Nal', je dois t'avouer quelque chose.
Il y a bien des années, j'utilisais Chromium avec la synchro sur le nuage de Google. Pas totalement fou, j'utilisais le chiffrement des mots de passe annoncé comme était fait localement, avec un mot de passe maître. L'interface web du panneau de contrôle Google m'indique bien que la synchro Chrome est activée aussi pour les mots de passe, mais qu'ils ne sont pas affichables car chiffrés.
Le temps passe, et je repasse sous Firefox. Bla bla bla, je fais un setup similaire avec un mot de passe maître et tutti quanti et ça marche très bien©.
Pourtant, quelque chose m'a fait tiquer récemment (et ça aurait dû bien avant!): lors de la mise en place d'une synchronisation sur une autre machine/smartphone/profil, il synchronise tout mon bazar et est directement utilisable. Là ou le bât blesse, c'est que dans [about:preferences#security], j'ai tout mes logins et passwords d'affichés joyeusement, sans demander mon mot de passe maître.
Les deux solutions que je vois sont :
- Firefox peut déchiffrer les mots de passes chiffrés avec un mot de passe maître, ce qui serait surprenant. (J'ai lu il y a longtemps que Mozilla a bricolé ce système dans son coin et n'est pas audité, mais que c'est néanmoins suffisamment bien fait pour ne pas être troué à priori)
- Firefox Sync, qui demande le mot de passe maître avant de pouvoir synchroniser, déchiffre joyeusement tout avant de balancer tout ça en ligne. Et c'est le plus vraisemblable.
Donc si de vilaines personnes mal intentionnées veulent une (très) belle base de données à siphonner, le jeu en vaut sûrement la chandelle du côté de Mozilla d'autant plus qu'ils n'ont probablement pas les mêmes moyens de sécurisation qu'à Google.
En attendant, vous me conseillez de remplacer le gestionnaire de mots de passe de Firefox par quoi ? Il me faut une synchro entre des Firefox Linux/Windows/macOS/Android.
NdM.: voir le fil de discussion aboutissant à ce commentaire rectificatif
# alternatives
Posté par Psychofox (Mastodon) . Évalué à 3.
J'utilises pour l'instant du keepass synchronisé avec syncthing. C'est à configurer mais ça marche.
C'est possible à faire de pleins d'autres façons.
Il y'a aussi les passwords manager dans le cloud si tu leurs fais confiance
Une alternative, c'est de ne pas stocker les mots de passe mais de les générer en fonction d'un algo, c'est ce que propose masterpassword. J'ai pas encore étudié la question profondément, s'il est possible de récupérer l'algo de génération et donc d'autres mot de passes une fois que tu en connais déjà 1 ou 2 etc, mais ça semble intéressant sur le papier.
[^] # Alternatives algorithmiques
Posté par Hobgoblins Master (Mastodon) . Évalué à 8.
Un des gros problèmes à l’usage des solutions de génération de mots de passes, c’est la rotation…
Quand ton mot de passe « maître » sert de graine pour la fonction de génération, si tu veux le changer, il faut aller mettre à jour le mot de passe partout. Si un service te demande une modification du mot de passe (temporelle ou à la suite d’une suspicion de compromission), tu es obligé de rajouter un sel particulier pour ce service, ce qui fait que tu finis par devoir retenir autant de sels que de mots de passes…
Ensuite, il y a un énorme problème de sécurité, à la simple condition de connaître l’algorithme que tu utilise, il suffit de récupérer un seul de tes mots de passes pour pouvoir attaque par force brute, tranquillement et hors ligne ton mot de passe maître et par là risquer de compromettre l’ensemble de tes mots de passes. C’est ce qui m’a convaincu d’abandonner ces solutions et de m’en remettre à une bonne vielle base Keepass.
[^] # Re: Alternatives algorithmiques
Posté par Psychofox (Mastodon) . Évalué à 2.
J'avais pensé à ton deuxième point (raison pour laquelle je n'ai pas fais de switch depuis keepass), mais pas à la première. C'est effectivement très limitant.
[^] # Re: Alternatives algorithmiques
Posté par Bruce Le Nain (site web personnel) . Évalué à 2.
