Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 07/05/2016, à 11:01

Compte anonymisé

La gestion des mots de passe

Hello,

J'ouvre ce fil pour savoir comment les autres utilisateurs de ce forum gèrent leurs mots de passe. Après des années d'essai de plein de méthodes différentes, je suis arrivé à la conclusion que les mots de passe, c'est pourri.

Le but est d'avoir un mot de passe à l'entropie correcte pour chaque site, sans jamais le réutiliser. On exclut donc le mot du dictionnaire, le nom du chien, la date de naissance, le code postal, ou une combinaison de tous ces trucs. On oublie également le mot de passe aléatoire auquel on ajoute les initiales du service, qui n'est pas beaucoup plus sécurisé.

La seule option sécurisée semble être le "Xy>\J|$8;m1?", généré totalement aléatoirement. Le problème est qu'on doit aussi le retenir, sinon, le compte qu'il protège ne nous sert pas à grand-chose. Ici, la méthode Xkcd aide, mais pas au-delà d'une poignée de mots de passe. Ça dépend des personnes, bien sûr.

Alors, il reste les gestionnaires de mots de passe. Ceux du navigateur ont plusieurs défauts : dépendance au navigateur, vulnérabilité aux malwares, incapacité à détecter les champs de mots de passe dans certains sites, non support des mots de passe hors navigateur (du genre SSH, ou volumes chiffrés, qui ont autant besoin de protection que les comptes en ligne).

À ce point, je suis obligé de me rabattre sur les gestionnaires de mots de passe externes. Sous Windows, KeePass n'est pas parfait mais fonctionne assez bien. Sous Linux, entre la non gestion des raccourcis, la lenteur d'AES dans Mono par rapport à la version optimisée Windows (qui oblige à réduire la sécurité de la base de mots de passe), l'interface moche, les bugs (du genre interface qui se bloque ou programme qui plante, mais reste ouvert, mais refuse de se fermer) et l'intégration pourrie dans les DE (impossible de l'utiliser correctement sous Gnome), KeePass n'est plus une option.

J'ai tenté LastPass, mais c'est aussi bourré de bugs, pas pratique à utiliser, dépend de la connexion, manque d'un client correct pour Linux, très lourd pour les mots de passe externes, et surtout, je refuse de placer tous mes mots de passe dans un service en ligne. Impossible de savoir si leur sécurité est bien implémentée, et ça serait pas la première fois qu'une grosse entreprise se fait voler toute sa base de données à cause de pratiques pourries, mais acceptées par les responsables parce que les clients ne peuvent pas les voir.

Alors, finalement, j'ai décidé de revenir à un petit programme tout simple que j'avais trouvé il y a environ un an : pass. C'est une commande Linux qui permet de générer, classer et copier ses mots de passe de manière sécurisée, chiffrés avec sa clé GPG, dans ~/.password-store. C'est sécurisé, rapide, aussi simple que possible (donc aucun bug) et standardisé (facile à scripter, le format de la base de données est une simple arborescence de dossiers, avec un fichier GPG par mot de passe). La clé GPG est protégée par un mot de passe fort, le seul que j'ai encore à retenir.

Il reste des inconvénients à ce programme : inutilisable sous Windows (pour l'instant), et le seul portage Android que j'ai vu est encore une fois bourré de bugs ; ce dernier point est assez gênant parce que j'ai plein d'applications Android qui utilisent des comptes en ligne.

La situation est donc la suivante : on doit utiliser des mots de passe sans cesse plus sécurisés, aléatoires, donc impossibles à retenir en nombre, donc le seul moyen aujourd'hui pour être vraiment sécurisé est de les enregistrer quelque part. Le papier est une option, mais très lente, et vulnérable. Les gestionnaires de mots de passe ont tous de gros inconvénients. Tout semble donc fait pour que personne n'utilise de vrais mots de passe et que les gens se rabattent plutôt sur les mauvaises pratiques qu'on se tue à dénoncer depuis des années. Si quelqu'un a une meilleure solution que la mienne, je suis preneur.

