Gestionnaire de mots de passe

Bonjour,
j’utilise le gestionnaire de mots de passe de Firefox.
Est ce différent, mieux, moins sur ?

• est-ce différent : oui
• mieux : non
• moins sûr : non

en fait si malheureusement.

En quoi est-ce moins sûr, moins sûr par rapport à quoi ? le gestionnaire de mots de passe de Firefox est pas moins sûr que des services tel que Dashlane ou autre .

Intéressant !
Peut on faire un nouveau fil sur les gestionnaires depuis la question de Josephtux ?

Perso j’utilise Master password et Buttercup et suis preneur d’avis

Bonjour,
je ne sais pas répondre à la question de @josephtux, je n’ai jamais demandé à Firefox de gérer mes mots de passe. Je n’ai commencé qu’avec la découverte des gestionnaires de mots de passe, dont KeePassXC.

Comme @nam1962, un fil dédié me semble également très utile.

Benb en fait l’ANSSI conseille Keepass qui est gratuit et libre.
Dashlane est payant dans la version que j’utilise et n’est pas libre.
Mais il me permet de pouvoir en disposer sur différents équipement sans avoir à les synchroniser. Et je peux y stocker d’autres informations que des mots de passe.

POur le fil séparé mpas une mauvaise idée en effet.

Je m’y perd un peu avec keepass : il y en a 3 keepass , keepassX, keepassXC

Et une quatrième : keepassLeOinj.
OK, je sors.

La gestion des mots de passe via Firefox a eu des ratés et vu la complexité de firefox, le risque de revoir une vulnérabilité n’est pas nul :

J’ai pas d’infos concernant la dernière version, jusqu’elle intègre HaveIBeenPawned.

Dans le cas de mots de passe sans grand intérêt et pour faciliter l’usage, ça ne pose pas de soucis.

J’aime pas l’idée d’avoir des services en ligne pour gérer les mots de passe. D’ailleurs, il me semble que Dashlane a eu de nombreux soucis.
A la limite une instance bitwarden bien géré me semble moins problématique.

Pour les mots de passe de messagerie, banque, administration (en grand tout ce qui est sensible) je conseillerai d’utiliser un logiciel tiers avec la possibilité de faire des sauvegardes simples.
Perso, c’est tout dans une base et j’utilise keepassxc.
Derrière on peut utiliser des plugins.

Quels soucis? J’avoue ne pas être au courant

Effectivement, j’ai du confondre avec un autre.
j’ai trouvé qu’une CVE-2017-11657 et d’autres infos ici: Which Password Managers Have Been Hacked? – Best Reviews

edit: ces services de gestion de mots de passe sont des cibles de choix et la moindre faille peut vite se révéler critique. Alors qu’une application locale n’est pas exposé à tous ces problèmes mais je peux comprendre que ce n’est peut être pas le même « confort » d’utilisation.

Si les mots de passe doivent être accessibles depuis plusieurs terminaux, ce qui est souvent le cas, il y a plusieurs solutions, dont:

• le gestionnaire de mdp de Firefox, sur un profil synchronisés sur les différents terminaux. L’avantage est qu’il n’y a rien de plus à installer, mais avec potentiellement plus de risques quant aux vulnérabilités
• Keepass en utilisant un fichier de mots de passe qui est synchronisé sur les différents terminaux (j’utilisais un Nextcloud auto-hébergé pour ça)
• Les solutions cloud du type Bitwarden. L’avantage est qu’il n’y a pas grand chose à installer en dehors du client, par contre il y a la question de la confiance accordée à l’hébergeur de service (bitwarden), et le fait que certaines fonctionnalités soient payantes. Pour pallier à ça on peut utiliser une instance vaultwarden auto-hébergée, ça fonctionne avec les clients Bitwarden

Il y a un article de blog qui traite des deux dernières solutions, que j’ai trouvé pas mal: De Keepass à Vaultwarden | Yoann Piétri

L’application locale n’est pas mieux, car elle même repose sur des logiciels qui peuvent être éprouvés et craqués, qui plus tranquillement en privé. Malheureusement, depuis les début des logiciels libres, ceux-ci sont devenu tellement nombreux qu’il n’y a plus aussi souvent de relectures du code comme aux premiers jours.
La seule différence c’est qu’on est plus facilement au courant du premier que du local.
Pour ton lien, la partie évoquant Dashlane oublie de préciser que le mot de passe Dashlane demande des contraintes telles (notamment l’(absence de mot de vocabulaire et la longueur du mot de passe, que le brute force nécessite d’énormes moyens qui rendrait la tentative visible.
Quand à celle de 2019 elle a été corrigée de longue date.

