Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/02/2015, à 21:24

Foromus

[Abandon] A propos de KeePassX

Bonjour,

Intéressé, j'ai installé via la logithèque...
En faisant une recherche sur le site, j'ai eu comme l'impression que pas mal de gens ne trouvaient pas le truc super, et qu'il y avait des déficiences.
Ensuite, et après installation, je n'ai aucune idée comment l'utiliser ! Où trouver un tuto, même minimum ?
En complément, quels sont les risques ? J'entends par là le fait que si je mets tous mes mots de pass dans le truc et que ça coince, comment je fais pour m'en sortir ?
Pour l'heure, j'ai une configuration banale à souhaits : Firefox contient mes identifiants habituels, même chose pour Thunderbid. Enfin, pas tout à fait,pour certains sites, comme une banque par exemple, rien n'est sauvegardé, il faut rester prudent.
Après, pour le pass de lancement de xfce, je le donne au démarrage, de même que les pass du navigateur et du client messagerie, à leur ouverture.
Bien, j'espère trouver ici avis et conseils éclairés !
Merci de votre aide !

Dernière modification par Foromus (Le 03/03/2015, à 08:38)

#2 Le 26/02/2015, à 20:31

Calvin44

Re : [Abandon] A propos de KeePassX

Salut !

Concernant Keepass2 tu peux l'installer via le site
http://keepass.info/download.html
(pas par la logithèque, car c'est une ancienne version) la version actuelle est 2.28.
Voir aussi
http://doc.ubuntu-fr.org/keepassx


- Pour l'utiliser avec Firefox : tu peux installer le plugin Keefox. L'aide pour l'installation/utilisation est ici : http://keefox.org/help

- Pour l'utiliser avec Thunderbird : Keefox fait déjà tout le travail, également pour Thunderbird.
Une fois Keefox fonctionnel, il faut créer une entrée dans Keepass avec :
Username : ton adresse mail
Password : celui de ta boite mail
URL : la page d'accès à ta boite mail.
Dans cette même entrée, il y a un onglet Keefox, puis un sous-onglet URLs.
Dedans tu ajoutes les serveurs de connexions à ta boite mail (comme ils sont configurés dans thunderbird) : ex:  imap.blabla.org et stmp.blabla.org


Une fois tout bien configuré, je le trouve plutôt pratique.
tu allumes ton ordi, Keepass s'ouvre, tu entres ton méga mot de passe super dur à craquer et voilà, tu peux utiliser Firefox et Thunderbird sans avoir à entrer quelconque mot de passe (sauf des nouveaux bien sûr smile ).

Pour Firefox : lorsque tu saisis tes identifiants/mots de passe sur une page, Keefox te propose de les sauvegarder dans sa base de données (qui elle est protégée).
Quand tu retournera sur cette même page pour te connecter à nouveau, suivant les options que tu auras choisi, les identifiant /mot de passe seront déjà saisis et tu n'auras plus qu'à cliquer (tout comme avant, quand ton navigateur retenait ces infos).
Pour Thunderbird : il te demandera à chaque démarrage de valider les mots de passes (qui seront aussi saisis automatiquement).

Là où ça peut être pénible, c'est lorsque qu'il n'y a pas de plugins d'intégration de Keepass dans un logiciel.
Dans ce genre de cas, il te faudra aller dans Keepass copier le mot de passe qui t'intéresse puis le coller là où il faut, ça peut être pénible à force.

Voilà j'espère que ça t'aide.

Hors ligne

#3 Le 26/02/2015, à 22:09

Foromus

Re : [Abandon] A propos de KeePassX

Bonjour,

Merci pour ces réponses.
Je vais aller voir les liens avant de faire autre chose.
Si je comprends bien, et concernant Thunderbird, il faut que je refasse pratiquement toute  la programmation. J'ai plusieurs boîtes mails (suivant type de courrier), j'avoue que je ne saurais pas trop mettre d'url pour certaines... Mais ça doit se trouver.
Actuellement, je marche avec un mot de pass au démarrage, tant pour Firefox que pour Thunderbird. Ça marche plutôt bien mais je suppose que la protection ne doit pas être terrible, je ne sais pas comment les données sont protégées (ou chiffrées), mais je sais que si je veux voir mes mots de pass, il faut que je rentre une seconde fois mon pass. Après, si l'encryptage est minimum, il est assez superflu de s'embarquer dans un pass de 14 ou 15 caractères quand même assez difficile à retenir.
Après, je suis seul à utiliser ma machine, reste un "intrus" externe, et encore, je n'utilise pas la messagerie pour des communications vraiment secrètes, et mes sites dits "sensibles" (banques, etc), là, je n'enregistre jamais les pass, je les entre (de mémoire) à chaque fois.
Bien, je vais étudier la chose !

