Comment gérer tous ses mots de passe de maniére sécurisée

Bonjour,

Je me demande si le fait d’enregistrer automatiquement ses mot de passe dans le navigateur firefox est une bonne pratique et plus globalement comment les gérer de manière sécurisé ?

Avec un logiciel libre ça va de soit :wink:

Il existe des « trousseaux de clés », mais je ne suis pas expert. Ces trousseaux sont forcément sécurisés par un mot de passe, ou un autre procédé d’identification (reconnaissance faciale, empreinte digitale ?). Rien n’est inviolable.
Exemple, mais sans garantie de ma part :
http://orchfuture.free.fr/Revolution/trousseaux.html

Bonsoir,

L’essentiel à savoir est là : Recommandations relatives à l’authentification multifacteur et aux mots de passe | Agence nationale de la sécurité des systèmes d'information

Pour ma part, je dirais que pour ce qui est de l’enregistrement des mots de passe dans le navigateur, je ne le fais que pour des mots de passe « perdables ». Donc pour rien d’important.

Sangokuss

Effectivement il recommande d’utiliser un coffre fort de mot de passe.
Comment on fait ?

Bonjour,

Sur Debian, l’installation du logiciel KeepassXC, par exemple, répondra à ton besoin :wink:

Bonne journée.
Sangokuss

Salut Tartuff,

je crois que vous cherchez un gestionnaire de mot de passe. ( Aka coffre-fort )

Regarde par ici → https://duckduckgo.com/?q=gestionnaire+de+mot+de+passe+linux&t=h_&ia=web

Moi, j’ai choisi KeepassXC pour l’open source et son aspect communautaire. Mais, du moment que tu utilises un gestionnaire, c’est déjà un très très bon départ. :sunglasses:

N’oublie pas qu’il faudra pouvoir y accéder sur le cellulaire. J’ai choisi Keepass2Android disponible sur le play store.

Et très important, n’oublie pas à faire des backup du fichier chiffrer. Par exemple, vincent.kdbx pour KeepassXC.

Aussi, tu pourrais activer la double authentification par SMS pour les comptes les plus important comme pour la banque.

A+

P.S.: Salut Sangokuss, t’es plus rapide que moi!

On parle de gestionnaire de mot de passe dans ce sujet du forum : Gestionnaire de mot de passe

@VincentQc

Bonjour VincentQc,
Je n’ai pas compris cette phrase, faire un backup du fichier chiffrer, quel fichier ?
Comment activer la double authentification, actuellement ma banque le fait par défaut mais j’aimerai l’activer également pour le site des impôts par exemple.

Alors oui, le gestionnaire de mots de passe est la seule bonne manière de faire.
Maintenant cela pose d’autres problèmes : notamment si tu perds ton gestionnaire alors tout est mort…
(enfin sauf les sites où on peut réinitialiser le mot de passe, mais dans ce cas le trou de sécurité est moins le mot de passe que la procédure de réinitialisation)

Il y a trois manières de le perdre :

  • Perdre le mot de passe du gestionnaire de mots de passe. Hé oui, c’est ballot…
  • Perdre le fichier (crash disque,…). C’est contre ce risque que Vincent te disait de sauvegarder le fichier .kdbx; c’est effectivement indispensable.
  • Écraser les sauvegardes avec un fichier corrompu. C’est un risque réel, et c’est irrécupérable s’il n’y a pas une sauvegarde saine. En gros, tout système de sauvegarde automatique est vulnérable à ça.
    Qui plus est, si tu as une version sur Android et une sur ton PC, il me semble qu’il y a un risque de tout détruire si tu synchronises les deux alors que chacun a été modifié de son côté.

Il faut donc construire un mode opératoire qui évite les trois risques, ce n’est pas si évident. Et il faut que ce soit un mode opératoire qui soit réellement praticable au quotidien, sinon au bout d’un moment on néglige de faire la sauvegarde hors-ligne et quand on a un problème avec les sauvegardes synchronisées ben on a tout perdu.

Note aussi que la double authentification revient fondamentalement à avoir deux mots de passe, puisque tu as besoin d’un mot de passe (éventuellement très long) pour pouvoir refaire ton token d’authentification si tu le perds (sinon, la perte du deuxième facteur d’authentification fait que tu n’as plus accès à rien).
L’intérêt est d’offrir une gestion rapide du deuxième mot de passe (puisqu’au lieu d’entrer un deuxième mot de passe très long, tu utilises ton deuxième facteur).

Effectivement, mais il n’y a pas de solution parfaite.

Oui, il faut savoir gérer ses sauvegardes, mais toujours pas de solution parfaite. Il y a des services en ligne qui font en sorte que les données restent là.

Il faut gérer sa synchronisation, mais ce problème peut arriver avec n’importe quoi, pareil, pas de solution parfaite. Sinon, pour la synchronisation, il y a des services en ligne qui gèrent ça très bien.

J’enregistre dans le navigateur que les mots de passe perdables aussi comme dit Sangokuss. Par contre installer un logiciel de coffre fort à qui on va confier ses mots de passes, en toute logique on devrait scrupuleusement vérifier son code source pour savoir ce que fait vraiment le logiciel avec ces données.
Il suffit d’enregistrer ses comptes dans un fichier txt, de faire un script de chiffrement, un script de déchiffrement, choisir un mot de passe fort, un algo de cryptage fort, sauvegarder le fichier chiffrés dans plusieurs endroit. On est aussi bien à faire soi même son coffre fort maison.

En gros utiliuser Vault … et du coup un Vaultwarden auto hébergé ne suffirait pas ?

