Un gestionnaire de mot de passe ?

Bonjour !

Aujourd’hui je me suis dit qu’il serait temps de mieux sécuriser mes données et de restreindre aux mieux les possibilités de me faire pirater mes comptes en ligne puis sur ma/mes bécanes.

Ça fait un moment que j’ai entendu parler des gestionnaires de mot de passes sans réellement cherché à les utiliser. Mais maintenant quand je vois le nombre de comptes en ligne que je possède et que au final je n’utilise seulement au maximum que 3 mots de passe de 8 caractères environ pour tous mes espaces sur internet, et mes sessions en local, je me dis que cela ne devient plus possible. J’ai cherché sur Internet et sur ce forum s’il y en avait qui ont eu cette réflexion. Mais je ne trouve pas beaucoup d’infos. Je cherche donc un gestionnaire de mot de passe fiable, gratuit, et open-source.
En avez-vous donc à me conseiller en m’expliquant un peu pourquoi lui plutôt qu’un autre ?
Existe-t-il des gestionnaires de password en CLI ?

Merci à vous!

Bonne journée,

Cordialement.

Neb19

Keepass2

C’est solide, fiable, et facile à utiliser.

1 J'aime

Plutôt : Keepass :wink:

Parce qu’il existe des versions pour quantité de plate-formes informatiques (Différentes Linux, Windows, Mac OS, Android, Chromebook, PocketPC, Blackberry, Java, Web, etc …)

Dans les distributions GNU/Linux, il est souvent fourni sous l’appellation KeePassX, et Keepass2 …


Bien-sûr, ce n’est pas le seul, mais c’est le plus “hétéroclites” :stuck_out_tongue:

Merci!

J’ai finalement opté pour KeepassX. J’ai cru comprendre qu’il était capable de gérer automatiquement les authentifications, je ne vois pas trop comment ? Chez moi ca ne fonctionne pas. Faut -il se créer un script pour assurer cela ?

La réponse -> Ici
Le lien est super documenté

:wink:

1 J'aime

J’utilise Password Gorilla apparement plus rustique que Keepass.

En CLI, il y avait “pass” (the standard password manager) qui utilisait gpg. J’ai essayé un aprèm, j’ai trouvé ça très compliqué.

1 J'aime

Tu peux t’amuser à faire ton propre programme en console.
En commencent par faire générateur de caractère + gnupg.

1 J'aime

Bonjour,

Je suis un utilisateur multi plateforme de keepass2 et je recommande ce logiciel. Il permet de monter la sécurité d’un cran par l’utilisation d’un fichier Key + otp sur son stockage de mot de passe. Si tu souhaites appliquer une couche supplémentaire de cryptage des fichiers nécessaire à son ouverture, c’est possible aussi.

Avantage tu peux aire un système de remplissage des champs auto avec le plug-in keefox, mais attention a ne pas activer l’autocomplétion, car via ce système on peut pompé la base de données sur des sites frauduleux

Je stocke ma base sur un serveur Linux avec ce compte seulement accessible en local via tunnel ssh.
Comiplet d’un fichier Key sur un autre compte et serveur uniment accessible en tunnel ssh aussi.
Et fini par un OTP afin de limiter l’ouverture du mot de passe par un mot de passe supplémentaire changeant toutes les 30 sec.

De plus si tu as android tu pourras accéder a t’es mot de passe via keepass2android qui permet d’y accéder de n’importe où.

Voilà en espérant avoir pu t’aider. Il est pour le moment le système le plus souple et poussée à ma connaissance.

1 J'aime

Salut Maveric,

Merci d’avoir répondu, je vais regarder du côté de keepass2 car c’est vrai que l’appli Android m’intéresse. À voir si ca n’existe pas non plus du côté de keepassx.
D’ailleur, ce dernier aussi rajoute une couche avec l’utilisation d’un fichier de clé.
Pour ma part, je stocke également ma base sur un serveur, au cas où j’en aurais besoin sur une bécane autre que la mienne habituelle.

:wink:

J’utilise KeepassX sur mon poste de bureau et l’appli KeePassDroid sur mon téléphone ;-).

1 J'aime

Attention après avoir renforcé mon Shell j’ai rencontrer de gros problèmes sur les accès a ma base avec Keepass2Adroid. En effet en SFTP le KexAlgorithms est assez limité pour l’instant.