Pour le lien de @Sputnik93 , la plupart de ce qu’il y a d’évoqué est soit durci soit bloqué ou signalé (comme notamment les répétitions de mots de passes, et les faiblesses) dans Dashlane. Dashlane fourni une surveillance de comptes email sur le darknet et une signalisation systématique des répétitions et des mots de passes faibles.

Une application n’est pas mieux qu’un service exposé
même si j’ai une version troué de keepass, je te souhaite bon courage pour tenter de récupérer mes mots de passe puisque ça reste en local.
Je veux bien un POC puique tu as l’air initié.
De toute façon, dés lors que l’on un accès local que ce soit keepass, dashlane ou autre, t’es dans la même merde.

Oui, ça mériterait une démonstration. Un service qui annonce avoir laissé échappé des mots de passe c’est vraiment le dernier truc qu’ils vont vouloir faire. Les annonces sont généralement là pour minimiser la fuite et parce qu’ils sont obligés de rendre les choses publiques mais tu coules pas ton business parce qu’est sympa et honnête.

Et les revus de code pour les services en ligne, t’en parles ou non ?
Si on prend Dashlane, on a simplement le code source des clients mobiles. Sans avoir creusé, j’ai pas l’impression qu’on dispose publiquement du code coté serveur et l’infrastructure.

Mais Effectivement, un soft/service sera rarement certifié. L’ANSSI conseille toujours keepass mais ça date de 15 ans. A mon avis, il n’y a rien eu d’officiel depuis (en France ou à l’étranger), mais si vous avez des infos, ça serait intéressant de partager.
Le code sera malgré tout revu selon la popularité du logiciel mais ça n’est pas comparable à une certification.

T’as un lien avec comment ça marche ou c’est juste une interrogation de HaveIBeenPawned ? ou les deux ?

KeePass c’est faire, y a rien de nouveau.

D’ailleurs, les précurseurs sur la sécurité des mots de passe, c’est Dropbox.

Après, je n’ai rien contre Dashlane que je ne connais pas. C’est plus le fait que ça soit un service en ligne qui me dérange. Derrière tes propos, on a l’impression que c’est un service inviolable et qu’il est parfait.

Malgré ça, l’utilisation d’un gestionnaire de mot de passe, c’est déjà une très bonne chose, et notamment le suivi des mots de passe leakés.
Par contre, je sais pas comment on gère une sauvegarde quand on utilise ce type de service ?

Pour vaultwardenn, c’est dispo sur yunohost. Ça semble être maintenu uniquement par des bénévoles et si je devais installer se type de service j’aurai tendance à aller directement à la source qui est Bitwarden.

Pour voir plus loin, Microsoft et d’autres travaillent justement pour éradiquer les mots de passe en passant par des solutions plus robustes à base de token. Espérons qu’on se débarrasse des mots de passe pour une solution plus simple et plus efficace.

Désolé pour la longueur.

Pas forcement vrai. Une applicatoin exposé, on sait qu’"il y a des choses à faire. Sur une application qui ne l’est pas, les biais cognitif feront que ce ne sera ps le cas. C’est d’ailleurs ce que tu dis: pas de risque sur une appli en local.

En fait d’une part la sécurité de base de ton ,keepass va être liée à ton mot de passe.
Je te concède qu’il faudra d’abord avoir accès à l’une de tes machines (a moins que tu ne l’utilise que sur une seule machine ce qui rend l’intérêt de son utilisation bien moindre qu’un Dashlane que l’on peut utiliser sur plusieurs machines y compris smartphones.
D’autant que Dashlane propose le 2FA ce qui n’est pas le cas de Keepass sauf erreur de ma part.
Pas besoin de faire un POC, ton keepass ne vas se verrouiller sur des brutes forces ou autres types d’attaques.

Inutiles car implicitement inexistant comme n’importe quel service en ligne y compris basé sur du logiciel libre: car on sait pas comment est ensuite configuré/customisé/modifié/développé l’appli en question.