Ceci est un élément traité dans le site, et il explique que l'approche doit être différente. En effet, tu dois choisir un mot de passe complexe et que tu sois sûr de retenir pour éviter d'avoir à le régénérer. Et surtout personne ne doit le connaître, jamais. L'auteur définit pourquoi ce problème est en fait aussi un avantage - changing your master password: c'est toi qui a le contrôle sur le point faible.
=================
Pas pour cette appli, voir The name of the site:
il y a un système de compteur incrémental que tu peux utiliser chaque fois que tu as besoin de changer ton mdp.
==============
C'est traité à plusieurs endroits, notamment sur la partie sécurité
Et dans la FAQ
En gros il faudrait 27000 ans pour trouver "I once had a red ball" en connaissant la stratégie de génération.
==================
Qui a d'autre problèmes, évoqués par l'auteur I use this other password manager, and it's awesome
Password Vaults: 1Password, Mac OS X Keychain, KeePass, …
[^] # Re: alternatives
Posté par Vincent Bernat (site web personnel) . Évalué à 2.
Les problèmes avec générer les mots de passe depuis un algo, c'est :
[^] # Re: alternatives
Posté par Bruce Le Nain (site web personnel) . Évalué à 2.
1) Tu peux générer plusieurs types de mots de passe (du code pin à la phrase de type "correct horse battery staple")
2) Si tu parles des mots de passe de sites, tu peux les changer via un compteur (j'ai donné le lien dans un commentaire plus haut)
3) Retenir son nom et une phrase de trois à six mots, ça va en général.
J'utilise cette application, ça nécessite une certaine rigueur, mais je trouve vraiment cette solution très pratique.
[^] # Re: alternatives
Posté par Quinane . Évalué à 2.
Syncthing + Keepass(X).
Dropbox/Box/xxx Drive + Cryptomator + Keepass(X).
Passbolt pour une équipe.
# Investigue !
Posté par Axioplase ıɥs∀ (site web personnel) . Évalué à -6.
Ben, t'as le code source, non ? Fais-nous une analyse, ou bien contacte les gens qui ont codé le truc !
[^] # Re: Investigue !
Posté par gnumdk (site web personnel) . Évalué à 4.
Perso, j'ai un peu commencer à travailler sur la partie chiffrement (aidé par Ryan Kelly de chez Mozilla).
Si ton mot de passe est chiffré et Mozilla n'a aucun moyen de le connaitre. Je viens de faire le test ici, il me demande bien mon "Mot de passe principal", tu es sur que l'option est active chez toi?
https://github.com/mozilla-services/syncclient/issues/30
[^] # Re: Investigue !
Posté par Xinfe (site web personnel) . Évalué à 2.
À chaque démarrage de mon Firefox, il me demande bien mon mot de passe principal.
Par contre, il ne le fait pas quand je configure Firefox Sync sur un nouveau profil vierge. Ils ont changé quelque chose qui fait que le comportement a changé, et je suis resté sur une solution non chiffrée ?
[^] # Re: Investigue !
Posté par Xinfe (site web personnel) . Évalué à 4.
Mon investigation a montré que tous les mots de passe sont accessibles dans un nouveau profil vierge, dans lequel je n'ai jamais tapé le mot de passe maître. Que les mots de passe soient envoyés en clair ou le chiffrement est cassé en local par Firefox sont deux solution non satisfaisantes (et la 2nde n'est pas vraisemblable).
[^] # Re: Investigue !
Posté par Graveen . Évalué à 5. Dernière modification le 28 février 2017 à 22:34.
De mon côté, j'ai toujours cru que la clé de chiffrement était le mot du passe du compte sync.
Et que le mot de passe maître n'était utile que pour protéger le cache local de mot de passe lors de sa visualisation (ou l'utilisation, mais vraiment au niveau de l'instance locale de FF).
# Renseignes toi…
Posté par Hobgoblins Master (Mastodon) . Évalué à 10.