Merci beaucoup !

#4 Le 26/02/2015, à 23:14

lool_lauris

Re : [Abandon] A propos de KeePassX

Salut,

Personnellement, j'utilise KeepassX depuis de nombreuses années et jamais eu de problème.


Foromus a écrit :

En complément, quels sont les risques ? J'entends par là le fait que si je mets tous mes mots de pass dans le truc et que ça coince, comment je fais pour m'en sortir ?

En fait, tous tes identifiants et mdp (et tout ce que tu veux en fait, tes adresses ip, mac, le code d'accès de ton digicode, l'endroit où tu as caché ta collection de oui-oui, ...) est stocké dans un fichier indépendant du logiciel. Et ce fichier peut-être ouvert avec d'autres appli comme keepass (qui est différent de keepassX bien qu'assez proche dans son utilisation et son interface),  ce qui est plutôt sécurisant pour pérenniser tes données.

Ensuite, comme pour toutes données personnelles, sensibles ou pas, il faut faire des sauvegardes.

Quant aux tuto, si tu cherches sur internet, tu verras qu'il y en a pas mal !

Un énorme avantage est justement le portage multiple de ces appli : KeepassX sous Linux, Keepas sous windows.
Tu peux ainsi avoir un keepass portable sur une clé usb (je ne souhaite pas avoir ceci sur un cloud dont tu ne sauras jamais ce que ça peut devenir) et ainsi transporter avec toi tous tes mdp et les lire sur n'importe quelle machine.

En fait, tu n'as qu'un mot de passe à retenir, celui qui te permet d'ouvrir ta database (le fichier qui contient toutes tes données secrètes). Et là, il est plutôt préférable d'avoir un mdp fort (mais il y a des moyens pour retenir un mdp de + de 15 caractères composé de suite apparemment sans logique - surtout pas de mots existants, même compliqués).
Ensuite, tu pourras te "lâcher" pour créer (ou bien les faire générer par l'appli) des mdp impossibles à retenir et, surtout, tous différents.


Soutenez le Libre => http://www.april.org/

Hors ligne

#5 Le 27/02/2015, à 17:44

Foromus

Re : [Abandon] A propos de KeePassX

Bonjour,

Or donc, j'ai regardé la chose, j'ai installé Keepass2, et l'option "français".
Première déconvenue, si l'interface est bien en français, l'aide reste en anglais, en clair, c'est un gros handicap (pour moi, seulement).
Donc, j'essaie un peu de voir comment ça marche :
Si j'ai un peu compris quelque chose, à la mise en route de la machine, j'ouvre ma session (avec mon pass - assez facile à contourner sous ubuntu, d'après ce que j'ai pu comprendre), et si j'ai configuré comme tel, la BDD de KP2 s'ouvre également.
Je suppose que, à partir de là, elle restera ouverte pendant toute la session, et que tout programme qui demandera un mot de pass ira le chercher dans ce fichier (déverrouillé).
Les mots de pass sont des mesures de sécurité. Quand je suis connecté, il est possible que des "personnes malveillantes" veulent s'introduire dans ma machine. Pour ma part, dès lors que je ne navigue pas ou plus, je coupe la connexion, néanmoins, pour le net et la messagerie, je ne peux guère faire autrement que de la remettre. Et dans ce cas de figure, si la menace évoquée plus haut se produit, "l'esprit malveillant" pourra trouver, d'un seul coup d'un seul, tous mes mots de pass ! Pour l'instant,quand je surfe, je n'ai d'ouvert que Firefox, et seuls les pass des sites sont accessibles, pour toutes mes autres applications qui sont fermées, ce sera plus difficile, mais j'ai comme l'impression que dans mon cas actuel, le risque me paraît partagé et limité.

Bon, est-ce que mon raisonnement tient debout, ou est-ce que je dis une grosse c.. (pardon) bêtise ?

Merci de votre indulgence !

#6 Le 27/02/2015, à 17:51

cinaptix

Re : [Abandon] A propos de KeePassX

Bonjour,

Pour ma part, les doutes exprimés ci-avant et le fait de devoir installer la kyrielle de dépendances de mono me font préférer KeepassX tout seul. Ça demande plus de manips à l'utilisation mais me parait plus simple et plus sûr.

