Salut Nal,
Pour stocker mes mots de passe, j’utilise Bitwarden dont j’étais très content : simple, léger, opensource.
Je débourse même 10€ par an pour héberger mes mots de passe chez eux.
J’utilise Bitwarden pour:
Générer, sauver et autoremplir les login/password depuis Firefox
Compléter les formulaires avec mes données, y compris bancaires.
Autoremplir les logins password des apps android (particulièrement utile pour ma banque qui me le réclame à chaque fois car je n’ai pas de capteur d’empreinte digitale sur mon téléphone).
Il y a quelques temps, une mise à jour à nettement modifié le comportement de Bitwarden:
L’ouverture du popup Bitwarden est beaucoup plus lente. Genre 5-6 secondes sur mon (excellent et moderne) Thinkpad contre moins d’une seconde avant.
Cliquer sur un compte ne remplit plus automatiquement les formulaires ! Il faut copier/coller (un comble !). Bon, ils se sont rendus compte de leur erreur car, un peu après, un bouton "remplir" a fait son apparition. Mais cela reste nettement moins pratique.
Sur la page même, le popup d’autocomplétion prend beaucoup plus de place qu’avant et, dans certains car, cache des informations essentielles.
Bref, l’utilisabilité est nettement tombée et j’envisage donc de tester des alternatives.
Idéalement, j’aimerais un système qui fonctionne en ligne de commande et en mode déconnecté.
Du coup, je suis curieux de savoir les configs que vous utiliez pour sauver vos mots de passe, les utiliser automatiquement dans Firefox/Android. Je suis très friands des systèmes les plus geeks utilisant "pass" mais je ne vois pas trop comment passer un système de ce genre vers Android.
Bref, allez-y, faites pêter vos solutions dans les commentaires !
# Proton pass
Posté par Xavier . Évalué à 3 (+2/-0).
Hello,
J'ai migré de Bitwarden à Proton pass et j'en suis content.
Ca marche mieux.
My 2 cents.
[^] # Re: Proton pass
Posté par Xavier . Évalué à 2 (+1/-0).
Je me réponds à moi même, il n'y a en revanche pas de mode déconnecté à ma connaissance ni de cli.
# password store
Posté par Marc (site web personnel) . Évalué à 9 (+8/-0).
J'utilise pass (https://www.passwordstore.org/) qui s'intègre à peu près bien partout. En plus de la cli, je l'ai dans emacs et firefox sur mes ordi, et sur mon tél android (mais l'appli a été abandonnée récemment, donc sans doute pas super pérenne comme solution). Il gère git, donc "pass git push" et "pass git pull --rebase" et la base est distribuée simplement. Pas de serveur spécial, et c'est "que" du script simple (i.e. facile de récup l'info si on a la clé gpg sous la main).
Je m'en sert pour les mdp mais pour stocker des clé ssh, des trucs que je souhaite rester secret, etc.
Ça repose sur gpg et ça fuite assez facilement la liste des choses stockées si on fait pas attention (1 fichier chiffré par entrée dont le nom peut être le nom du site web par ex).
[^] # Re: password store
Posté par ElVirolo (site web personnel) . Évalué à 5 (+3/-0).
Je recommande aussi
pass
, que j'utilise sur toutes les plateformes (y compris Emacs), comme toi.Ceci simplement pour recommander l'utilisation de l'extension Browserpass pour Firefox, que j'utilise depuis des années et qui fonctionne très bien.
[^] # Re: password store
Posté par ploum (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Mais c’est super intéressant ça, faut que je teste. Après, le manque d’une appli android pérenne peut être un problème.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: password store
Posté par chimrod (site web personnel) . Évalué à 3 (+1/-0).
La voici : https://passwordstore.app/
Dispo sur f-droid bien sûr, et nécessite d’avoir un environnement GPG fonctionnel.
[^] # Re: password store
Posté par Marc (site web personnel) . Évalué à 5 (+4/-0).
Oui, mais il reste intéressant de savoir que:
" This repository was archived by the owner on Oct 15, 2024. It is now read-only. "
Appli qui repose sur Openkeychains (https://github.com/open-keychain/open-keychain)
"WARNING: This software is no longer actively developed. We will still apply security fixes where reported, and do basic maintenance work, but no new features or will be worked on. We will try to consider and merge contributions where possible."
une appli qui gère les mdp qui n'est plus maintenu et dont une dépendance centrale est en mode végétatif… Dur à conseiller. Certes, sur f-droid, ça ne se voit pas, mais ça ne veut pas dire que c'est une super idée.