Concernant la synchro des mots de passe en multi-os, j’ai tout passé sous Keepass 2 (pas keepassx). Pour le moment, je fais mes synchro avec Syncthing, mais keepass2android et keepass2 disposent de suffisamment de solution de stockage « cloud » pour que tu trouves ton bonheur (webdav, FTP, et la plupart des clouds de stockage des GAFAM et autres). Avec le plugin KeeFox pour Firefox et chromeIPass pour les navigateurs Google ; si tu tiens à IE, il y a toujours le mode « saisie automatique »…
[^] # Re: Renseignes toi…
Posté par Xinfe (site web personnel) . Évalué à 3.
C'est bien ce que j’espérais. Dans ce cas, pourquoi une nouvelle synchro sur un profil vierge me permet d'afficher tous les mots de passe en clair sans saisie du mot de passe maître ? C'est bien que ça a été déchiffré à un moment (très probablement avant l'envoi chez Mozilla).
Et pour ce qui est de l'alternative, Keepass branché sur own/nextCloud semble le plus adapté.
[^] # Re: Renseignes toi…
Posté par gnumdk (site web personnel) . Évalué à 5.
Non, le mot de passe maitre ne sert pas au chiffrement si tu utilise sync, juste à te donner l'accès aux mots de passe.
[^] # Re: Renseignes toi…
Posté par Psychofox (Mastodon) . Évalué à 3.
Dans ce cas-là quelle est la clé de chiffrement ?
[^] # Re: Renseignes toi…
Posté par gUI (Mastodon) . Évalué à 6.
Le mot de passe de synchro. Celui du login/password.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Renseignes toi…
Posté par Xinfe (site web personnel) . Évalué à 10.
Donc si je comprends bien, on a ce scénario :
Si c'est le cas, mea cuelpa, j'ai lancé le blâme trop vite. Peut être éditer le journal pour mettre un lien dans ce thread serait de bon augure ?
[^] # Re: Renseignes toi…
Posté par Benoît Sibaud (site web personnel) . Évalué à 4.
Précision ajoutée dans le journal, merci.
[^] # Re: Renseignes toi…
Posté par Hobgoblins Master (Mastodon) . Évalué à 10.
Le mot de passe maître sert à chiffrer les mots de passes dans la base de donnée locale stockée dans ton profil. À l’ouverture de Firefox, il te le demande et peut ainsi accéder à tous tes mots de passes.
Le mot de passe de synchro (compte Firefox) sert à chiffrer toutes les données synchronisées entre des différents profils (en transit et sur les serveurs de Mozilla).
Le mot de passe de synchro (enfin les clés qui en dérivent) est stocké en local dans la même base que les autres et donc protégé par le mot de passe maître si activé.
Il est donc préférable de définir un mot de passe maître (qui peut être différent sur chaque machine) AVANT de se connecter au compte Firefox et d’initier la synchronisation afin d’éviter tout stockage en clair des mots de passes sur le disque.
Il est aussi tout à fait envisageable de décocher la synchronisation des mots de passes dans les paramètres de synchro…
[^] # Re: Renseignes toi…
Posté par solsTiCe (site web personnel) . Évalué à 2.
pourquoi éviter keepassx ? tu utilises wine pour lancer keepass2 ??
il y a d'autre aternative native que keepassx comme keepassxc
[^] # Re: Renseignes toi…
Posté par Hobgoblins Master (Mastodon) . Évalué à 4.
KeepassX a mis très longtemps à supporter le nouveau format de bases de données de Keepass2, il est toujours relativement à la traîne niveau fonctionnalités de chiffrement des bases. Il ne dispose également pas des plugins – KeepassHttp et KeepassRPC pour KeeFox, PassIFox et ChromeIPass ; les plugins de stockage de la base dans le Cloud… De mémoire, il ne sais toujours pas faire de fusion / synchronisation lorsqu’une même base est ouverte par plusieurs utilisateurs.
Keepass2 ne nécessite pas Wine, il tourne nativement sous Mono (mais certains plugins peuvent ne pas fonctionner comme certains d’import export qui utilisent un exe ou Dll natif Windows) avec une intégration correcte (mon seul problème étant sa gestion de l’icône dans la zone de notification qui est un carré noir sous Gnome et trop grosse et moche sous KDE). Il est très bien empaqueté sous Debian et plein d’autres (par contre, il faut trouver les dépendances Mono à la main pour les plugins additionnels).
