Gestionnaire de mots de passe

De toute les façon qu’on aborde le sujet, il n’y a pas de solution miracle.
Certaines sont meilleures que d’autres.
Mais il ne s’agit toujours que de pis aller.

On peut toujours avoir une solution locale même hébergée sur un petit serveur. Mais légalement en France par exemple, le niveau de chiffrement nécessaire est théoriquement interdit pour un particulier.
En 1999 u ne clef ne peut dépasser 128 bits.
C’est la LCEN qui définie ce qu’on a le droit de faire.
Pour plus d’info:
https://www.ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/securite-secret-et-legalite/

Je suis le seul à utiliser Buttercup

Et Masterpassword - Spectre ?

https://spectre.app/

Je les utilise pour ne rien stocker (MasterPassword)
Ou avoir mon app en local et mon fichier de stockage sur mon hébergement ou en local suivant que je l’utilise sur plusieurs machines ou pas. (Buttercup)

Cela implique que tu dois mettre en place une plateforme complète, isolée d’intervention extérieures autres que les tiennes, avec une sécurité forte à tous les niveaux: matériel, système, stockage, logiciels, configuration, administration plus les habituels firewall, IDS, etc…

J’avais essayé avec LastPass, mais trop contraignant à utiliser quand tu as besoin d’un mot de passe en dehors de chez toi.

la mauvaise foi, c’est inné ou tu t’entraînes au quotidien ?
C’est indépendant, c’est sur une clé usb

La double authentification , authentification à deux facteurs ( A2F )1, authentification à double facteur ou vérification en deux étapes ( two-factor authentication en anglais, ou 2FA ) est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification.

[quote=« Zargos, post:20, topic:88738 »]
On peut attaquer ton fichier autant qu’on veut sans qu’aucune alerte ne soit générée ni qu’aucun verrouillage n’ai lieu.

[quote]
mais tu l’obtiens comment ce fichier, par télépathie ?
Si on récupère les bases de dahslane, on peut les attaquer par brute force, zero knowledge ou pas.
Ça prouve quoi ?

Considérer Dashlane comme tiers de confiance, pourquoi pas, mais c’est une approche singulière
J’espère que Dashlane fait des offrandes régulièrement pour que ça continue.

l’anssi recommande d’avoir des tailles de clé supérieur

l’idée est intéressante d’autant qu’on peut installer le client qu’on veut ou héberger la page.
par contre, si on veut changer un mot de passe, ça nécessite de changer le ‹ spectre secret › ?

et quand les mots de passe sont imposés, on est obligé de passer par une autre solution donc c’est limité comme utilisation.

Au final ça revient à se connecter à un service de type dashlane puisqu’on a un identifiant et un mot de passe, sauf qu’il nous ressortira toujours les mots mots de passe pour un site (même si les données ne sont pas stockées)

Les deux authentifications ne peuvent pas venir de la même source. C’est la définition du 2FA.
Après le desobligeant tu te les gardes stp.

Tu ne peux récupérer les bases que par un import uniquement. Pas d’import pas de base. Le cache n’est pas une base. Et contrairement à Keepass, Dashlane est de conception zéro-knowledge.

Tu n’as pas précisé.

je vois que tu ne connais pas la notion de tiers de confiance en sécurité, cultives toi.

Tout à fait. Mais ce que le gouvernement permet et ce que l’ANSSI recommande sont parfois très différent.

Dashlane ne connais pas le mot de passe qui est d’ailleurs un mot de passe maitre qui sert de clef de chiffrement.
Spectre n’utilise pas le zéro knowledge.
les deux fonctionnent sinon sur un système de hash.

je parlais de ne pas avoir de backup.

Si tu prenais le temps de lire les réponses, je l’ai indiqué plus haut.

Je m’arrête ici puisque la discussion est stérile et on s’éloigne du sujet de @josephtux

Quand tu changes de mdp, tu changes de version, c’est prévu.
Il est également prévu un certain nombre de complications (mdp long, cour, passphrase, pin…)
Ca couvre 90% au moins des cas.
J’utilise ensuite Buttercup pour les 10% restants et les mdp dont j’ai besoin sur plusieurs outils.