[^] # Re: password store
Posté par chimrod (site web personnel) . Évalué à 2 (+0/-0).
Ah, malheureusement j’ai pas mieux…
# Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par Adrien Dorsaz (site web personnel, Mastodon) . Évalué à 5 (+3/-0).
Il faudrait savoir si les lenteurs viennent de leur infrastructure ou du logiciel.
S'il vient de l'infra, tu as de la chance de pouvoir héberger ton propre serveur facilement grâce au projet vaultwarden (compatible avec sqlite, mysql, postgresql…) ou le serveur officiel bitwarden compatible uniquement avec Microsoft SQL Server.
J'ai installé vaultwarden avec le container parce que Microsoft SQL Server aurait était un gâchis de ressources sur mon serveur et parce que je n'avais pas envie de créer de compte chez Bitwarden (nécessaire même quand on héberge soi-même son serveur).
Par contre, vaultwarden est uniquement la partie serveur, donc si ton problème de lenteur vient des clients Bitwarden (extension de browser ou application électron), ça ne va pas améliorer l'état.
[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par ploum (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Je pense que c’est surtout un problème du code frontend. Le popup Bitwarden charge comme une page web bourrée de Javascript (ce qu’elle est certainement). Et ça date justement du "redesign" de l’appli pour faire "plus moderne".
Pour moi, c’est juste de la merdification Javascript (mais je peux me tromper)
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par Faya . Évalué à 5 (+3/-0). Dernière modification le 04 avril 2025 à 15:00.
On parle bien de cette extension ?
https://addons.mozilla.org/en-US/firefox/addon/bitwarden-password-manager/#reviews
Parce que c'est celle que j'utilise, et je ne rencontre aucun de tes soucis. J'utilise
CTRL-L
dans les champs de formulaire de connexion et ça les remplit automatiquement. L'affichage de la pop-up est quasi instantané (quand j'ai besoin d'y accéder mais avec le raccourci clavier de remplissage auto c'est rare). "Chez moi ça marche" ne va pas beaucoup aider mais… peut-être que c'est autre chose que l'extension Bitwarden qui provoque ton soucis ? Genre une autre extension ?[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par ploum (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
yep, c’est bien celle-là. Mais à part ublock, je n’ai pas d’autres extensions.
Après, mon laptop est toujours en mode "économie d’énergie" et dès qu’un site est un peu lourd en JS, je le sens particulièrement.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par Fulgrim . Évalué à 4 (+3/-0).
Ca ressemble à un bug/soucis réseau tes lenteurs, j'ai pas du tout ce comportement, en tout cas rien de vraiment visible sur la vitesse (c'est de visu, ça a pu prendre 200ms, je doute que je m'en rendrais compte).
Par contre je te rejoins, avoir passé d'un bandeau de mot de passe cliquable à un bouton "remplir" a été une vraie régression d'UX pour moi aussi
[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par Faya . Évalué à 2 (+0/-0).
Je découvre ce bouton remplir et je ne sais même pas comment c'était avant. Faites CTRL-L (plusieurs fois si il y a plusieurs comptes sur ce domaine) dans le champ user et tout se remplira sans avoir besoin ni de la souris ni de la pop-up.
[^] # Re: Lenteurs de serveurs ou de clients ? - Vaultwarden
Posté par Maclag . Évalué à 5 (+2/-0).
Alors personnellement, sur Android, je n'utilise plus l'extension du navigateur, mais l'appli Bitwarden elle-même, qui peut être déclarée comme un clavier et passée comme service d'accessibilité.
Ça marche bien pour les identifiants. Je n'ai pas encore essayé pour les paiements (c'est tout frais comme changement).
# J'en ai déjà parlé ici
Posté par jeanas (site web personnel, Mastodon) . Évalué à 9 (+7/-0).
https://linuxfr.org/users/jeanas/journaux/mon-gestionnaire-de-mots-de-passe-en-50-lignes-de-html
En pratique, mes mots de passe sont enregistrés dans Firefox Sync, donc la plupart du temps je n'ai pas besoin d'ouvrir mon gestionnaire de mots de passe parce qu'ils sont préremplis par la complétion built-in de Firefox.
