Gestionnaire de mot de passe

Salut,

Ça fait un moment que je ne suis pas passé par ici. Je viens sonder un peu afin de voir si vous utilisiez un gestionnaire de mot de passe, ou pas

A titre perso, j’ai tous mes mots de passe dans un fichier keepass et j’utilise KeepassXC. J’ai une instance Seafile (un Nextcloud-like, mais uniquement pour la synchronisation de fichiers, en python) qui me permet de le garder synchronisé sur mes PC, et mes smartphones.

J’ai eu un jour un CTO assez parano qui m’a demandé de mettre en place un gestionnaire de mots de passe pour la boîte où je travaillais. Les requirements étaient: open-source et auto-hébergé. On bossait bcp avec GPG, tous nos backups étaient chiffrés de manière asymétrique avec une clef publique et il fallait obligatoirement la clef privée pour déchiffrer les backups. Et si le gestionnaire de mots de passe remplissait tous ces critères, c’était jackpot.

On a donc mis en place Passbolt. Pour faire simple, le serveur ne contient que des mots de passe chiffrés avec GPG, et il faut donc la clef GPG privée (qui se trouve sur le poste client et jamais sur le serveur) pour les déchiffrer.

Et vous, vous faites comment ?

Spoiler: Je bosse maintenant chez Passbolt

historiquement son ancêtre, actuellement lui-même, car il faut avouer ses avantages pratiques fonctionnelles avec d’aucuns browsers web.

Pendant très longtemps je n’utilisais pas de gestionnaire de mots de passe, préférant me reposer sur des mots de passe à usage unique générés aléatoirement à chaque utilisation.

La dépendance des gestionnaires de mot de passe les plus populaires à une session graphique n’aidait pas bien sûr, et a éliminé d’office pour moi tous les keepass*.

Mais depuis quelques mois il y en a un qui m’a convaincu par la simplicité de son architecture et que j’ai donc adopté au quotidien : pass.

Pour ma part, j’utilise un fichier keepass que j’ouvre avec Keeweb sur mon ordinateur et KeePassDroid sur mon téléphone.
Je synchronise la base à l’aide de syncthing.

Pour une ou deux personnes ça va, mais lorsque tu doit mettre ne place pour tous un SI un gestionnaire de mots de passe s’appuyant sur un LDAP ou autre avec pourquoi pas du sso et une gestion personnaliser des droits t’a plus beaucoup de candidat.

Si en plus tu regarde le prix demandez pour certains (la qualité et le support sont là pour le justifier) c’est encore plus marqué.

Moi je lorgne sur Vaultwarden et dans ma boîte on le suis avec attention mais encore une fois la gestion de groupe et le SSO ne seront sans doute jamais inclue dedans sans un effort extérieur.

C’est vrai que Keepass ou pass, ça va bien lorsque l’on est tout seul ou très peu. En entreprise ou dès que l’on commence à devoir bosser à plusieurs, il n’est pas possible de ne partager que certaines entrées d’un fichier Keepass, c’est tout ou rien.
Et l’intégration avec un LDAP devient vite nécessaire. Passbolt le propose uniquement dans la version payante.
J’ai vu qu’il existait un connecteur LDAP pour vaultwarden, tu l’as déjà essayé @Clochette ?

Au boulot mon employeur vient de mettre en place une instance de Bitwarden. C’est encore trop neuf pour que j’ai un avis arrêté dessus.

Mais pour mon choix d’outil perso, je me fous totalement (sans surprise ) qu’il soit ou non adapté à une utilisation en entreprise.

Il existe mais n’intègre pas les groupes il te faut donc une OU unique pour gérer tes utilisateurs, c’est trop basique.
Pour ma part Vaultwarden est sympa à utiliser mais pour peux de users, il y a pas dès que tu passe ne mode entreprise avec un grand nombre d’utilisateurs et des besoins de granularités sur les permissions il faut systématiquement passer aux offres tel que la tienne, certes payante mais riches en possibilités et avec du support.