Extraite de ma config SSH qui permet d’accepter la connexion

Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256

/!\ le KexAlgorithms maximum supporté pour Keepass2android est :
diffie-hellman-group-exchange-sha1 /!\

Aucune info été donné sur les fluxrss à part quelqu’un qui demande a ce queles derniers protos soient supportés.

Cordialement

Euhhh, bizarre ton histoire là, @Maveric.
Quelle est la relation entre SSH et Keepass ?

Que tu me dises que ton client SSH pour Android nécessite de baisser la sécurité de par le manque de support Android, je suis tout à fait d’accord … mais que Keepass nécessité le downgrade, cela me semble bizarre !

Normalement, il n’y a aucune relation entre les deux.

Quid ?!

Bonjour,

Comme expliquer, cela concerne l’utilisation de Keepass2Android lorsque on on utilise un kdbx distant auquel on a accès en SFTP.

De plus Keepass 2 qui ne supporte pas le SFTP de manière natif, il faut mettre un plugin nommé IOProtocolEXT qui lui aussi ne supporte pas forcément tout les KexAlgorithms.

Évidement si tu stock ta kdbx en local ou en webdav ou FTP tout cela ne le concerne pas.

Espérant que cela soit plus claire.

Cordialement

Ca, je sais :wink:

Donc, c’est un mauvais choix, voire très mauvais choix !
On ne diminue pas la sécurité de SSH au profit d’un algorithme ou protocole faillible … autrement cela ne sert strictement à rien, sauf à te croire en sécurité, alors que tu ne l’es pas. :frowning:

1 J'aime

Cela est au choix chacun. Je n’ai fait seulement que remonter l’information pour ce qui souhaiterait l’utiliser.

Personnellement je ne m’en été jamais rendu compte, car l’utilisé les paramètres de Openn-ssh par défaut qui était même encore avec du DSA comme alternative au RSA que j’avais mis en 4096.

C’est que depuis que j’ai vu ce petit Tuto sur ce site très bien fait dit en passant, que j’ai augmenté ma sécu et que j’ai rencontré le problème.

L’équilibre de la sécurité est toujours un compromis difficile avec le confort d’utilisateur.

Cordialement

En effet, et c’est vraiment un soucis rencontré particulièrement avec Android !!!
Les choix faits sur les protocoles/versions de sécurités sont vraiment discutables.
Personnellement je fais le choix de ne pas utiliser un logiciel ou protocole “faillible”, quitte à me passer de la fonction :wink:

C’est appréciable. Mais le mieux est de trouver le moyen de le faire différemment tout en étant réellement sécurisé.
Exemple pour un utilisateur donné : créer un tunnel SSH avec des paramètres correctement configurés, comme l’indique les informations que tu cites, utiliser un outil de synchronisation tel que Syncthing - qui est tout autant multiplateforme -, qui passe dans ce tunnel SSH, et laisser à Keepass l’usage de sa propre fonction, à savoir regrouper de manière “sécurisée” tes informations personnelles, et non pas lui demander de faire de manière bancale ce pourquoi il n’est pas correctement fait !

Dans ce scénario vous avez une copie de votre KDBX sur votre mobile si je comprends bien.

Dans ce cas la sécurité est aussi en danger en cas de perte ou de vol du téléphone.

Mais en continuant dans votre démarche :

  • Établir un Tunnel VPN
  • Autorisé l’utilisateur uniquement à se connecter sur une IP locale

D’autre solution :

  • Passé par un reverse-proxy
  • Connexion FTP par tunnel SSH/VPN
  • Passé par WebDav

Beaucoup d’alternatives sont envisageables. Mais personnellement je vise plutôt un stockage de la kdbx en remonté et évité au maximum le local, même si j’ai un Blackphone crypté.

Mais je suis preneur de toute autre idée. J’avoue avoir prix la solution le plus rapide possible. Mais rien n’empêche d’envisager d’autre solution qui j’espère aiderons des gens dans les mêmes situations.

Cordialement

@Maveric [Hors Sujet] Quesque tu en penses de ton blackphone ? Perso, j’ai un vieux tél. Et je voudrais changer, Je cherche un tél avec une dérivé d’android.
J’avais opté pour cyanogen, mais apparement, ça c’est dégradé puisque sa était acheté par une societé.

Continuons cela en privé afin d’éviter de pollué le post.