Quand je veux mon mot de passe pour un service qui n'est pas sur le Web (ma boîte mail, etc.), j'ouvre mon gestionnaire, je rentre le nom du service et mon mot de passe maître, et ça me donne mon mot de passe. Et quand je veux créer un nouveau mot de passe pour n'importe quoi, je l'ouvre aussi et je laisse Firefox l'enregistrer. Et comme noté sur la page du générateur, ça se fait très facilement en ligne de commande aussi.
Donc pour résumer, l'autoremplissage est fourni par Firefox, la synchronisation aussi (Firefox Sync, qui est associé à ton compte Mozilla), et la sûreté contre une panne des services Mozilla + possibilité de retrouver très facilement un mot de passe sur un autre ordinateur que le sien + possibilité de retrouver un mot de passe en ligne de commande et même sans réseau sont fournies par le générateur ultra-simple.
[^] # Re: J'en ai déjà parlé ici
Posté par bobo38 . Évalué à 3 (+2/-0).
[^] # Re: J'en ai déjà parlé ici
Posté par zurvan . Évalué à 5 (+3/-0).
ce n'est peut-être pas un mal que le mot de passe maître ne soit pas propagé d'un appareil à l'autre et que chacun le gère indépendamment.
De mon côté je fais un peu pareil, tous mes mots de passe sont stockés dans keepassxc, il y a une extension pour l'intégrer au navigateur mais je trouve ça trop compliqué, je fais du copier coller la première fois que je l'utilise, ensuite ça synchronise entre les navigateurs (firefox) et c'est protégé par un mot de passe. De toute façon les accès les plus sensibles sont gérés par 2FA (freeotp+ et keepassxc peut également stocker cela)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: J'en ai déjà parlé ici
Posté par jeanas (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
Pour ma part, je ne stocke mon mot de passe maître que dans ma tête.
[^] # Re: J'en ai déjà parlé ici
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
J’hésite encore à me créer une base keepass supplémentaire pour les OTP
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
# vaultwarden
Posté par trnt . Évalué à 2 (+2/-0).
Bonjour,
J'utilise vaultwarden, une réimplémentation de bitwarden qui me permet de l'autohéberger sur mon serveur linux (et compatible avec le plugin bitwarden), je n'ai pas ce soucis.
# pass via Password Store
Posté par ache (site web personnel) . Évalué à 4 (+4/-0). Dernière modification le 04 avril 2025 à 14:05.
Bonjour,
J'utilise pass avec une Yubikey. Je n'ai pas d'intégration avec Firefox.
passmenu me sert à insérer les mots de passes, via un raccourci clavier.
Je n'utilise pas beaucoup Android, j'ai un téléphone depuis 1ans et je m'en sers peu.
Néanmoins, l'intégration de pass est très simple grâce à OpenKeychain et Password Store. Toujours sans intégration à Firefox par-contre.
À noter que du coup, je n'ai pas passmenu, pour rentrer un mot de passe, je copie le mot de passe depuis Password Store.
Pour configurer pass sur Android.
Grosso modo, je rentre ma clé et lance la recherche depuis OpenKeychain. Ma clé publique est importée car j'ai mis l'URL où la télécharger.
d
1. Dans Password Store, je génère une clé SSH, la protection par mot de passe est disponible, le partage de la clé est proposé et « envoie par e-mail » dans la liste.
2. J'importe la clé sur un VPS.
3. Je reviens à l'accueil, gros bouton « Let's go », ça me demande l'adresse du dépôt git et me propose le clone via SSH (forcément).
Puis, pour déchiffrer un mot de passe. Je clique sur l'un d'eux (deux clics généralement car dans pass on stocke souvent via dossier linuxfr.org/ache par exemple). Openkeychains me demande l'authorisation d'être exécuter, je valide, ça me demande mon PIN Yubikey, puis la validation tactile de la Yubikey (ou juste l'insertion ou via NFC, ça dépends comment tu souhaites là configurer).
Mon mot de passe s'affiche avec un bouton « Copier ».
Non vraiment, c'est pratique. Mais je ne me sers pas assez de mon portable pour avoir une vraie utilité à cette installation.
Pour mes amis et ma famille, je conseil systématiquement l'usage du gestionnaire de mot de passe intégré via un mot de passe principal.
Les plus exigeant sont comblés par la synchronisation via Firefox Sync. Les plus Geek pourront l'auto-héberger.