Mon responsable a fait la même chose, ça a l’air pas mal, mais je n’ai pas non plus assez de recul, même si ça fait depuis juillet qu’on est dessus. Sur mon ordinateur du boulot, sous Windows 10, j’ai réussi à l’intégrer de façon fluide sur le bureau à l’aide d’une application Chromium (avec Edge).

Quelle horreur, Windows 10 + Chromium + Edge, je ne t’envie pas

Ici je l’ai intégré à Firefox sur ma Debian du boulot, et je ne sais pas encore si je vais aussi l’adopter en console ou si pour ces situations je vais rester avec pass.

Personnellement j’utilise Dashlane. Il suffit d’un navigateur, et on peut synchroniser entre plsuierus machines.

sinon, j’avais aussi utilisé teampass qui est pas mal est pas trop compliqué à mettre en place, dans le cadre d’une entreprise.

J’avais une machine sous Ubuntu 20.04 avant, suite à un changement de logiciel métier, mon responsable a voulu que je me mette à la page en ayant un PC sous Windows 10 à la place, je m’en sors en utilisant les applications libres que j’avais sur l’ancien ordinateur et un Debian dans WSL2. Je t’accorde que c’est un peu overkill et que certaines fonctionnalités me posent problème (comme l’affichage du nom de l’utilisateur issu de l’AD (qui n’est pas le bon) en gros sur l’écran de démarrage qui me vaut un arrêt maladie), mais bon, j’ai goûté avant de dire que ce n’est pas bon.

Bonjour AnatomicJC,

Ça m’interesse, parce que Nextcloud est devenu une usine à gaz alors qu’on veut juste la synchro.
Un lien ?

A+

J’ai goûté régulièrement à Windows entre Windows 95/98 et XP, ensuite je ne l’ai plus que grignoté à l’occasion sur les machines des autres entre Vista et 10. Bah c’est sans appel : c’est indigeste, pour rester poli

Dans mon cas ça fait partie des conditions que je donne à l’embauche : si je n’ai pas une machine sous Linux avec accès au compte root, je ne signe pas.

Évidement si tu as juste besoin de la synchro de fichiers Seafile ou Syncthing conviennent mieux.
Nextcloud c’est pour avoir de la synchro de fichiers et du partage, mais aussi de la synchro d’agendas et de carnets d’adresses, du travail collaboratif, etc.

RE

Je te remercie pour les liens.

A+

C’est une bonne méthode pour etre au chomage, car deja donner un compte root à un utilisateur dans le cadre d’un système d’information d’entreprise c’est une erreur.
Sachant que les informaticiens sont les pires dans un cadre de ce genre

Mais j’imagine que cette condition est difficile à imposer ?

Avec ce que j(utilise, peut importe le système d’exploitation du moment qu’il y a un navigateur internet.

Ça doit être pour ça que je suis en CDI… Et que mes seules périodes de chômage (entre deux CDI) ont été choisies par moi, pas par mes employeurs qui auraient au contraire préféré que je reste.

Un informaticien à qui tu ne fais même pas assez confiance pour lui donner un accès root à sa propre machine, ça me semble juste idiot de le recruter en premier lieu.

Non, ça a toujours été accepté immédiatement. Que ce soit sur mes postes d’administrateur système comme sur mes postes de développeur logiciel.

;
Ce sont ceux qui croient aussi tout le temps qu’ils n’ont pas à respecter les règles, et qui sont souvent à l’origine de défaillances de sécurité.

Je vous remercie pour vos réponses je vois que les logiciels de type Keepass ont la côte, c’est ce que j’utilise aussi à titre perso.

J’ai un jour pris le temps de regarder tous les identifiants que j’avais laissés gérer à Firefox, et ceux qui n étaient pas dans Firefox, j’utilisais globalement le même mot de passe avec des variantes

J’ai donc créé un fichier keepass tout neuf, et j’ai changé un par un tous mes mots de passe, avec un différent autogénéré par KeepassXC pour chaque site, et j’ai activé la 2FA partout où c’était possible. C’est un peu triste que beaucoup de sites ne supportent pas les mots de passe de plus de xxx caractères ou avec des caractères spéciaux