Le système est basé sur la non connaissance de tes données. Dashlane ne sait pas ce que tu as mis dans ta base. Toutes les informations sont chiffrées avant d’être envoyé sure les serveurs.
Ils ne sont pas les seuls d’ailleurs à le faire.

Le contenu local avec Dashlane n’a rien à voir avec celui de keepass, mais là je n’en sais pas assez pour en dire plus. Contrairement à Keepass.

Il y a LockPass en 2018, qui est un produit français, mais qui n’est destiné qu’à une utilisation d’entreprise en interne. Keepass a été certifié en 2011. Dashlane est certifié ISO27001.

Je n’ai que la documentation en ligne, mais a priori ils font des scans, donc je pense que ça va nettement plus loin qu’une simple consultation HavelBeenPawned

Les annonces ne sont publique que quand il n’y a pas de choix. Quand dans les media ils donnent des pourcentages quand au cyberattaques et autres, ils sont minoré en général de près de 30 à 50%.
Rien que dans mon taf on a eu pas mal de client qui ont subit des cyberattaques à divers degrés, seuls les victimes ransomware ont plus ou moins communiqué car 'est plus visible, mais pour le reste, ce n’a pas été le cas de tous.

Il n’y a rien de parfait. Mais à l’heure actuelle en terme de fonctionnalités, de service et de coût, je n’ai pas trouvé mieux.

Tu peux exporter au format DASH qui te fait une sauvegarde et permet d’importer sur un autre compte.

c’est clair.

Bitwarden ce’st un fork de Lastpass. Mais je crois qu’il n’utilise pas le no-knowledge.

En fait non. L’objectif est de faire en sorte d’avoir les utilisateurs en otage.
En gros tu n’auras plus qu’un seul moyen de t’authentifier où que ce soit.
C’est extrêmement dangereux au regard des libertés individuelles et de la liberté d’expression.
Avec leur solution tu perd toute propriété de ton identification numérique.
Comme par hasard ceux qui poussent le plus pour cette solution ce sont les GAFA et Microsoft dont l’honnête inexistante n’est plus à prouver.

Les clients proposent souvent des fonctionnalités d’export de la base de mots de passe. Bitwarden fournit un client en ligne de commande (bw-cli je crois), ce qui peut être utile si on veut automatiser des exports par exemple.

Il y a une image docker, aussi pour vaultwarden.

Ah oui, je n’avais pas vu que Bitwarden fournissait aussi une image docker, je regarderai, à l’occasion.

Au lieu de parler de ‹ biais cognitif › pour tourner en rond, donne des éléments concrets. On parle de gestionnaire de mot de passe ici.
KeePass a été certifié par l’ANSSI à une époque, c’est un pur hasard ou l’alignement des planètes qui a permis de dépasser les biais cognitifs ?

Si mot de passe et keyfile, c’est du 2FA pour moi.

Tu l’obtiens par magie le fichier keepass ?

Donc une raison supplémentaire d’avoir un peu de méfiance sur les services en ligne.

Je parle de code source coté serveur. Que ça soit chiffré coté client c’est bien mais ça ne résout pas tous les problèmes.
Essayons de parler de la même chose pour avoir une discussion instructive.

Si as accès à un pc, tu obtiendras un accès à Keepass comme Dashlane comme tout le reste.
Sinon, c’est de la magie.

Je connaissais pas LockPass, mais c’est pour un public restreint. J’ai vaguement testé et c’est bien lourd et l’utilisation d’un clavier virtuel, quelle horreur

C’est déjà ça mais c’est pas non plus le graal.

Dommage de ne pas donner plus d’informations sans forcément donner des détails. Possible qu’il travail en coopération avec d’autres acteurs.
A la limite, la discrétion sur ce point peut se défendre.

tu as un compte payant ? pour une utilisation perso ?

Donc, prendre l’habitude d’exporter régulièrement en cas de pépin. Comme pour toutes les autres données.

