Sécurité et enregistrement des mots de passe

Christophe C · Le 27/01/2024, à 11:58

Bonjour,

Pour gérer les mots de passe, je peux soit utiliser firefox, soit utiliser un logiciel dédié, genre keepassx.

Firefox, par exemple, me propose de générer un mot de passe complexe, de l'enregistrer, et je peux même faire de la synchro avec d'autres machines. Et normalement c'est solidement crypté.

Dès lors, y a t'il un vrai avantage à passer par un utilitaire dédié externe ?

Nuliel · Le 27/01/2024, à 12:22

Bonjour,
Tu peux effectivement générer un mdp complexe avec firefox, l'enregistrer, faire de la synchro, MAIS la base de mdp firefox n'est pas chiffrée par défaut (d'ailleurs tu ne rentres probablement aucun mdp pour accéder à la base de mdp): les mdp sont stockés en clair sur le disque (enfin pas exactement mais ça revient en gros à ça). Tu peux protéger la base de mdp de firefox en mettant un mot de passe principal, en d'autres termes chiffrer la base de mdp, mais en terme de robustesse, je préfère keepassxc (ou équivalent) pour deux raisons:
- c'est indépendant du navigateur, qui lui est en première ligne
- j'ai plus confiance dans les algos de keepassxc que firefox

Et au passage, tu peux jeter un oeil à https://chiffrer.info/

O_20_100_O · Le 27/01/2024, à 12:43

Bonjour,
Avec un gestionnaire de mots de passe hors du navigateur , en complément des arguments ci-dessus :
- c'est bien plus simple de changer de navigateur
- la base de mots de passe est chez soi, pas chez un tiers
- on peut avoir des copies de la base de mots de passe sur plusieurs machines et/ou dans les nuages (comme Nextcloud).

Dernière modification par O_20_100_O (Le 27/01/2024, à 12:44)

krodelabestiole · Le 27/01/2024, à 12:54

on peut utiliser keepass avec n'importe quel navigateur et n'importe quel système d'exploitation (il est aussi finement intégré à android et déverrouillable biométriquement), synchroniser sa base sur un cloud personnel, en partager une partie avec des tiers (famille, collaborateurs...)
on peut l'utiliser pour remplacer GNOME keyring (secret service), pour gérer les mots de passe de sa session GNOME, et comme agent SSH, pour conserver nos clés privées en sécurité.

en gros au démarrage de mon ordi, je n'ai qu'un mot de passe à entrer pour tout déverrouiller, et dès que je fais une modif elle est accessible depuis tous mes appareils, et aux tiers qui utilisent certains groupes (répertoires) partagés.
le tout avec du logiciel libre auto-hébergé largement audité.

ok vu mon boulot je représente un cas sans doute un peu particulier : j'utilise absolument toutes ces fonctionnalités et j'ai 1270 entrées bien organisées dans ma base.

mais quoi qu'il en soit la question c'est plutôt : pourquoi utiliser autre chose ?

O_20_100_O · Le 27/01/2024, à 13:02

Effectivement, en utilisant Keepassxc, je profite aussi d'une seule saisie de mot de passe pour ouvrir ma session et en même temps déverrouiller la base de mots de passe.
Je le faisais sur mon bureau Plasma, et c'est pareil maintenant avec Gnome.
https://www.reddit.com/r/kde/comments/z … _passwort/
https://github.com/keepassxreboot/keepa … sions/5879

Keepassxc et aussi sur mon PC portable et le smartphone Android. Ils utilisent la même base.

Dernière modification par O_20_100_O (Le 27/01/2024, à 13:06)

krodelabestiole · Le 27/01/2024, à 13:11

oui, d'une part on peut déverrouiller keepass avec la session en enregistrant le mot de passe de sa base kdbx dans l'utilitaire secret service - gnome keyring ou KDE wallet (c'est une méthode)
mais on peut aussi l'utiliser avec secret service pour remplacer gnome keyring ou kde wallet, et on peut ainsi éventuellement synchroniser ses mots de passe entre différentes sessions linux, gnome, kde ou autre, sur différentes machines (pourquoi pas) et surtout en conservant absolument toutes ses clés et mots de passe souverainement au même endroit.

