Journal Comment gérez-vous vos mots de passe (et l’autoremplissage des formulaires) ?

Posté par  (site web personnel, Mastodon) . Licence CC By‑SA.
5
4
avr.
2025

Salut Nal,

Pour stocker mes mots de passe, j’utilise Bitwarden dont j’étais très content : simple, léger, opensource.

Je débourse même 10€ par an pour héberger mes mots de passe chez eux.

J’utilise Bitwarden pour:

  1. Générer, sauver et autoremplir les login/password depuis Firefox

  2. Compléter les formulaires avec mes données, y compris bancaires.

  3. Autoremplir les logins password des apps android (particulièrement utile pour ma banque qui me le réclame à chaque fois car je n’ai pas de capteur d’empreinte digitale sur mon téléphone).

Il y a quelques temps, une mise à jour à nettement modifié le comportement de Bitwarden:

  • L’ouverture du popup Bitwarden est beaucoup plus lente. Genre 5-6 secondes sur mon (excellent et moderne) Thinkpad contre moins d’une seconde avant.

  • Cliquer sur un compte ne remplit plus automatiquement les formulaires ! Il faut copier/coller (un comble !). Bon, ils se sont rendus compte de leur erreur car, un peu après, un bouton "remplir" a fait son apparition. Mais cela reste nettement moins pratique.

  • Sur la page même, le popup d’autocomplétion prend beaucoup plus de place qu’avant et, dans certains car, cache des informations essentielles.

Bref, l’utilisabilité est nettement tombée et j’envisage donc de tester des alternatives.

Idéalement, j’aimerais un système qui fonctionne en ligne de commande et en mode déconnecté.

Du coup, je suis curieux de savoir les configs que vous utiliez pour sauver vos mots de passe, les utiliser automatiquement dans Firefox/Android. Je suis très friands des systèmes les plus geeks utilisant "pass" mais je ne vois pas trop comment passer un système de ce genre vers Android.

Bref, allez-y, faites pêter vos solutions dans les commentaires !

  • # Proton pass

    Posté par  . Évalué à 2 (+1/-0).

    Hello,

    J'ai migré de Bitwarden à Proton pass et j'en suis content.

    Ca marche mieux.

    My 2 cents.

    • [^] # Re: Proton pass

      Posté par  . Évalué à 2 (+1/-0).

      Je me réponds à moi même, il n'y a en revanche pas de mode déconnecté à ma connaissance ni de cli.

  • # password store

    Posté par  (site web personnel) . Évalué à 5 (+4/-0).

    J'utilise pass (https://www.passwordstore.org/) qui s'intègre à peu près bien partout. En plus de la cli, je l'ai dans emacs et firefox sur mes ordi, et sur mon tél android (mais l'appli a été abandonnée récemment, donc sans doute pas super pérenne comme solution). Il gère git, donc "pass git push" et "pass git pull --rebase" et la base est distribuée simplement. Pas de serveur spécial, et c'est "que" du script simple (i.e. facile de récup l'info si on a la clé gpg sous la main).

    Je m'en sert pour les mdp mais pour stocker des clé ssh, des trucs que je souhaite rester secret, etc.

    Ça repose sur gpg et ça fuite assez facilement la liste des choses stockées si on fait pas attention (1 fichier chiffré par entrée dont le nom peut être le nom du site web par ex).

  • # Lenteurs de serveurs ou de clients ? - Vaultwarden

    Posté par  (site web personnel, Mastodon) . Évalué à 4 (+2/-0).

    Il faudrait savoir si les lenteurs viennent de leur infrastructure ou du logiciel.

    S'il vient de l'infra, tu as de la chance de pouvoir héberger ton propre serveur facilement grâce au projet vaultwarden (compatible avec sqlite, mysql, postgresql…) ou le serveur officiel bitwarden compatible uniquement avec Microsoft SQL Server.

    J'ai installé vaultwarden avec le container parce que Microsoft SQL Server aurait était un gâchis de ressources sur mon serveur et parce que je n'avais pas envie de créer de compte chez Bitwarden (nécessaire même quand on héberge soi-même son serveur).

    Par contre, vaultwarden est uniquement la partie serveur, donc si ton problème de lenteur vient des clients Bitwarden (extension de browser ou application électron), ça ne va pas améliorer l'état.

    • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

      Posté par  (site web personnel, Mastodon) . Évalué à 3 (+1/-0).