Entièrement d’accord avec les deux points…
J’utilise Keepass2 sur Debian et un homologue open source compilé par F-Droid sur mon téléphone.

Et moi KeepassXC sur Debian, et KeepassDX sur Android, la BdD étant sur mon instance netcloud perso.

Ça n’existe pas un mot de passe dans intérêt, s’il y a mot der passe il y a intérêt. Ce sont éventuellement les données derrières qui sont peut être sans intérêt.
Mais il ne faut absolument pas considérer à la légère tout mot de passe utilisé sur des systèmes ne serait-ce que pour les liens qu’il peut exister.

Pour moi la première qualité d’un gestionnaire de mot de passe c’est le zéro knowledge. C’est la fonctionnalité de base. Si l’outil ne l’a pas, il est out.

Tu parles de quels liens ?

les relations si tu préfères. IL peut être plus facile qu’on ne le croit d’établir des relations entre des mots de passes

Si on utilises un gestionnaire de mot de passe, la plupart des mots de passe sont généré aléatoirement ou ils sont imposés sans possibilité de le changer.
D’où l’importance de savoir hiérarchisé ses accès et comptes quand on passe à l’utilisation d’un gestionnaire de mot de passe. On commence par changer les mots de passe les plus sensibles (messageries, administration, banque, pro, …) jusqu’à ce que tous les comptes soient sécurisés aux mieux (on en profite pour ajouter le 2FA quand c’est dispo)
Par exemple, mon compte sur debian-fr.org n’est pas sensible sachant que l’ensemble des conversations est public. Je viens de voir que le site proposais du 2FA

Keepass propose des rapports pour les mots de passe faibles ou réutilisés. Les autres doivent proposer des choses similaires.

Tous les services du type HaveIBeenPawned, en cas d’alerte, le mot de passe doit être changer rapidement et effectivement on vérifie que les identifiants ne soit pas utilisé par d’autres comptes.

Sinon, y a des gens qui ont des bons conseils :

Aléatoirement en fonction des critères définis; imposé non, je doute de ton niveau de connaissance sur le sujet, ou alors il va falloir que tu donnes des exemples précis.
Les seuls mots de passes fiables sont justement les mots de passe aléatoires à condition d’être assez longs, et contenir minuscules, majuscules, nombres et caractères non alphanumériques.
Le mFA/2FA est bien évidement un plus, jusque certaines limites car il a déjà été prouvé que certaines de ces technologies sont faillibles.

Visiblement tu fais une fixation sur celui là. Sur ce sujet le fondement de ton argumentaire est un peu absent.

Sinon, désolé je ne vais jamais sur les redirection Facebook avec identification obligatoire (un comble concernant le sujet). Les sujets de ce type oraux ou vidéos m’ennuient. Quand on est pas capable d’écrire le propos me semble toujours limité (mais ça reste un choix personnel, les parole s’envole les écrits restent).

Mais dans les deux cas, qu’ont-ils de plus sur le sujet?

Bonjour,

La notion d’aléatoire, concernant la génération d’un mot de passe via un logiciel, pourrait presque être discutée sur un fil dédié tant il y a à dire
Mais pour résumer, je ne peux qu’aller dans le sens de @Zargos à ce sujet : si on veut des mots de passe sûrs, il faut de l’aléatoire, de la complexité et de la longueur (en ce sens, les « passphrases » ont leurs limites et ne devrait pas être recommendées pour des MDP de services critiques).

Sur du critique, l’association d’un second facteur d’authentification doit être privilégiée.

Pour en revenir aux premiers postes abordés, il me semble qu’une question n’a pas été abordée : celle du contexte.
En effet, autant je ne peux que décourager l’utilisation d’un gestionnaire de mots de passe en ligne (aucun n’est réellement sûr, désolé si je suis un peu dur dans mes propos) et encore plus ceux des navigateurs (synchronisés ou non), autant il me semble pertinent de penser au contexte professionnel et/ou personnel. A titre d’exemple, on peut avoir dans certains cas nécessité de mutualiser/synchroniser des ressources et, dans ce cas, le gestionnaire en ligne peut faire sens (mais toujours sur du « non critique », à mon avis).