Christophe C · Le 27/01/2024, à 13:12

Dans ce cas, pour être cohérent, il faut que j'efface tous les mots de passe de firefox, de façon à ce que le seul gestionnaire soit KeepassX ?

D'ailleurs, comment faire pour que keepassx ouvre automatiquement les sites ? Je commence à regarder, mais je n'ai pas bien compris.

krodelabestiole · Le 27/01/2024, à 13:16

Christophe C a écrit :

Dans ce cas, pour être cohérent, il faut que j'efface tous les mots de passe de firefox, de façon à ce que le seul gestionnaire soit KeepassX ?

c'est ce que je fais oui : je désactive systématiquement les fonctionnalités de gestion des mots de passe intégrées aux navigateurs.

Christophe C a écrit :

D'ailleurs, comment faire pour que keepassx ouvre automatiquement les sites ? Je commence à regarder, mais je n'ai pas bien compris.

"ouvrir automatiquement un site" ça se fait avec un cookie (ou une session) - des fonctionnalités intégrées aux sites.

ce que peut faire un gestionnaire de mot de passe, c'est pré-remplir les champs des formulaires de connexion.
pour keepass sur linux ça se fait avec une extension, par ex. keepassXC browser - qui se connecte à keepassxc. on en parle justement ici : https://forum.ubuntu-fr.org/viewtopic.php?id=2083437

Christophe C · Le 27/01/2024, à 13:27

oui, j'avais keepassXC browser via apt, mais je ne le vois pas dans la liste de mes extensions (je ne suis pas en snap).

Je vais essayer en extension via Fx.

O_20_100_O · Le 27/01/2024, à 14:07

krodelabestiole a écrit :

on peut aussi l'utiliser avec secret service pour remplacer gnome keyring

As-tu un lien pour cela ? Merci.

krodelabestiole · Le 27/01/2024, à 14:21

- désactiver gnome-keyring (voir ci-dessous)

- Outils → Paramètres → Intégration au Secret Service → ✓ Activer l'intégration de KeePassXC à Freedesktop.org Secret Service
les autres options c'est comme tu préfères (notifications ou pas)
puis
- Base de données → Paramètres de la base de données... → Intégration au Secret Service (choisis un groupe créé spécifiquement pour ça, ça va être le bazar dedans)

côté linux je sais plus trop où j'avais trouvé des infos...
je trouve rien dans la doc officielle : https://keepassxc.org/docs/KeePassXC_UserGuide
ça, ça a l'air pas mal : https://wiki.chucknemeth.com/linux/secu … xc-keyring
ou ça : https://www.stewarts.org.uk/post/keepas … etservice/
ou ça : https://c3pb.de/blog/keepassxc-secrets-service.html

Dernière modification par krodelabestiole (Le 27/01/2024, à 14:31)

Christophe C · Le 27/01/2024, à 16:34

Ok, j'arrive à faire marcher keepasx dans firefox. il faut passer par l'extension Fx, pas par celle en apt.

Je n'ai pas bien compris le message : "on peut déverrouiller keepass avec la session en enregistrant le mot de passe de sa base kdbx dans l'utilitaire secret service".

cela veut-il dire que le mot de passe keepassx est "tapé" automatiquement par l'ordinateur au démarrage de la session ? Dans ce cas le véritable mot de passe "maitre", c'est celui du compte ubuntu ?

O_20_100_O · Le 27/01/2024, à 17:06

cela veut-il dire que le mot de passe keepassx est "tapé" automatiquement par l'ordinateur au démarrage de la session ?

Oui.

Dans ce cas le véritable mot de passe "maitre", c'est celui du compte ubuntu ?