L'algorithme derrière est AES 256, ce qui n'est pas le plus moderne, mais qui a été éprouvé et toujours considéré sûr.
[^] # Re: pass via Password Store
Posté par François Chaix (site web personnel) . Évalué à 3 (+2/-0).
Je fais ça aussi, mais je viens d'apprendre que PasswordStore n'était plus maintenu, ce qui est embêtant.
Bon, j'espère qu'un fork sera fait par quelques belles âmes d'ici à ce que l'appli ne disparaisse ou devienne vraiment obsolète…
La lumière pense voyager plus vite que quoi que ce soit d'autre, mais c'est faux. Peu importe à quelle vitesse voyage la lumière, l'obscurité arrive toujours la première, et elle l'attend.
# Passbolt ?
Posté par Mathieu . Évalué à 10 (+9/-0).
J'utilise KeePassXC, synchronisé via Syncthing sur LineageOS, et j'en suis très content. Très occasionnellement (au doigt mouillé, 1 à 2 fois par an) il y a un conflit de synchro car il m'arrive de modifier les bases sur plusieurs devices sans vérifier s'ils sont bien à jours de leurs synchro, mais dans ce cas les bases sont renommées, pas écrasées, donc aucune données n'est perdue).
Pour le travail en équipe KeePassXC marche aussi très bien (plusieurs ouvertures parallèles de la même base ne pose pas de problème ; mais j'imagine que ça pourrait arriver si on était des centaines ?).
Mais pour la granularité des permissions d'accès aux credentials, c'est tout ou rien.
C'est pourquoi on envisage de passer à Passbolt. Mais comme on ne l'utilise pas encore en prod, je ne peux pas vraiment donner mon avis.
[^] # Re: Passbolt ?
Posté par zedS . Évalué à 7 (+6/-0).
J'utilise aussi KeePassXC qui fonctionne vraiment très bien.
Pour les permissions, je fais des bases différentes et je les ouvre directement à partir de ma base perso. Soit directement via AutoOpen soit en les ouvrants à la main (un enregistrement qui pointe vers la base et je fais "ouvrir l'url" depuis keepass.
Il suffit de donner aux utilisateurs les pass des bases dont ils ont besoin.
Synchronisé avec Nextcloud ou autre cela fonctionne niquel.
[^] # Re: Passbolt ?
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Pareil ici où j'ai une base perso et une base pro.
J'ajoute qu'il vient avec keepassxc-cli et est bien maintenu.
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: Passbolt ?
Posté par Marotte ⛧ . Évalué à 4 (+1/-0). Dernière modification le 04 avril 2025 à 18:27.
+1 Pour Keepass (comme KeepassXC). Sinon le coffre-fort Firefox, très bien aussi même si c’est bien évidemment réservé aux mots de passe pour le Web et qu’on ne peut pas, à ma connaissance, faire comme dans Keepass en doublant d’une clé le verrouillage du fichier (ie: en plus du mot de passe).
J’étais sûr que quelqu’un aurait à coup sûr déjà cité ce logiciel (libre et multi-plateforme comme tout logiciel digne de ce nom) mais ceci a attiré mon attention dans le journal :
Dans KeepassXC (et possiblement l’autre Keepass) il y a un paramètre de « nombre de cycles de chiffrement ». Si j’ai bien compris c’est le fait de ne pas chiffrer/déchiffrer qu’une seule fois mais X fois, avec X plus ou moins grand.
Plus X est grand et plus cela va prendre du temps pour ouvrir le fichier, comme pour enregistrer une modification. Et c’est précisément le but de la manœuvre, car de fait, ça ralentira d’autant une éventuelle attaque par la force brut d’une personne qui aurait pu obtenir le fichier chiffré et qui voudrait pouvoir l’ouvrir sans posséder le mot de passe.
Je me demande si le coffre-fort de mdp de l’auteur du journal ne ferait pas justement cela, d’où le temps qui est très long.
Ceci étant dit, est-ce un réel problème un temps d’ouverture de quelques secondes pour un logiciel qui (àma) se lance une fois par jour, au moment où on en a besoin, et qu’on ne ferme qu’à la fin de sa session. Tu le fermes et relances à chaque fois toi ?
[^] # Re: Passbolt ?
Posté par Jean-Philippe Garcia Ballester . Évalué à 6 (+4/-0).