      Je pense que c’est surtout un problème du code frontend. Le popup Bitwarden charge comme une page web bourrée de Javascript (ce qu’elle est certainement). Et ça date justement du "redesign" de l’appli pour faire "plus moderne".

      Pour moi, c’est juste de la merdification Javascript (mais je peux me tromper)

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

        Posté par  . Évalué à 4 (+2/-0). Dernière modification le 04 avril 2025 à 15:00.

        On parle bien de cette extension ?
        https://addons.mozilla.org/en-US/firefox/addon/bitwarden-password-manager/#reviews

        Parce que c'est celle que j'utilise, et je ne rencontre aucun de tes soucis. J'utilise CTRL-L dans les champs de formulaire de connexion et ça les remplit automatiquement. L'affichage de la pop-up est quasi instantané (quand j'ai besoin d'y accéder mais avec le raccourci clavier de remplissage auto c'est rare). "Chez moi ça marche" ne va pas beaucoup aider mais… peut-être que c'est autre chose que l'extension Bitwarden qui provoque ton soucis ? Genre une autre extension ?

        • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

          Posté par  (site web personnel, Mastodon) . Évalué à 2 (+0/-0).

          yep, c’est bien celle-là. Mais à part ublock, je n’ai pas d’autres extensions.

          Après, mon laptop est toujours en mode "économie d’énergie" et dès qu’un site est un peu lourd en JS, je le sens particulièrement.

          Mes livres CC By-SA : https://ploum.net/livres.html

          • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

            Posté par  . Évalué à 3 (+2/-0).

            Ca ressemble à un bug/soucis réseau tes lenteurs, j'ai pas du tout ce comportement, en tout cas rien de vraiment visible sur la vitesse (c'est de visu, ça a pu prendre 200ms, je doute que je m'en rendrais compte).

            Par contre je te rejoins, avoir passé d'un bandeau de mot de passe cliquable à un bouton "remplir" a été une vraie régression d'UX pour moi aussi

            • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

              Posté par  . Évalué à 2 (+0/-0).

              Je découvre ce bouton remplir et je ne sais même pas comment c'était avant. Faites CTRL-L (plusieurs fois si il y a plusieurs comptes sur ce domaine) dans le champ user et tout se remplira sans avoir besoin ni de la souris ni de la pop-up.

      • [^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden

        Posté par  . Évalué à 4 (+1/-0).

        Alors personnellement, sur Android, je n'utilise plus l'extension du navigateur, mais l'appli Bitwarden elle-même, qui peut être déclarée comme un clavier et passée comme service d'accessibilité.

        Ça marche bien pour les identifiants. Je n'ai pas encore essayé pour les paiements (c'est tout frais comme changement).

  • # J'en ai déjà parlé ici

    Posté par  (site web personnel, Mastodon) . Évalué à 6 (+4/-0).

    https://linuxfr.org/users/jeanas/journaux/mon-gestionnaire-de-mots-de-passe-en-50-lignes-de-html

    En pratique, mes mots de passe sont enregistrés dans Firefox Sync, donc la plupart du temps je n'ai pas besoin d'ouvrir mon gestionnaire de mots de passe parce qu'ils sont préremplis par la complétion built-in de Firefox.

    Quand je veux mon mot de passe pour un service qui n'est pas sur le Web (ma boîte mail, etc.), j'ouvre mon gestionnaire, je rentre le nom du service et mon mot de passe maître, et ça me donne mon mot de passe. Et quand je veux créer un nouveau mot de passe pour n'importe quoi, je l'ouvre aussi et je laisse Firefox l'enregistrer. Et comme noté sur la page du générateur, ça se fait très facilement en ligne de commande aussi.

    Donc pour résumer, l'autoremplissage est fourni par Firefox, la synchronisation aussi (Firefox Sync, qui est associé à ton compte Mozilla), et la sûreté contre une panne des services Mozilla + possibilité de retrouver très facilement un mot de passe sur un autre ordinateur que le sien + possibilité de retrouver un mot de passe en ligne de commande et même sans réseau sont fournies par le générateur ultra-simple.

    • [^] # Re: J'en ai déjà parlé ici

      Posté par  . Évalué à 1 (+0/-0).