Il déverrouille d'abord la session, et autant en choisir un solide.
Ensuite un script, en lancement automatique au démarrage de la session, peut donner l'ordre à gnome-keyring de déverrouiller Keepassxc car le mot de passe de Keepassxc a été mis dans Gnome-keyring.
Regarde bien ce lien, c'est expliqué.
https://github.com/keepassxreboot/keepa … sions/5879

L'autre solution présentée par Krodelabestiole me semble encore meilleure, mais plus complexe à réaliser.

Dernière modification par O_20_100_O (Le 27/01/2024, à 17:17)

LukePerp · Le 27/01/2024, à 17:14

Une autre raison d'éviter la gestion de mdp avec Firefox :
Bien que la base soit stocké cryptée sur leur serveurs Mozilla, on constate de nombreuses base de données cryptées diverses et variées qui ont été récupéré par des hackers.
J'utilise aussi keepass mais avec 2 clés au lieu d'un seul mot de passe. Ainsi, si le serveur cloud où est sync mon fichier keepass est hacké, la deuxième clé (une vidéo) me garantie que mon keepass ne sera pas violé. Évidemment, ma vidéo n'est pas dans le cloud.

Dernière modification par LukePerp (Le 27/01/2024, à 17:16)

Christophe C · Le 27/01/2024, à 18:47

Je suis surpris que tu indiques que les mots de passe Fx sont stockés chez Mozilla. D'après la doc mozilla : https://support.mozilla.org/fr/kb/profi … tilisateur, ils restent en local (sauf peut-être si on synchronise).

Tous les réglages que vous faites dans Firefox, comme le choix de votre page d’accueil, les barres d’outils que vous utilisez, les extensions que vous avez installées, les mots de passe que vous avez enregistrés et vos marque-pages, sont stockés dans un dossier spécial appelé « profil ». [...] Mots de passe :
key4.db
logins.json
Vos mots de passe sont stockés dans ces deux fichiers

Nuliel · Le 27/01/2024, à 19:15

De base les mdp ne sont pas stockés chez mozilla, sauf si on le veut explicitement en passant par un compte firefox (dans ce cas les mdp sont stockés chiffrés par un mdp principal si j'ai bien compris, mdp que seul l'utilisateur connait)

LukePerp · Le 27/01/2024, à 20:02

Oui pardon, c'est chez Mozilla avec la sync activée. C'est pratique et je l'ai toujours activé, j'avais oublié que c'était optionnel

Christophe C · Le 27/01/2024, à 22:51

Ok, donc en gros si on reste en local et qu'on active le chiffrement, keepassX et Firefox font à peu près la même chose en terme de mot de passe, générateur, etc ...
Mais le niveau de sécurité de keepassX serait plus fort.
C'est bien cela ?

Dernière modification par Christophe C (Le 27/01/2024, à 22:52)

krodelabestiole · Le 28/01/2024, à 00:15

c'est pas du tout la même approche.
keepass part de l'idée que noter ses mots de passe en clair dans un fichier texte c'est pas terrible.
firefox de l'idée que rentrer les mots de passe manuellement à chaque fois dans des formulaires c'est casse-pied.

avec keepass tu n'es pas lié à un navigateur (là j'ai l'impression qu'on se répète ) et tu enregistres tes mots de passe dans un fichier dont tu fais absolument ce que tu veux. tu le lis et l'édites avec 15 clients différents, tu le mets sur disquette, sur ton cloud, tu te l'envoies par mail... (ça je conseillerais de pas en abuser) bref tu le mets où tu veux et tu sauvegardes et fais passer tes mots de passe d'un système à un autre aussi simplement qu'un fichier texte. on profite d'un écosystème agnostique et ultra complet que j'ai décrit au-dessus (et il y a encore une app nextcloud pour les consulter depuis n'importe quel navigateur).

par contre si toute tes activités numériques se font avec firefox sur un système unique, alors oui je suppose que c'est à peu près pareil... (enfin fais gaffe à sauvegarder ton profil !)