J’utilise aussi KeepassXC.
L’avantage pour moi, c’est le support de Secret Service qui me permet de stocker les mots de passe des applications desktop (genre aerc) et le support des clé ssh.
# Keepass
Posté par Calaad . Évalué à 5 (+5/-0).
Bonjour,
Perso, j'utilise Keepass/KeepassDX. Je synchronise le fichier de mdp (kdbx) entre mes différents appareils avec Syncthing.
Après, l'intégration avec Firefox n'est pas parfaite, comme Jeanas, Keepass reste un backup de Firefox Sync que je continue à utiliser au quotidien.
# Mooltipass
Posté par uneTanche . Évalué à 7 (+7/-0).
Pour ma part, cela fait 6 ans que j'utilise un boîtier Mooltipass (open-hardware et opensource).
L'avantage de ce boîtier est qu'il est reconnu comme un clavier et est donc utilisable sur n'importe quel périphérique.
Si en plus, on installe l'extension pour navigateur et le logiciel "compagnon" moolticute, alors l'ensemble permet de:
Dans l'ensemble c'est pratique, il faut simplement penser à prendre son boîtier lors des déplacements …
[^] # Re: Mooltipass
Posté par bubar🦥 . Évalué à 6 (+3/-0). Dernière modification le 04 avril 2025 à 21:14.
Alors ça.. Miam. Élégante solution.
Adopté, malgré l'aes256 seul, malgré le prix de 160€ et malgré son indispo actuelle. J'espère que la liste d'attente ne sera pas un plouf car "Sold out since Feb 08, 2024"
[^] # Re: Mooltipass
Posté par Marotte ⛧ . Évalué à 4 (+1/-0). Dernière modification le 06 avril 2025 à 20:42.
C’est sûrement le top mais que ce passe-t-il si le boîtier est 1. Perdu, ou 2. Détruit ?
J’imagine que le réplicateur universel n’est pas fourni avec, du coup ça se réplique/sauvegarde pas.
Quel est l’avantage de ce truc par rapport à une bête clé USB à 1,60 € avec un fichier chiffré (fichier Keepass ou plus standard (GPG, OpenSSL, …).
la clé USB elle peut être dupliquée. Même si la synchronisation est « à la mimine » et donc faite pas très régulièrement, au moins elle est faisable.
Je pressens n’avoir rien compris à ce qu’est le boîtier dont tu parles parce que je vois pas l’intérêt. Et comme j’ai utilisé tout mon forfait Google pour la semaine je peux même pas chercher moi-même sur le oueb.
[^] # Re: Mooltipass
Posté par uneTanche . Évalué à 3 (+3/-0).
Pour faire une description concise et imprécise du système mais qui permet de comprendre ce qui le différencie d'une solution clés USB:
Dans les faits, le boîtier peut-être détruit, tant qu'on possède la carte à puce ou l'archive alors on peut récupérer ses données.
Pour ma part, une plus-value importante par rapport à une solution "clé USB" c'est l'intégration avec le navigateur et le remplissage automatique des champs de connexion.
[^] # Re: Mooltipass
Posté par Marotte ⛧ . Évalué à 3 (+0/-0).
OK, merci pour ces explications.
# Firefox
Posté par lerat91 . Évalué à 6 (+5/-0).
Je n'ai jamais pris la peine de m'y pencher sérieusement… J'utilise donc le gestionnaire fournit par Firefox, et ça juste marche.
[^] # Re: Firefox
Posté par Marotte ⛧ . Évalué à 3 (+0/-0). Dernière modification le 06 avril 2025 à 20:48.
Anéfé. Mais on peut avoir besoin de stocker des mots de passe qui ne sont pas lié au Web, SSH par exemple. Ou vouloir utiliser ces mots de passe dans un terminal ou un autre programme.
Si pour le second cas le coffre-fort FF peut faire l’affaire, pour le premier cas ça me semble plutôt compliqué, infaisable sans recours à une méthode tordue. Non ?
# Nextcloud passwords
Posté par lann . Évalué à 1 (+1/-0).
J'utilise dans Nextcloud, l'application passwords.
ça permet de les synchroniser sur le téléphone avec l'application Nextcloud Passwords
[^] # Re: Nextcloud passwords
Posté par orfenor . Évalué à 2 (+0/-0).