      • je fais ça aussi… pour tous mes mots de passe sur le Web: dans Firefox derrière un mot de passe maître (depuis peu).
      • C'est pratique, mais j'ai de gros doutes sur la sécurité… même avec un mot de passe maître.
      • J'ai noté que le mot de passe maître ne s'est pas propagé à mon laptop d'appoint, ni à mon smartphone où j'utilise aussi Firefox pourtant.
  • # vaultwarden

    Posté par  . Évalué à 2 (+2/-0).

    Bonjour,

    J'utilise vaultwarden, une réimplémentation de bitwarden qui me permet de l'autohéberger sur mon serveur linux (et compatible avec le plugin bitwarden), je n'ai pas ce soucis.

  • # pass via Password Store

    Posté par  (site web personnel) . Évalué à 2 (+2/-0). Dernière modification le 04 avril 2025 à 14:05.

    Bonjour,

    J'utilise pass avec une Yubikey. Je n'ai pas d'intégration avec Firefox.
    passmenu me sert à insérer les mots de passes, via un raccourci clavier.

    Je n'utilise pas beaucoup Android, j'ai un téléphone depuis 1ans et je m'en sers peu.
    Néanmoins, l'intégration de pass est très simple grâce à OpenKeychain et Password Store. Toujours sans intégration à Firefox par-contre.
    À noter que du coup, je n'ai pas passmenu, pour rentrer un mot de passe, je copie le mot de passe depuis Password Store.

    Pour configurer pass sur Android.
    Grosso modo, je rentre ma clé et lance la recherche depuis OpenKeychain. Ma clé publique est importée car j'ai mis l'URL où la télécharger.
    d
    1. Dans Password Store, je génère une clé SSH, la protection par mot de passe est disponible, le partage de la clé est proposé et « envoie par e-mail » dans la liste.
    2. J'importe la clé sur un VPS.
    3. Je reviens à l'accueil, gros bouton « Let's go », ça me demande l'adresse du dépôt git et me propose le clone via SSH (forcément).

    Puis, pour déchiffrer un mot de passe. Je clique sur l'un d'eux (deux clics généralement car dans pass on stocke souvent via dossier linuxfr.org/ache par exemple). Openkeychains me demande l'authorisation d'être exécuter, je valide, ça me demande mon PIN Yubikey, puis la validation tactile de la Yubikey (ou juste l'insertion ou via NFC, ça dépends comment tu souhaites là configurer).
    Mon mot de passe s'affiche avec un bouton « Copier ».

    Non vraiment, c'est pratique. Mais je ne me sers pas assez de mon portable pour avoir une vraie utilité à cette installation.


    Pour mes amis et ma famille, je conseil systématiquement l'usage du gestionnaire de mot de passe intégré via un mot de passe principal.
    Les plus exigeant sont comblés par la synchronisation via Firefox Sync. Les plus Geek pourront l'auto-héberger.
    L'algorithme derrière est AES 256, ce qui n'est pas le plus moderne, mais qui a été éprouvé et toujours considéré sûr.

  • # Passbolt ?

    Posté par  . Évalué à 5 (+4/-0).

    J'utilise KeePassXC, synchronisé via Syncthing sur LineageOS, et j'en suis très content. Très occasionnellement (au doigt mouillé, 1 à 2 fois par an) il y a un conflit de synchro car il m'arrive de modifier les bases sur plusieurs devices sans vérifier s'ils sont bien à jours de leurs synchro, mais dans ce cas les bases sont renommées, pas écrasées, donc aucune données n'est perdue).

    Pour le travail en équipe KeePassXC marche aussi très bien (plusieurs ouvertures parallèles de la même base ne pose pas de problème ; mais j'imagine que ça pourrait arriver si on était des centaines ?).

    Mais pour la granularité des permissions d'accès aux credentials, c'est tout ou rien.

    C'est pourquoi on envisage de passer à Passbolt. Mais comme on ne l'utilise pas encore en prod, je ne peux pas vraiment donner mon avis.

    • [^] # Re: Passbolt ?

      Posté par  . Évalué à 4 (+3/-0).

      J'utilise aussi KeePassXC qui fonctionne vraiment très bien.
      Pour les permissions, je fais des bases différentes et je les ouvre directement à partir de ma base perso. Soit directement via AutoOpen soit en les ouvrants à la main (un enregistrement qui pointe vers la base et je fais "ouvrir l'url" depuis keepass.
      Il suffit de donner aux utilisateurs les pass des bases dont ils ont besoin.

      Synchronisé avec Nextcloud ou autre cela fonctionne niquel.