J’ai pas suivi les avancées récentes sur le sujet et c’est pas un sujet simple. Dans quel cadre ça sera applicable et utile, l’infra nécessaire etc.
Pour les entreprises/administration, elles sont déjà fortement sous influence de Microsoft et autres donc ça ne change pas grand chose.
Je ne suis pas convaincu que seules les GAFAM seront capable de proposer ce type de solution mais s’ils peuvent rendre les gens captifs, ils ne vont pas se priver.

je disais juste que j’avais vu ça sur yunohost mais effectivement, l’installation préconisé semble être docker.

l’installation de Bitwarden est un peu plus longue et les pré-requis … ça pique. ça explique le projet vaultwarden.

Pour revenir à Firefox Password Manager, le vrai défaut c’est qu’il ne stocke que les identifiants et mots de passe. Dans certains cas, c’est bien de pouvoir stocker des codes de récupération, question de sécurité et je mets parfois des adresses avec des coordonnées de contact.
Si tu n’utilisais pas de gestionnaire de mot de passe, c’est un pas en avant.
Ensuite, tu devrais pouvoir exporter tes mots et utiliser une autre solution si tu en as le besoin.
La seule interrogation avec Mozilla c’est que la fondation semble en difficulté depuis un moment et je sais pas si ce genre de service pourra être maintenu longtemps et de manière fiable.

Le biais cognitif c’est de croire que puisque c’est en local il n’y a pas de risque.

Keepass a été certifié à l’époque parce que l’ANSSI a pour rôle de déterminer des solutions sécurisées. Et à l’époque Keepass était l’une des rare solution de ce type sur le marché.

C’est du vent.
Pour être 2FA, la deuxième solution doit être indépendante (en terme de logiciel ou de service) de la première.

Aucun rapport.
On peut attaquer ton fichier autant qu’on veut sans qu’aucune alerte ne soit générée ni qu’aucun verrouillage n’ai lieu.

Si ce n’est qu’il est passé sur le zéro knowledge.

Ce n’est pas le cas. Le code n’est pas disponible. Point à la ligne.

Pas exactement. Ton keepass n’est pas chiffré en lui-même c’est le contenu qui est chiffré.
Ton fichier a donc une structure spécifique, avec un encodage spécifique sans durée de vie spécifique. Le mot de passe à ouvrir le fichier.
Le cache de Dashlane est un fichier chiffré à durée de vie limitée dont le mot de passe est utilisé pour définir la clef de chiffrrement.

Je confirme et c’est vieux comme architecture.

IL n’y a pas de Graal dans le domaine et malheureusement il n’y en aura jamais. Et je ne te parle pas des ordinateur quantique qui vont mettre toutes ces technologie au rencard.

Possible mais ils n’en ont pas publié l’info, ou je ne l’ai pas trouvé.

J’ai un compte payant qui me coute 50€ par an environ avec :

• Mots de passe et clés d’accès en illimité
• Partage sécurisé entre compte
• Nombre illimité d’appareils
• Surveillance du dark Web
• VPN inclus pour la protection du réseau Wi-Fi
• Alertes de phishing

Et je peux inclure dans le compte ma famille et des amis, dont les données ne me sont pas accessible (ils ont leur propre compte).

Je l’utilise tout autant pour mes identifiants et données perso que pour mon boulot. Sachant qu’au boulot, la solution proposée est KeepassX ou XC je ne sais plus bien. Mais je n’aime pas Keepass personnellement.

Bien sur, mais je ne le fait pas. Car à moins d’une panne de Dashlane (ce qui n’est jamais arrivé depuis 4 ans), il n’y a pas de risque de perdre ses données. Et l’idée est justement de ne pas avoir ces données en local.
Ca implique de considérer Dashlane comme tiers de confiance.

Justement, pour s’en assurer ils veulent déposer (propriétaires) un format specifique et n’accepteront pas un format généré par d’autres entreprises.

Il ne s’agira pas d’avoir un format der fichier comme le PDF utilisable par tout le monde. Il s’agit d’une solution technique complète qui deviendra incontournable, leur permettant ainsi d’avoir la haute main sur toute la vie des gens. Solution qui sera leur unique propriétés.

Effectivement, Mozilla a pas mal de difficulté depuis deux ou trois ans. Certains choix imposés n’ont pas été du goût de tout le monde. Et il faut avouer que les performances par exemple ne sont plus celle qu’il y avait fut une époque.
Etre obligé de fermer l’application pour libérer la mémoire ou d’avoir 15 processus pour 5 pages web, ce n’est pas terrible.