Journal KeePassXC-Browser et gestion des mots de passe

24
6
mar.
2018

Bonsoir,

J'ai une approche très conservative (voire vieillotte) pour gérer mes mots de passe: je place tout dans un fichier texte chiffré.

Je suis séduit par l'idée d'avoir une intégration avec le navigateur, mais jusqu'ici j'étais un peu inquiet (peut-être à tort ?) qu'une faille dans le navigateur puisse facilement donner accès à tous mes mots de passe.

Je viens de voir passer la sortie de KeePassXC-Browser qui apparemment est une extension de navigateur avec une communication sécurisée avec le gestionnaire de mot de passe KeePassXC.

J'avoue ne pas trop saisir les implications au niveau sécurité:
- Implement Native Messaging for browser extensions
- Add (secure) support for browser integration

Est-ce qu'il y aurait des gens un peu pointus au niveau sécurité qui pourraient donner leur avis sur cette extension ?

Accessoirement tout cela est bien entendu libre, donc cela pourrait intéresser du monde par ici.

  • # juste

    Posté par  . Évalué à -4.

    merci

  • # Pass

    Posté par  (site web personnel) . Évalué à 1. Dernière modification le 07 mars 2018 à 08:49.

    J'utilise pass : c'est un outil en ligne de commande, qui utilise gpg pour le chiffrement (open source GPLv2+).

    Il suffit de faire pass -c linuxfr.org/pass (qui demande la passphrase de la clé gpg si nécessaire) pour avoir le mot de passe dans le presse-papier !

    L'outil est aussi capable de générer des clés aléatoires.

    Bref, c'est probablement similaire à "je place tout dans un fichier texte chiffré", mais beaucoup plus facile à utiliser :-)

    • [^] # Re: Pass

      Posté par  . Évalué à 4.

      En fait pass (password-store) répond précisément au souhait de réutiliser l'outillage existant (dont GnuPG). La nuance par rapport à chiffrer soi-même est qu'avec pass, il convient d'isoler chaque mot de passe dans un fichier séparé.

      Reste que l'intégration avec le système est à faire soi-même.
      L'extension firefox Passff me plaît bof, (forcément) c'est moins bien intégré que le gestionnaire de mots de passe de Firefox.
      Quant à l'intégrer via dmenu, il faut là aussi trouver un truc pour récupérer le login en sus du mot de passe, et j'hésite à peaufiner ça avec xdotool.
      Ce n'est pas trop dans la philosophie de firefox d'être scriptable donc on ne peut pas vraiment lui demander d'être complice et de faciliter la chose.

      Sauf si vous avez des tuyaux ;)

  • # Keepass vs KeepassX vs KeepassXC

    Posté par  . Évalué à 10. Dernière modification le 07 mars 2018 à 09:35.

    Si je résume :
    Keepass utilise .NET
    KeepassX est plus multi-plateforme (ne nécessite pas mono sous Linux)
    KeepassXC est un fork dû au manque/absence de réaction du mainteneur de KeepassX

  • # Vanilla KeepassX

    Posté par  . Évalué à 5.

    KeepassX (et j'imagine KeepassXC) ont aussi un raccourci qui va diminuer la fenêtre de KeepassX et taper de login / mot de passe dans la fenêtre qui prend alors le focus (menu Entrées:Effectuer un remplissage automatique ou ctrl+V).

    Ça évite de passer par le presse papier et c'est configurable (on peut dire la séquence de touches entre login et mot de passe et autour, librement). Quand on ouvre un mot de passe c'est dans "Remplissage automatique" et on peut le configurer par groupe (si on a un groupe des site web par exemple, ou en général c'est <login> TAB <mot de passe>.

    J'ai tout de même du mal à le faire fonctionner avec le terminal (genre pour taper le mot de passe sudo).

  • # Cependant...

    Posté par  . Évalué à 1.

    En gardant à l'esprit que aujourd'hui des sites créé de faux formulaires pour tenter de récupérer les mots de passe automatiquement remplis par les extensions et/ou gestionnaire de mot de passe
    https://www.nextinpact.com/news/105901-des-scripts-trompent-navigateurs-pour-recuperer-donnees-francais-adthink-nous-repond.htm
    Je ne retrouve plus le lien d'un POC ou effectivement, cela fait peur, le site forge un formulaire que le gestionnaire de mot de passe rempli automatiquement, le tout caché de l'utilisateur.

    Enfin les gestionnaires de mot de passe offline c'est quand même sacrément pratique, les néophytes autour de moi comprennent le principe et l'adoptent assez facilement, une fois la pédagogie faite.

  • # alternatives...

    Posté par  (site web personnel) . Évalué à 0.

    J'utilise pour mes besoins pro/personnel : keepass2 (.net)

    Comme j'ai un vieux mac book je me suis penché sur des alternatives car je ne suis pas arrivé à faire tourner keepass2 (avec Mono ou crossover) :
    - j'ai utilisé keepassX, mais PB de compatibilité avec la bdd de keepass (il me semble que ce n'est plus le cas).
    - keeweb en version webapp. Mais possibilité de l'utiliser en ligne
    - keepass2 for android.

    En plus des mots de passe j'utilise un fichier clé que je stocke sur un drive donc j'aime bien la possibilité de keeweb d'aller le chercher directement.
    keepass2/firefox ont des extensions pour des échanges via clic-droit, mais je suis satisfait de l'auto-type avec ctrl+V.

    J'ai bien essayé d'initier ma compagne à leur utilisation mais sa réaction c'est : "ppfffff … un mot de passe pour gérer des mots de passe… pffff".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.