Sous Android, il vaut mieux également utiliser Keepass2Android beaucoup plus riche et avec des fonctionnalités intéressantes – déverrouillage par empreintes digitales, clavier 2 touches (login, password), reconnaissance des applications et des sites web (en passant par la fonctionnalité de partage du navigateur). Il existe en 2 versions (avec ou sans les fonctionnalités Cloud).
[^] # Re: Renseignes toi…
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 2.
C'est pour ça qu'il y a un fork de KeepassX, appelé KeepassXC: https://keepassxc.org/
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Renseignes toi…
Posté par Psychofox (Mastodon) . Évalué à 2.
keeweb également qui contrairement à ce que ce nom indique n'est pas que une appli web (framework electron oblige).
# passprotect
Posté par phoenix (site web personnel) . Évalué à 2.
Utilise un gestionnaire de mot de passe comme https://passprotect.shadoware.org les mots de passes y sont chiffrés avec la clé maitre, et aucun moyen pour le serveur de les connaitre.
De plus tu peux te faire ton propre serveur c'est un logiciel libre : https://github.com/phoenix741/passprotect-server
Bon bien sur je prêche ma paroisse.
# Password store
Posté par Storm . Évalué à 8. Dernière modification le 28 février 2017 à 18:34.
On m'a fait découvrir pass : basé sur des outils classiques Linux : fichier,
tree,gpgetgit.Ça se synchronise parfaitement (git !), il existe des clients et extensions pour différentes plateformes et navigateurs (android, mac, …), c'est simple et pratique à utiliser.
Que du bonheur !
[^] # Re: Password store
Posté par fridim . Évalué à 4.
pass qui laisse en clair la liste des sites et autre accès, un peu dommage. Ex:
se traduit par :
[^] # Re: Password store
Posté par Storm . Évalué à 2.
En effet, c'est un sujet à de nombreuses discussions sur la ML. Mais comme on choisit nous même la façon d'organiser notre répertoire (pass n'impose aucune formalisation, et se contente juste de stocker des données en les chiffrant avec GPG dans une architecture un peu plus organisée qu'un dossier en vrac), on peut à sa guise choisir de ne pas avoir de dernier niveau, le nommer différemment, etc.
# Différences ?
Posté par Chuck #1 . Évalué à 0.
La seule différence entre Firefox et Chromium, c'est que pour afficher les mots de passe en clair à l'écran, Chromium te demande un mot de passe maître (sur Windows, c'est le mot de passe du compte). Aucun des deux ne te demande le mot de passe maître à chaque fois qu'il remplit automatiquement un formulaire de login. Et dans les deux cas, les mots de passe sont stockés sur un serveur après avoir été chiffrés localement.
Donc le seul risque supplémentaire avec Firefox, c'est si tu laisses quelqu'un accéder à ta session sur ton ordinateur. Tu peux créer une session invité pour ce cas de figure si ton système ne la propose pas déjà. Personnellement, je ne laisse utiliser ma session qu'à des personnes en qui j'ai confiance.
Cette signature est publiée sous licence WTFPL
[^] # Re: Différences ?
Posté par gUI (Mastodon) . Évalué à 8. Dernière modification le 01 mars 2017 à 08:04.
Tu peux également mettre un mot de passe maître sous Firefox :
about:preferences#security => "use a master password"
Le truc c'est que ce master password n'est pas synchronisé par Sync. Donc tu peux avoir des postes avec, et des postes sans. C'est ce qui a mis la confusion pour l'auteur de ce journal, qui a cru que les mots de passe n'étaient pas chiffrés.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# Alternative
Posté par TeChn4K . Évalué à 1.
https://keeweb.info/ + https://syncthing.net/ :)
# Zero Knowledge is Alive
Posté par Crazy Diver . Évalué à 0.
Merci pour ce journal, et les commentaires associés.
J'étais persuadé que Mozilla en abandonnant le précédent serveur sync avait supprimé le "zero knowledge", mais il est juste affaibli.
Par contre, comment est prise en charge le changement de mot de passe ? (clé dérivé ? rechiffrement de toutes les données ?)
Si quelqu'un à des infos, je suis preneur !
PS: Oui je ne suis pas fan de Mozilla, j'aimais le précédent serveur sync avec LDAP et Postgres.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.