A titre personnel (donc sans doute discutable), voici ma pratique :

• 1 gestionnaire de mdp par machine (chaque machine correspondant à un usage) : KeepassXC sur ordinateur (Linux) et KeepassDX sur mon smartphone (GrapheneOS)
• pas de gestionnaire sur mes machines que je considère comme non fiables (genre Ipad, etc). Si je dois m’authentifier sur ces machines, je n’utilise que des connexions permettant l’utilisation d’un second facteur et je renseigne le mdp manuellement.

Et vous l’aurez compris, pas de synchronisation

Voilà ma modeste contribution

L’ANSSI recommande beaucoup de chose mais en aucun cas Dashlane
L’ANSSI a publié à plusieurs reprises que ce qui compte le plus sur la dureté d’une clé en bit s’est la taille

Petit rappel de l’ANSSI : https://www.ssi.gouv.fr/uploads/2021/10/anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf

Maintenant lorsque j’ose dire que le gestionnaire de Firefox pour l’utilisation lambda ne modifie en rien la sécurité d’un Dashlane c’est qu’il chiffre tout deux chez eux la donnée (impossible à récupérer soi-même si on perds le mos de passe servant au déchiffrement).
Ils sont tout deux simples d’utilisation avec une intégration relativement poussée même si Firefox et son gestionnaire de synchro et chiffrement de mots de passe se borne à une seule utilisation les services extérieurs

C’est bien de contredire les gens et de vouloir faire montre de ces connaissances évolués en cybersécurité mais lorsque l’on exige le plus haut niveau de sécurité, ça ne concerne pas tout le monde et cela pousse à faillir.

Cela fait bien longtemps que l’on pousse les gens à ne plus changer leur mots de passe tous les 6 mois (contre productif et poussant à utiliser des mots de passe du type +1, +2, +3).

le top c’est tout de même l’utilisation de token unique généré à la vollée mais c’est pas pour tout de suite dans les ordi à madame michu

l’ANSSI n’a rien publié depuis 2015 sur le sujet en termes de recommandations

Je privilégie Dashlane car c’est l’un des rares à utiliser la technique du zéro knowledge.
Mais de totue façon, il faut utiliser un coffre-fort de mot de passe. La gestion des mots de passes incluse dans les navigateurs est trop faible, et d’ailleurs ni l’ANSSI ni les organismes de sécurité ne le conseille.

Et surtout ce n’est pas gratuit. Ce sont des technologie chères pour madame michu.

Il y a un protocole pour récupérer tes données au cas où tu perd ton mot de passe. C’est compliqué mais c’est possible.
Sur le focntionnement, allez voir les liens sur le ZKP, le Zero Knowledge Proof.

De toute façon l’identification restera un vrai problème.

• C’est difficile à gérer
• C’est facile à usurper sur le principe
• Nous vivons dans une société où ceux qui sont chargé de nous protéger ou de protéger nos intérêts sont justement ceux qui violent ces intérêts (les militaire avec leur humour particulier appellent ça un tier de confiance).
• L’identité est aussi matière à commerce
• Le droit d’expression des gens est directement impacté par la gestion des identités. La possibilité de pouvoir le faire anonymement (pour le bien ou pour le mal) est le seul moyen de ne pas être attaqué par les institutions précédemment cité.

Il ne faut pas s’y tromper, l’identification unique voulue par les GAFA, Microsoft en tête, n’est qu’un moyen supplémentaire de nous prendre en otage et surtout de nous ficher. C’est l’équivalent numérique de la marque au feu que pratiquaient les éleveurs sur le bétail.
On peut ensuite derrière faire ce qu’on veut si on contrôle toutes les identité partout sur tout et tout le temps. 1984 ni plus ni moins.
J’ai déjà vu lors de réunion des discours extrêmement inquiétant sur le sujet.

Regarde les le lien fourni de 2021 c’est pas la seule publications ma foi je cherche pas à prêcher un convaincu simplement à réaffirmer que le gestionnaire d’un navigateur comme Firefox est bien assez sûr pour que @josephtux puisse l’utiliser.

À l’Éducation nationale, si, et j’ai eu exactement la même réaction que toi : ça pousse les gens à avoir un mot de passe court ou du genre « A »+10*« a »+« 1! ».