Dernière modification par cinaptix (Le 27/02/2015, à 18:38)


↔ Libriste radicalisé depuis mai 2007 ↔
① - Xubuntu 20.04 - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch) — ③ - Tablette Lenovo 10' (Android 10) — ④ - Smartphone Honor 9A (dégooglisé)

Hors ligne

#7 Le 27/02/2015, à 20:22

Calvin44

Re : [Abandon] A propos de KeePassX

Salut !

Je ne suis pas un expert en sécurité informatique (ni en informatique d'ailleurs), alors j'espère ne pas dire de bêtises. Dans tous les cas si il y a quelque chose dans ce que je vais dire qui ne vous parait pas convainquant ou faux, n'hésitez pas à m'en faire part.
De ce que j'ai compris (voir les sources en références) :
- Ton fichier de base de données est chiffré. Si on te vole ce fichier, on ne pourra pas en faire grand chose si l'on ne connaît pas ton mot de passe maître.
- Lors de l'utilisation de Keepass, le hash de ton mot de passe maître et des mots de passe reste chiffré. En gros, même si on a accès aux données mises en mémoire par Keepass on n'y comprend rien, elle sont chiffrées.
Tu peux également choisir de bloquer ton environnement Keepass après une période d'inactivité de la part de Keepass (dans tools/options/tab security (i.e. outils/options/onglet sécurité)). Autrement dit, ton fichier de base de données est bloqué.
Point faible, si tu copies un mot de passe, celui-ci est enregistré dans le presse-papier en clair, pendant 12 secondes (réglable). Autrement, il reste chiffré.

Lorsque tu ouvres une page web qui requière un mot de passe, si l'URL de celle-ci fut enregistrée par tes soins dans KeePass, alors KeeFox va reconnaître cette URL et, suivant tes options, il va remplir les champs dans la page ou te proposer de remplir toi-même ces champs en cliquant sur l'entrée dans Keepass correspondante.

Pour éviter toute attaque d'un Keylogger lors de l'entrée de ton mot de passe maître, KeePass te propose de saisir ce mot de passe dans un "environnement sûr" (pareil : outils/options/onglet sécurité) (ne fonctionne pas chez moi).

Voilà, en très bref.

Références :
https://fr.wikipedia.org/wiki/KeePass
http://keepass.info/help/base/security.html (en anglais, désolé. Mais ça répond, je pense, à tes questions).

Pour la version KeePassX, (KeePass2 n'utilise pas Mono) je ne connais pas. J'ai juste vu ça sur :
http://keepass.info/help/base/security.html
"KeePassX: In contrast to KeePass, the Linux port project 'KeePassX' only partially supports protection against dictionary and guessing attacks."
"On Unix-like systems, KeePass 2.x uses Salsa20, because Mono doesn't provide any effective memory protection method."

Hors ligne

#8 Le 03/03/2015, à 08:37

Foromus

Re : [Abandon] A propos de KeePassX

Bonjour,

Au vu de tout ce qui est rapporté ci-dessus (et ailleurs...), il semblerait que l'investissement ne soit pas rentable (pour moi, bien sûr...). Après tout, dès lors que j'observe les règles les plus élémentaires de prudence,  je me sens déjà (un peu) protégé. Par ailleurs, je n'ai tout de même pas de "secret défense" à faire valoir, que ce soit avec ou sans logiciel de mot de passe, la NSA a déjà probablement enregistré toutes les adresses des sites que je visite !
Je pense donc rester dans ma configuration actuelle que je connais à peu près : un mot de pass pour démarrer la machine, un mot de passe pour démarrer Firefox et Thunderbird, sachant que ces derniers conservent leurs propres MdP, pourquoi aller chercher plus loin ?
Maintenant, quelle est le niveau de "fiabilité" de FF et Tb à ce propos ? Je n'en sais rien. Si mettre un MdP un peu compliqué pour ces deux applications, mais que par ailleurs, les fichiers concernés soient faciles à casser, où est l'intérêt ?..
Je remercie très sincèrement les gens qui ont participé à cette discussion qui aura été fort utile.

#9 Le 03/03/2015, à 11:07

T-800

Re : [Abandon] A propos de KeePassX

J'utilise KeePassX et c'est un bon logiciel et il est très simple a utiliser. Y'a pas besoin de tuto, il suffit de créer la bdd la première fois avec un mdp et dedans vos y mettez ce que vous voulez.

Hors ligne