Et j'attends avec impatience le moment où on commencera à implémenter partout des authentifications par clé, pour enfin se débarrasser de ce système dépassé depuis dix ans.

#2 Le 07/05/2016, à 11:18

cinaptix

Re : La gestion des mots de passe

KeepassX est libre, ne nécessite aucunement mono, ne présente aucun bug. Je l'utilise depuis pas mal de temps et n'ai noté aucun problème. C'est dans les dépôts.


↔ Libriste radicalisé depuis mai 2007 ↔
① - Xubuntu 20.04 - CM Gigabyte GA-B85M-D3H - Pentium G3420 à 3,2 Ghz - RAM 8 Go à 1600 Mhz - SSD 64 Go + HDD 500 Go.
② - Raspberry Pi 3 (Raspbian Stretch) — ③ - Tablette Lenovo 10' (Android 10) — ④ - Smartphone Honor 9A (dégooglisé)

Hors ligne

#3 Le 07/05/2016, à 11:23

Compte anonymisé

Re : La gestion des mots de passe

cinaptix a écrit :

KeepassX est libre, ne nécessite aucunement mono, ne présente aucun bug. Je l'utilise depuis pas mal de temps et n'ai noté aucun problème. C'est dans les dépôts.

J'aurai du mal à abandonner pass maintenant que je l'ai trouvé. Mais merci, connaissais pas !

#4 Le 09/05/2016, à 18:27

cracolinux

Re : La gestion des mots de passe

Pareil ici, KeepassX qui utilise la version 1 de keepass, compatible avec keepass sous windows.
Le problème qu'on peut rencontrer ensuite, parce qu'on se retrouve avec un nombre assez incroyable de mots de passe dans un fichier, c'est comment emporter le fichier avec soi ??
Clef USB / cloud ? Quelle est votre méthode ? Et pourquoi ?


Pixup : postez vos images vite et bien - Wificheck : Aidez nous à vous aider

« Ne devenez jamais pessimiste. Un pessimiste a plus souvent raison qu'un optimiste, mais l'optimiste s'amuse plus — et aucun des deux ne peut arrêter la marche du monde. » R.Heinlein

Hors ligne

#5 Le 09/05/2016, à 18:40

Compte anonymisé

Re : La gestion des mots de passe

cracolinux a écrit :

Pareil ici, KeepassX qui utilise la version 1 de keepass, compatible avec keepass sous windows.
Le problème qu'on peut rencontrer ensuite, parce qu'on se retrouve avec un nombre assez incroyable de mots de passe dans un fichier, c'est comment emporter le fichier avec soi ??
Clef USB / cloud ? Quelle est votre méthode ? Et pourquoi ?

Quand j'utilisais KeePass (pas X), je mettais ma base de données dans une Dropbox. Ça reste du stockage en ligne, mais le chiffrement est de confiance, puisque fait par un logiciel libre sur ma machine. Avec la version Windows et un portage Android, ça donnait quelque chose d'intéressant, quoique les gestionnaires de mots de passe sont une plaie à utiliser sous Android.

#6 Le 10/05/2016, à 18:09

ZavezPasVu

Re : La gestion des mots de passe

J'utilise pour la gestion des mots de passe :

  • Ubuntu 16.04 : keepassX (version 2.02)

  • Windows 7 : KeePass 2 (pas sur de la version, je n'ai pas l'ordi sous la main)

  • Android : Keepass2Android (version 0.9.9-offline-b)

Je partage la BD via Hubic et je n'ai jusqu'à présent pas de problème (depuis environ 1 an, avant le passage à la 16.04 j'utilisais KeePass2 avec mono).