Pareil (en complément de Firefox sync) pour des mots de passe liés a notre activité pro ou pour des mots de passe non liés au web, même si c'est moins pratique.
# extensions
Posté par Psychofox (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 05 avril 2025 à 00:33.
Les extensions d'autocompletion, c'est ergonomique, mais question sécurité ce n'est pas forcément la panacée.
Je préfère faire manuellement mon copier/coller depuis mon gestionnaire de mot de passe même si c'est plus long en vidant le presse-papier juste après.
[^] # Re: extensions
Posté par zurvan . Évalué à 7 (+5/-0).
tu le sais peut-être, mais keepassxc permet justement de définir une durée après laquelle le presse papier sera vidé lorsque tu copies un mot de passe depuis son interface…
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: extensions
Posté par coquecignux . Évalué à 1 (+0/-0).
Bonjour,
j'ai gardé 30 secondes, sur mon propre PC. Jusqu'à présent aucun intrus n'est entré chez moi sans permission.
Sur un portable, ce serait 10 secondes maxi.
[^] # Re: extensions
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 9 (+8/-0).
Au contraire, le remplissage automatique apporte un peu plus de sécurité : quand il ne se fait pas automatiquement, c'est un signe que quelque chose cloche. Deux exemples :
[^] # Re: extensions
Posté par cg . Évalué à 7 (+5/-0).
On peut faire des versions identiques de l'affichage, au pixel près, de deux URLs différentes. Il y a cet exemple avec apple.com, dans lequel le
l
était en fait un caractère cyrillique identique aul
minuscule. Même en zoomant tu ne peux pas le voir. Il faut regarder l'URL non encodée. Au quotidien, on ne le fait pas trop.Et donc pour ce genre de cas, le remplissage automatique est comme tu le dis un moyen très efficace de ne pas se tromper. Et même, je dois dire que j'ai pris l'habitude de passer par les liens stockés dans Bitwarden au lieu de taper les noms des sites. Ainsi, je me met en plus à l'abri d'une faute de frappe ou d'un moteur de recherche qui renvoie le mauvais site en premier.
[^] # Re: extensions
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 1 (+0/-0).
Très bon à savoir merci. Je savais que ce type de piège à base d'URL ressemblante existait, mais je ne savais pas qu'on pouvait rendre l'URL identique au pixel près malgré différents caractères.
# Bitwarden extension
Posté par Yax (Mastodon) . Évalué à 1 (+1/-0).
J'utilise et recommande Bitwarden depuis quelques années : l'appli Android et l'extension Firefox. Je suis confiant dans la solution mais les changements récents de l’extension m'inquiètent un peu ; à trop bloater il ne faudrait pas introduire une faille de sécurité.
# Enpass
Posté par bibifric05 . Évalué à 1 (+1/-1). Dernière modification le 05 avril 2025 à 11:56.
Personnellement, j'utilise Enpass depuis plusieurs années et j'en suis plutôt content. Il remplit automatiquement les infos de carte bleue sous Firefox (et Chrome sans doute)…
Multi plateforme, pas libre, mais gratuit pour un usage personnel…
# KeePassXC local
Posté par coquecignux . Évalué à 4 (+3/-0).
Bonjour,
j'utilise KeePassXC en mode local sur le PC, KeePassDX sur l'ordiphone. Les deux sont gérés indépendamment, rien ne transite sur un serveur quelconque.
La seule saisie auto que je pratique c'est login+mot de passe, jamais pour les formulaires.
La phrase de décodage de la base est gravée dans mon cerveau, le double est stocké dans le cerveau d'une personne de confiance -d'une redoutable mémoire.
# Extension Bitwarden
Posté par Christophe . Évalué à 6 (+4/-0).
As-tu remarqué qu'il existe une option, un peu cachée, pour revenir partiellement au comportement d'avant ?
Paramètres > Saisie automatique > Click items to autofill
Je suis d'accord que globalement, la nouvelle version de l'UI de l'extension est une régression ergonomique.
[^] # Re: Extension Bitwarden
Posté par ploum (site web personnel, Mastodon) . Évalué à 2 (+0/-0).
Merci, je ne savais pas du tout !
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Extension Bitwarden
Posté par \o/ . Évalué à 1 (+0/-0). Dernière modification le 09 avril 2025 à 20:30.