    • [^] # Re: Passbolt ?

      Posté par  . Évalué à 3 (+0/-0). Dernière modification le 04 avril 2025 à 18:27.

      +1 Pour Keepass (comme KeepassXC). Sinon le coffre-fort Firefox, très bien aussi même si c’est bien évidemment réservé aux mots de passe pour le Web et qu’on ne peut pas, à ma connaissance, faire comme dans Keepass en doublant d’une clé le verrouillage du fichier (ie: en plus du mot de passe).

      J’étais sûr que quelqu’un aurait à coup sûr déjà cité ce logiciel (libre et multi-plateforme comme tout logiciel digne de ce nom) mais ceci a attiré mon attention dans le journal :

      L’ouverture du popup Bitwarden est beaucoup plus lente. Genre 5-6 secondes sur mon (excellent et moderne) Thinkpad contre moins d’une seconde avant.

      Dans KeepassXC (et possiblement l’autre Keepass) il y a un paramètre de « nombre de cycles de chiffrement ». Si j’ai bien compris c’est le fait de ne pas chiffrer/déchiffrer qu’une seule fois mais X fois, avec X plus ou moins grand.

      Titre de l'image

      Plus X est grand et plus cela va prendre du temps pour ouvrir le fichier, comme pour enregistrer une modification. Et c’est précisément le but de la manœuvre, car de fait, ça ralentira d’autant une éventuelle attaque par la force brut d’une personne qui aurait pu obtenir le fichier chiffré et qui voudrait pouvoir l’ouvrir sans posséder le mot de passe.

      Je me demande si le coffre-fort de mdp de l’auteur du journal ne ferait pas justement cela, d’où le temps qui est très long.
      Ceci étant dit, est-ce un réel problème un temps d’ouverture de quelques secondes pour un logiciel qui (àma) se lance une fois par jour, au moment où on en a besoin, et qu’on ne ferme qu’à la fin de sa session. Tu le fermes et relances à chaque fois toi ?

  • # Keepass

    Posté par  . Évalué à 4 (+4/-0).

    Bonjour,

    Perso, j'utilise Keepass/KeepassDX. Je synchronise le fichier de mdp (kdbx) entre mes différents appareils avec Syncthing.

    Après, l'intégration avec Firefox n'est pas parfaite, comme Jeanas, Keepass reste un backup de Firefox Sync que je continue à utiliser au quotidien.

  • # Mooltipass

    Posté par  . Évalué à 3 (+3/-0).

    Pour ma part, cela fait 6 ans que j'utilise un boîtier Mooltipass (open-hardware et opensource).

    L'avantage de ce boîtier est qu'il est reconnu comme un clavier et est donc utilisable sur n'importe quel périphérique.
    Si en plus, on installe l'extension pour navigateur et le logiciel "compagnon" moolticute, alors l'ensemble permet de:

    • détecter la création d'un compte et proposer la sauvegarde de l'identifiant et du mot de passe associé à cette URL
    • détecter les champs de connexion sur une page web et proposer la connexion si l'URL de la page correspond à une URL déjà enregistrée.

    Dans l'ensemble c'est pratique, il faut simplement penser à prendre son boîtier lors des déplacements …

    • [^] # Re: Mooltipass

      Posté par  . Évalué à 4 (+1/-0). Dernière modification le 04 avril 2025 à 21:14.

      Alors ça.. Miam. Élégante solution.
      Adopté, malgré l'aes256 seul, malgré le prix de 160€ et malgré son indispo actuelle. J'espère que la liste d'attente ne sera pas un plouf car "Sold out since Feb 08, 2024"

  • # Firefox

    Posté par  . Évalué à 2 (+1/-0).

    Je n'ai jamais pris la peine de m'y pencher sérieusement… J'utilise donc le gestionnaire fournit par Firefox, et ça juste marche.

  • # Nextcloud passwords

    Posté par  . Évalué à 1 (+1/-0).

    J'utilise dans Nextcloud, l'application passwords.
    ça permet de les synchroniser sur le téléphone avec l'application Nextcloud Passwords

  • # extensions

    Posté par  (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 05 avril 2025 à 00:33.

    Les extensions d'autocompletion, c'est ergonomique, mais question sécurité ce n'est pas forcément la panacée.

    Je préfère faire manuellement mon copier/coller depuis mon gestionnaire de mot de passe même si c'est plus long en vidant le presse-papier juste après.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.