Cerise sur le gâteau : quand la BD est déjà chargé mais verrouillée, Keepass2Android propose la fonction QuickUnlock qui permet de déverrouiller sa BD en tapant les 3 (paramétrable) derniers caractères du mot de passe. On n'a le droit qu'à un seul essai, après il faut le mot de passe complet. Cette fonction peut être désactivée, mais elle est très pratique sur un clavier de smartphone.

Dernière modification par ZavezPasVu (Le 10/05/2016, à 18:21)

Hors ligne

#7 Le 24/03/2017, à 23:59

jejux

Re : La gestion des mots de passe

Une question me vient : en quoi est-ce que

Xy>\J|$8;m1?

est un mot de passe plus sécurisé que

Unmotquejaime-UneDate-Uncaractere!ou*quejechangeselonlasaison

? Je veux dire par là, est-ce qu'une logique sémantique toute personnelle n'aurait pas encore de la valeur pour générer (et mémoriser surtout) un pass ?
Pour en générer un sûr : pas de problème. Au moins autant que

Xy>\J|$8;m1?

Pour le mémoriser et le ressortir à la volée, c'est moins sûr, mais pas impossible.


"Je connais ce système, c'est facile il est sous Unix, je peux le faire".
Jurassic Park 1, la gamine qui a peur de tout sauf d'un clavier.

Hors ligne

#8 Le 20/10/2017, à 07:00

Richard31

Re : La gestion des mots de passe

Bonjour à tous,

Le post est un peu vieux mais j'abonde dans ton sens, nous aurait-on menti?

https://www.lesechos.fr/tech-medias/hig … 107514.php

http://www.lemonde.fr/pixels/article/20 … 08996.html

Et à  bien réfléchir, qu'on utilise un caractère spécial (!£$&/@€...) ou pas , c'est bien la taille du mdp le facteur principal qui déterminera sa robustesse.

Bonne journée,

Richard

Hors ligne

#9 Le 20/10/2017, à 14:17

abecidofugy

Re : La gestion des mots de passe

Pour les codes de carte bancaire, c'est facile : https://www.youtube.com/watch?v=GsBFJObh3ko wink

Hors ligne

#10 Le 23/10/2017, à 03:27

koshieIsYourDaddy

Re : La gestion des mots de passe

Salut,

Pour ma part je procède en utilisant une phrase ou une série de mot, un peu comme dans la méthode Xkcd, car c'est facile à retenir.

J'ai besoin d'un mot de passe très sécurisé, mais facile à retenir bien sûr. Est-ce possible ?

Je prend la première lettre de chaque mot, ainsi que les caractères spéciaux. Mais je remplace aussi quand cela est possible certain mot par des chiffres, ou des caractères spéciaux. Cela donne:

J'abd'1m2pts,mf@rbs.E-cp?

Certains diront que c'est relou à taper, mais avec un peu de pratique cela devient aisé mais surtout très facile à retenir.

Reste à avoir un mot de passe unique pour chaque compte... C'est super relou et compliqué. Je pense que certains services comme la boîte mail principale ou le mot de passe root d'une machine ont besoin d'un mot de passe unique. Mais avoir un mot de passe pour plusieurs sites c'est pas bien grave. Il faut savoir faire la part des choses.

Je déteste l'idée qu'un logiciel ou un document me serve de mémoire pour quelque chose d'aussi critique. Je n'ai presque jamais perdu de mot de passe avec cette méthode. Pour un site on peut se le faire renvoyer. Pour son mot de passe root je peux chrooter ma machine et le changer (:p), ou passer en mode de dépannage.

Par contre, quand la quantité de mot de passe devient très importantes, il faudra hélas passer par un gestionnaire... KeePassX admettons.

Après rien ne nous empêche de noter la phrase non "chiffré" à l'intérieur comme aide mémoire et se créer des règles de générations de mot de passe que l'on est le seul à connaître. Il ne faut pas oublier que la plupart des sites vous bloque après trop de tentatives infructueuses wink.

Mes deux sous.

Dernière modification par koshieIsYourDaddy (Le 23/10/2017, à 03:31)

Hors ligne