LukePerp · Le 28/01/2024, à 08:38

Christophe, avec keepassxc, mes mots de passe sont accessibles sur mes deux téléphones et mes trois pc. Parce que le fichier keepass est dans un cloud synchronisé avec mes appareils. C'est très pratique ! Si je modifie un mot de passe sur un de mes pc alors la base des mots de passe est automatiquement actualisé sur chacun de mes appareils. On peux faire pareil avec Firefox, mais alors les mots se retrouveraient sur les serveurs Mozilla. Aussi, keepassxc peut avoir un chiffrement avec deux clés, ce que je fais. C'est donc supérieur. Si un hacker met la main sur la base local de firefox VS la base keepass, il ne pourra jamais déchiffrer celle de keepass.

Nuliel · Le 28/01/2024, à 11:50

Juste pour préciser mon propos sur la robustesse entre le stockage firefox avec mdp principal et keepassxc:
- firefox utilise le 3DES pour chiffrer la base de mdp, algo qui est obsolète par sa limite à 112 bits d'entropie et sa taille de blocs trop petite (cf guide de l'ANSSI). La seule attaque possible dans le cas d'une base de mdp firefox, c'est du bruteforce.
- keepassxc utilise de base AES pour le chiffrement (algo recommandé par l'ANSSI), et argon2d pour la dérivation de clé, et ce dernier permet de contrôler le temps d'exécution recherché, la quantité de RAM à utiliser, et le degré de parallélisme. L'intérêt c'est de rendre le bruteforce sur GPU peu intéressant. Et en plus, on peut choisir des algos alternatifs si on veut.

A noter que c'est pas parce que le 3DES est obsolète que c'est facile à casser: avec une bonne passphrase, ça tient normalement bien, mais comparé à keepassxc, argon2d a plus d'avantages

Dernière modification par Nuliel (Le 28/01/2024, à 11:53)

Christophe C · Le 28/01/2024, à 12:26

L'aspect multi-appareil de keepasx vs celui de Fx m'importe assez peu : je n'ai pas ce besoin. Au pire je suppose qu'en envoyant le fichier login.json d'un appareil sur l'autre cela fonctionnerait, sans passer par un serveur tiers, cloud ou mozilla.

L'aspect sécurité m'importe plus. J'ai mes mots de passes et dans Fx et dans Keepassx, et je vais sûrement plutôt utiliser KeepassX, mais comme j'aime bien creuser, je regarde quand même la sécurité Fx. Nuliel, tu parles d'une clé 3DES de 112 bits, mais je suis tombé sur le blog de firefox, où il est question (vaguement) d'une clé de 256 bits. Tu aurais une source ? cela m'intéresse.

J'ai un vieux truc (4,5 ans) qui parle de 3DES : https://security.stackexchange.com/ques … -encrypted

A l'été 23 je trouve cela, qui indique que fx utilise PKCS#11 : https://dev.to/higordiego/cracking-fire … swords-pfl
Et ici (https://docs.oasis-open.org/pkcs11/pkcs … -v3.1.html), les spec de PKCS#11 indiquent :

6.1.14 PKCS #1 v1.5 RSA signature with MD2, MD5, SHA-1, SHA-256, SHA-384, SHA-512, RIPE-MD 128 or RIPE-MD 160

Cette norme semble donc compatible avec du 256 bits, voir 512, mais qui peut le plus peut le moins, donc on ne sait toujours pas trop le nombre de bits (non, ce n'est pas sale) qu'utilise Fx

C'est bizarre, je ne trouve rien de très récent sur le sujet.

Dernière modification par Christophe C (Le 28/01/2024, à 12:27)

Nuliel · Le 28/01/2024, à 13:31

Mes sources c'est un challenge root-me qui date, https://security.stackexchange.com/ques … -encrypted
PKCS11 c'est pas réservé à RSA:

https://en.wikipedia.org/wiki/PKCS_11 a écrit :

The API defines most commonly used cryptographic object types (RSA keys, X.509 certificates, DES/Triple DES keys, etc.) and all the functions needed to use, create/generate, modify and delete those objects.