Ah oui c'est cool :)
# C'est...c'est ... c'est la mémoire !
Posté par tkr . Évalué à 0 (+0/-2).
Personnellement je n'ai toujours pas pris le virage "obligatoire" de la tendance des gestionnaires de MDP.
Je me débrouille pour entretenir ma mémoire, en y incluant des chiffres, maj/min, et autres caractères spéciaux, avec quelques petites astuces pour ne pas à les apprendre par coeur, mais pour m'en souvenir facilement.
Je pense être coupable de délit de non utilisation de gestionnaire de mdp, pour une vingtaine de mdp différents : parfois j'en oublie, et je fais une réinitialisation par email.
[^] # Re: C'est...c'est ... c'est la mémoire !
Posté par ploum (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Je faisais cela "avant", avec un petit algorithme basé sur le nom de domaine.
Mais le nombre de mes mots de passe qui sont désormais dans la nature grâce aux failles de sécurité m’a fait dire qu’il serait désormais possible de reconstruire mon algorithme pour un attaquant motivé.
Pire: mon algo donnait parfois des mots de passe similaires pour des URL différentes et certains sites importants pour moi se sont retrouvés avec des mots de passe apparaissant dans des bases de données piratées car utilisés sur d’autres sites. Ce qui signifiait qu’un attaquant lambda avait une chance non-négligeable de réussir à pirater certains de mes comptes rien qu’en utilisant le login/pass d’un vieux compte parti dans la nature.
Désormais, j’utilise une adresse email et un mot de passe propre à chaque service (merci SimpleLogin). C’est plus sécurisé mais pas compatible avec ma cervelle de moineau ;-)
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: C'est...c'est ... c'est la mémoire !
Posté par Psychofox (Mastodon) . Évalué à 4 (+1/-0).
oui c'est ce que je faisais il y a 25 ans. Maintenant honnêtement je préfère du complètement aléatoire.
Je préfère entrainer/maintenir ma mémoire en mémorisant les téléphones de mes proches et en tappant dans la mesure du possible les url de mémoire plutôt que d'utiliser les moteurs de recherches.
[^] # Re: C'est...c'est ... c'est la mémoire !
Posté par chimrod (site web personnel) . Évalué à 3 (+1/-0).
Pour l’adresse mail, tu peux te faire une adresse par année plutôt que par service. C’est plus simple à gérer (ça demande moins d’adresses courriels), et tous les ans il suffit de supprimer l’alias de la plus ancienne pour couper en une fois tous les comptes qui auraient pu être créé cette année là (c’est aussi l’occasion de se poser la question des comptes que l’on veut conserver juste avant, je pense que cet aspect là devrait te plaire !).
[^] # Re: C'est...c'est ... c'est la mémoire !
Posté par ploum (site web personnel, Mastodon) . Évalué à 3 (+1/-0).
Non, cela ne fonctionne pas : une adresse par provider permet d’identifier la source de spam et de la couper immédiatement. Typiquement, les adresses pour réserver les hôtels, les restaurants, les musées. Dès que j’en sors, je la bloque parce que la plupart te relancent ensuite toutes les semaines.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: C'est...c'est ... c'est la mémoire !
Posté par barmic 🦦 . Évalué à 2 (+0/-0). Dernière modification le 09 avril 2025 à 22:32.
J'utilise régulièrement une trentaine de mots de passe et irrégulièrement faut ajouter plusieurs dizaines (ceux de la fac ou je donne cours une fois par an, mon assurance habitation, les impôts, etc). Faire du double OTP (le mail et un autre protocole OTP) reviens à n'avoir qu'un seul facteur et surtout ça rallonge inutilement les processus d'authentification.
Et surtout, pour mémoriser même 10 mots de passe tu va très probablement limiter leur taille et l'ensemble des caractères que tu utilises.
Tout ça pour ne pas vouloir utiliser un outil dont il en existe des dizaines il y en a forcément un qui correspond à tous tes critères si on ommet "je veux pas". Et à toi les mots de passe de 20 caractères minimum avec des alphabets vénèrent.
Le retour sur investissement est nécessairement positif. Tu économise ta flemme en ne procrastinant pas ça. Ce serait comme dire que j'ai la flemme d'utiliser un anti vol alors qu'il me suffit de garder mon vélo sous mes yeux.
C'est un conseil, tu fais bien ce que tu veux, mais je ne peux que te conseiller d'en utiliser un
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.