commun que je connais.
# apg, papier et cerveau
Posté par psychoslave__ (site web personnel) . Évalué à 3.
Voyez aussi l'avis d'un ptit amateur du dimanche en sécurité, brousse chez nez hier, où qqc comme ça : http://www.schneier.com/blog/archives/2005/06/write_down_you(...)
[1] Certains prétendent qu'un stylo peut également être utile, mais je préfère me lasserai et écrire avec mon sang ; ça fait tout de suite plus impressionnant et ça en jette quand on dit au recruteur qu'on est un warrior de la sécurité et que nos balafres sont dues à nos précédentes batailles en la matière.
# lien "mot de passe oublié"
Posté par Donk . Évalué à 4.
Pour les autres, j'utilise le lien "mot de passe oublié"
# Stockage mnémotechnique
Posté par StreakyCobra . Évalué à 6.
J'ai eu une idée il y a quelques temps (je ne suis sûrement pas le premier à y avoir pensé, ça j'imagine bien). En constant que dans l'idéal il faudrait avoir un mot de passe différent pour chaque site mais qu'il tient de l'impossible de tous les retenir, il faudrait pouvoir avoir un seul mot de passe à retenir, ainsi qu'un «algorithme» . Cela permettrai de recomposer le mot de passe pour chaque site. Les mots de passent seraient différents, et pour la mémoire la gymnastique en est facilitée!
C'est sûrement pas très clair, donc voici un exemple:
1. Tu génère un mot de passe aléatoire: ABCDEFGH (Bien sur, un vraiment aléatoire avec majuscule, minuscule, et ponctuation), qu'il faut retenir et garder pour soit.
2. Tu choisis un pseudo-algorithme:
a. Prendre la première lettre du nom de domaine, l'incrémenter d'un et faire un modulo 26, pour qu'après «z» tu aie «a», et l'ajouter en 2ème position du mot de passe.
b. Mettre en avant-dernière position du mot de passe le nombre de caractères que contient le domaine.
c. Rajouter au début du mot de passe, x fois la lettre «t», qui représente le nombre de caractère du domaine principale (.com, .net. .ch, .info, etc.)
3. Après, lorsque tu définis ton mot de passe, par exemple pour facebook (www.facebook.com), tu le calcul:
0. ABCDEFGH
a. AgBCDEFGH
b. AgBCDEFG8H (facebook = 8 caractères)
c. tttAgBCDEFG8H (com = 3 caractères)
4. Et si l'on prend pour exemple un autre site: (www.libellules.ch)
0. ABCDEFGH
a. AmBCDEFGH
b. AmBCDEFG10H (libellules = 10 caractères)
c. ttAmBCDEFG10H (ch = 2 caractères)
5. Tu te retrouves avec 2 mots de passe relativement différent,
Là l'exemple est facile vu que le mot de passe ne base n'est pas aléatoire. Mais avec un bon mot de passe de départ, un algorithme un poil plus compliqué que là, les mots de passes seront bien différents.
Après pour qu'une personne puisse avoir une chance de trouver ton mot de passe et ton algorithme, il lui faudrait au minimum posséder 2 de tes mots de passes de site différents et de bonnes connaissance en algorithmique. Enfin et surtout savoir que tu utilises cette technique pour tes mots de passe. Elle pourrait simplement croire que les mots de passes sont vraiment aléatoires si ils sont bien fait.
Par exemple pour complexifier l'algorithme, plutôt que de mettre la première lettre du nom de domaine en 2ème position, on pourrais imaginer mettre la deuxième lettre du nom de domaine, incrémentée du nombre de caractère que contient le nom de domaine, en «nombre de caractère de l'extension (.com, .ch, .info ... )»ème position du mot de passe. Cela casserai déjà la structure fixe du mot de passe.
Après on va me dire qu'il devient difficile, long et rébarbatif de refaire l'algorithme à chaque connexion sur un site web. C'est vrai, mais les sites sur lesquelles vous allez tout les jours, après une semaine le mot de passe vous le savez par cœur. Et le site sur lequel vous allez tout les deux ans, vous pouvez en tout temps vite retrouver votre mot de passe (vous savez, celui qu'actuellement vous avez déjà oublié) :)
[^] # Re: Stockage mnémotechnique
Posté par houra . Évalué à 3.