Dans l'outil firefox_decrypt, effectivement la lib nss (paquet libnss3) est chargée et on a la liste des fonctions utilisées: https://github.com/unode/firefox_decryp … pt.py#L393 .
Je suppose que https://github.com/nss-dev/nss est le code de la libnss.
Je chercherai cet aprem pour vérifier que le 3DES est toujours utilisé

Sinon tu fais une référence à PKCS1 qui est encore autre chose. Et sinon pour le nombre de bits de clé, c'est compliqué, ce qui est vrai sur les chiffrements symétriques comme AES n'est pas vrai sur les chiffrements asymétriques (RSA, ...). Par exemple, AES256 c'est impossible à casser en temps raisonnable, RSA512 c'est 4 jours de calcul pour le casser

Dernière modification par Nuliel (Le 28/01/2024, à 13:34)

Christophe C · Le 28/01/2024, à 16:45

Nuliel a écrit :

Sinon tu fais une référence à PKCS1 qui est encore autre chose

En tout cas c'est présenté comme un sous-ensemble de PKCS11.

Nuliel · Le 28/01/2024, à 19:08

j'arrive pas à trouver l'info dans le code source de firefox-decrypt

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 27/01/2024, à 11:58

Sécurité et enregistrement des mots de passe

#2 Le 27/01/2024, à 12:22

Re : Sécurité et enregistrement des mots de passe

#3 Le 27/01/2024, à 12:43

Re : Sécurité et enregistrement des mots de passe

#4 Le 27/01/2024, à 12:54

Re : Sécurité et enregistrement des mots de passe

#5 Le 27/01/2024, à 13:02

Re : Sécurité et enregistrement des mots de passe

#6 Le 27/01/2024, à 13:11

Re : Sécurité et enregistrement des mots de passe

#7 Le 27/01/2024, à 13:12

Re : Sécurité et enregistrement des mots de passe

#8 Le 27/01/2024, à 13:16

Re : Sécurité et enregistrement des mots de passe

#9 Le 27/01/2024, à 13:27

Re : Sécurité et enregistrement des mots de passe

#10 Le 27/01/2024, à 14:07

Re : Sécurité et enregistrement des mots de passe

#11 Le 27/01/2024, à 14:21

Re : Sécurité et enregistrement des mots de passe

#12 Le 27/01/2024, à 16:34

Re : Sécurité et enregistrement des mots de passe

#13 Le 27/01/2024, à 17:06

Re : Sécurité et enregistrement des mots de passe

#14 Le 27/01/2024, à 17:14

Re : Sécurité et enregistrement des mots de passe

#15 Le 27/01/2024, à 18:47

Re : Sécurité et enregistrement des mots de passe

#16 Le 27/01/2024, à 19:15

Re : Sécurité et enregistrement des mots de passe

#17 Le 27/01/2024, à 20:02

Re : Sécurité et enregistrement des mots de passe

#18 Le 27/01/2024, à 22:51

Re : Sécurité et enregistrement des mots de passe

#19 Le 28/01/2024, à 00:15

Re : Sécurité et enregistrement des mots de passe

#20 Le 28/01/2024, à 08:38

Re : Sécurité et enregistrement des mots de passe

#21 Le 28/01/2024, à 11:50

Re : Sécurité et enregistrement des mots de passe

#22 Le 28/01/2024, à 12:26

Re : Sécurité et enregistrement des mots de passe

#23 Le 28/01/2024, à 13:31

Re : Sécurité et enregistrement des mots de passe

#24 Le 28/01/2024, à 16:45

Re : Sécurité et enregistrement des mots de passe

#25 Le 28/01/2024, à 19:08

Re : Sécurité et enregistrement des mots de passe

Pied de page des forums