Salut petitchat,

Je ne suis pas convaincu personnellement. Je préfère de loin une application dédié qu’à un script fait maison pour plusieurs raisons;

→ À tu pensé on fait que le presse-papier à un historique que la plupart des applications y ont ou pourrais y avoir accès? Tandis, par exemple, KeePassXC gère l’effacement de l’historique après un certain temps. ( Par défaut c’est 10s )

→ Si il y a une faille dans l’exécution du script fait maison, seul toi ou une minoritées de personne pourrait le voir. Tandis, qu’une application Open Source ( Code ouvert ) et avec une certaine communautée permet de prévenir certaines failles actuelles et futurs avec une bonne continuités dans les mises à jours et révisions du code.

Je dis mon opinion et je respecte la tienne petitchat. :slightly_smiling_face:

Je fais des sauvegardes sur

→ une carte microSD dissimulée dans mon appartement.

→ une clé USB sur mon trousseau de clés, mes vraies clés exemples mon appartement et l’auto. Quand je sorts de chez moi, j’ai toujours mais clés, donc en cas de vol à domicile. Il me reste tous de même une sauvegarde.

→ un disque externe SSD qui est dans un coffre de protection contre le feu, certifié pour les puces électroniques.

P.S.: Ils sont tous chiffrés en LUKS, me donnant un temps supplémentaire pour changé tous les mots de passes en cas de vol.

Je songe à une sauvegarde dans le cloud avec une clé ( fichier .key ) qui ne s’aurait pas sur le cloud. Mais j’hésite. :thinking:

P.S.: Un support ( clé usb ou autre ) qui n’est pas monté sur une machine ( brancher dans l’ordi ) est la meilleurs protection contre les piratages à distance.

Je pense que tout a été dis plus haut, je suis d’accord avec la réponse de lutech et Almtesh. Je vais évité de répéter ce qui as été dis.

Oui,

je pense que du moments que tu utilise un gestionnaire de mots de passe, peut importe lequel et une double authentification par SMS. Tu obtiens une sécurité supérieur à la moyenne des gens et alors pourquoi se faire chier avec toi? Quand, il y a malheureusement encore beaucoup trop de personne qui réutilise leurs mots de passe ou en utilise des trop facile. :frowning_face:

→ À tu pensé on fait que le presse-papier à un historique que la plupart des applications y ont ou pourrais y avoir accès? Tandis, par exemple, KeePassXC gère l’effacement de l’historique après un certain temps. ( Par défaut c’est 10s )

Il suffit de faire un script qui n’utilise pas le presse-papier. Le presse papier n’est pas nécessaire pour un script de déchiffrement, c’est même une drôle d’idée de s’en servir. Un script de chiffrement ou de déchiffrement utilise un fichier txt temporaire. Après consultation il faut effacer ce fichier proprement avec le paquet « secure-delete ». Je ne sais pas si après consultation le fichier en clair reste en mémoire, mais je ne pense pas qu’on puisse scanner la mémoire d’une Debian à la recherche de mot de passe sans utiliser des moyens qui dépassent les gains de l’opération.

→ Si il y a une faille dans l’exécution du script fait maison, seul toi ou une minoritées de personne pourrait le voir. Tandis, qu’une application Open Source ( Code ouvert ) et avec une certaine communautée permet de prévenir certaines failles actuelles et futurs avec une bonne continuités dans les mises à jours et révisions du code.

Un script de chiffrement s’appuie sur commande de chiffrement et une commande d’effacement.
chiffrer un fichier:
apt install openssl
la première fois puis pour chiffrer un fichier « secret.txt » vers « secret.aes » avec un bon algo:
openssl enc -aes-256-cbc -e -salt -in secret.txt -out secret.aes

S’il arrive une faille de sécurité sur la commande du script (c’est arrivé avec openSSL et la faille Heartbleed), tu modifies le script toi même en conséquence et comme c’est du code simple c’est facile de faire vite et bien.
S’il arrive une faille de sécurité sur un logiciel « coffre fort électronique », tu es totalement dépendant du prestataire du logiciel pour la sécurité de tes mots de passe. D’ailleurs, si j’étais moi même à la tête d’une entreprise de logiciel de coffre-fort, je considérerai que communiquer sur une faille de sécurité c’est une façon de dire que j’ai mal fait mon job et ça serai donc un conflit d’intérêt.

En résumé pour moi sysadmin rien ne remplacera la sûreté, la fiabilité d’un script pour ce genre de petite tâche simple, en revanche pour ma famille sous windows j’admets que se servir d’un script est plus scabreux et là un coffre-fort électronique peut être utile

Miaou

Je ne connaissais pas Vault et Vaultwarden avant que tu m’en parles, je suis allé voir sur le net ce que c’était du coup. Mais pas d’avis dessus du coup

Le premier je m’en sert pour stocker mes secrets lors de mes déploiements via Ansible (mots de passe, token, etc) , après un petit script va prendre comme argument lors de l’execution d’une commande ansible un mot de passe et aller lire le fichier vault pour exploiter les données dessus.

C’est archaïque mais rudement pratique pour des opérations manuelle de déploiement reconfiguration sur des machines distantes.

Pour le second, c’est un truc que tu peux déployer on premise et qui va te fournir un service de stockage sécuriser de mots de passe exploitable ensuite par toutes machines pouvant accéder à cette dernière.
C’est très robuste et il manque que quelques trucs pour être parfait dans l’utilisation dans ma boîte, mais rien à voir avec tes besoins plus simples.

Il y a eu un sujets à ce propos initié il me semble par AnatomicJC et dans lequel justement j’en parlé.