Sedullus dux et princeps Lemovicum occiditur
# Lastpass
Posté par Mickael Villers . Évalué à 1.
ça sauve les mots de passes en crypter côté serveur, donc aucune info compromettante ne circule!
ça gère le remplissage de formulaire (si on sauve son identité, ça remplit nom/prénom/...),
ainsi que génère les MDPs,
avec autologin et d'autres fonctions
Bien entendu, multi browser/OS (FF/Chrome/Android/...) :)
# Stockage des mdp dans un fichier chiffré. Quelles précautions ?
Posté par Anonyme . Évalué à 1.
Pour rajouter de nouveaux mots de passe dans ce fichier chiffré, on peut être tenté de créer un fichier temporaire contenant les informations en clair, de l'éditer, de le chiffrer de nouveau, puis de le supprimer.
Il important de remarquer qu'il y a un certain nombre de risques dans cette méthode :
1) les éditeurs de texte créent souvent des fichiers de "swap" et des fichiers de log, qui peuvent fournir une information sinon complète, au moins parcellaire sur le contenu du fichier
Par exemple, pour vim: les fichiers du type .monfichier.swp et le fichier ~/.viminfo. Pour gedit: les fichiers du type monfichier~
Dans le cas de vim, on peut empêcher la création de ces fichiers en invoquant vim de la manière suivante : vim -n -i NONE monfichier
2) L'information en clair peut subsiter sur le disque dur même après effacement par rm. On pourra utiliser la commande suivante : shred --remove monfichier
3) Dernier risque qui me vient à l'esprit, lié à l'ergonomie spartiate de la méthode. Se tromper de mot de passe en chiffrant de nouveau le fichier. Risque toutefois limité, l'outil de chiffrement demande généralement une confirmation du mot de passe.
Ecraser, supprimer d'une quelconque manière à la fois le fichier crypté et le fichier en clair.
Une bonne pratique, valable qu'elle que soit la méthode choisie, est d'avoir un backup du fichier crypté à côté "suffixe .bak" et en plus sur un autre support.
Afin de pallier à la plupart de ces problèmes, il existe des manières plus pratiques de combiner l'utilisation de l'outil de chiffrement avec l'outil d'édition, et qui évitent la création d'un fichier temporaire en clair.
Voir ces liens:
http://www.vim.org/scripts/script.php?script_id=2012
http://vim.wikia.com/wiki/AES256_encryption_in_Vim
[^] # Re: Stockage des mdp dans un fichier chiffré. Quelles précautions ?
Posté par Frédéric Perrin (site web personnel) . Évalué à 2.
Par défaut, emacs ne fait pas de sauvegarde temporaire des fichiers *.gpg, ce qui réponde à ton premier point. Pour le deuxième point, le fichier reste toujours en mémoire principale[2], et pour le troisième point, le chiffrage étant géré par GPG, il n'y a pas de danger de se tromper de mot de passe à la sauvegarde.
[1] Il faut placer (epa-file-enable) dans son init.el ; ce n'est pas par défaut.
[2] Et celui qui dit qu'emacs est tellement gros qu'il risque de swapper le buffer sur le disque, et bien je... je le... je le moinse !
[^] # Re: Stockage des mdp dans un fichier chiffré. Quelles précautions ?
Posté par B16F4RV4RD1N . Évalué à 2.
D'autre part, il existe des logiciels plus adaptés que ssl pour chiffrer et déchiffrer des documents (par exemple truecrypt)
Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it
# Le cerveau, le papier.
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à 3.
Et au cas où j'oublierais, je les ai aussi écrits sur un post-it sous mon clavier.
[^] # Re: Le cerveau, le papier.
Posté par Etienne Bagnoud (site web personnel) . Évalué à 4.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Partition chiffréef
Posté par barmic . Évalué à 3.
Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)
# xkcd
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 6.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.