Coffre-fort de mot de passe : état des lieux
10 avril 2018 09:00 8 messagesPour (re)définir ce que j’entends par Coffre-fort de mot de passe, je dirai ceci : "Dans le guide d’hygiène numérique, j’évoque le fait qu’il faut avoir un mot de passe différent généré aléatoirement par site, le tout stocké dans un logiciel dédié, un coffre-fort de mot de passe, qui s’ouvre avec une phrase de passe"
J’ai écrit différents articles de sensibilisation et de partage sur les mots de passe et les coffres-forts de mot de passe et je vous mets la série de lien ci-dessous :
– Les phrases de passe
– Changement de mot de passe et testament numérique
– Keepass au quotidien c’est possible
– A.I.2 - Porte blindée ou coffre-fort ?
Et d’une façon générale, Les billets tagués Keepass
Il existe des solutions de service en ligne qui ont l’avantage de proposer une synchronisation (via Internet) entre différents appareils (ordinateur, smartphone, tablette), mais dont le code source n’est pas accessible. Les experts en sécurité des podcasts que j’écoute (Le Comptoir Sécu pour ne pas le nommer) utilise et vante ce type de solution. Personnellement, adepte du logiciel libre, j’ai fait depuis un moment le choix de Keepass. Il faut un petit temps d’adaptation, car un gestionnaire de mot de passe (l’autre nom pour coffre-fort de mot de passe) demande un petit temps d’appropriation. Avec le temps, le réflexe est là : toute nouvelle inscription sur un site passe par la création d’une fiche dans Keepass, la création d’un mot de passe aléatoire utilisé uniquement pour le site en question.
Quelle solution pour une synchronisation ?
Différents billets de blogs et messages dans des forums proposent une même solution, à savoir :
– KeepassX (dans mon cas je suis passé à KeepassXC) ;
– Synchronisation du fichier de base de données via Nextcloud ;
– Application Keeweb intégrée à Nextcloud pour avoir un accès web ;
– Application Keepass2Android et synchronisation Webdav ou via l’application Nextcloud pour un usage mobile.
Quid des sauvegardes ?
Le fait d’avoir un coffre-fort de mot de passe synchronisé entre plusieurs appareils ne fait pas que l’on en a une sauvegarde. Car si on modifie / supprime un des mots de passe du coffre-fort, avec la synchronisation, la suppression est copié dans toutes les versions et on perd définitivement le mot de passe. Les recommandations liées aux sauvegardes s’applique donc là aussi : on copiera régulièrement le fichier du coffre-fort numérique sur un espace de confiance (par exemple un disque externe sur lequel on fait ses sauvegardes, disque que l’on conserve soigneusement).
Quid de la sécurité ?
La sécurité de Keepass tient essentiellement à la qualité et la complexité (la longueur) de la phrase de passe (il faut également penser à mettre à jour le logiciel).
La synchronisation via Nextcloud pose le soucis de la sécurisation de Nexcloud en lui-même (il faut maintenir le serveur à jour et de façon sécurisé et de préférence déléguer cette partie à un administrateur système de confiance, comme au sein des CHATONS par exemple).
Dans le cas de la synchronisation par un client Nexcloud sur son téléphone, on a donc une copie de son coffre-fort numérique sur son téléphone. Tout comme avec son ordinateur (rappel les smartphones ne sont rien d’autres que des ordinateurs au format poche), il faut donc protéger son appareil avec un code, nécessaire au déverrouillage. Et activer le chiffrement du disque.
Autre solution (complémentaire) : avoir deux conteneurs Keepass. Un avec les mots de passe usuels que l’on peut utiliser sur un smartphone et un avec les mots de passe critique qu’on n’utilisera que sur des appareils de confiance, qui risquent peu (il y a toujours un risque, quelque soit l’appareil, mais il est plus facile de voler un smartphone - ou de le perdre) qu’un ordinateur de type tour qui ne bouge pas de son bureau.
Dans la même rubrique
15 janvier 2019 – Secure-delete
28 septembre 2018 – Devenir SysAdmin d’une PME - La gestion des mots de passe
2 mai 2018 – Bureau à distance Google Chrome
10 avril 2018 – Coffre-fort de mot de passe : état des lieux
20 mars 2018 – Silence vs signal quelle combinaison ?
8 Messages
Coffre-fort de mot de passe : état des lieux, David | 10 avril 2018 - 10:14 1
Hello,
tu parles de Keeweb intégré à NextCloud, il s’agit de cette app : https://github.com/jhass/nextcloud-keeweb ?
Ou bien tu as une autre solution à proposer ?
Qu’est-ce qui te donne confiance dans l’un ou l’autre ? (je ne suis pas expert en sécurité et j’aurais du mal à évaluer la solidité et la confiance que je peux avoir dans l’application que je cite plus haut par exemple)
Merci :)
Coffre-fort de mot de passe : état des lieux, Jérémy | 10 avril 2018 - 10:20 2
Merci pour ce billet,
as-tu déjà essayer d’autre solution comme teampass ou pass bolt ? qui sont des sites web et donc il n’y a plus besoin de faire de synchronisation.
Coffre-fort de mot de passe : état des lieux, y0no | 10 avril 2018 - 12:14 3
Les solutions comme Keepass sont vraiment top face à du Lastpass ou du Dashlane au niveau des fonctionnalités et de l’UX. Malheureusement pour le partage de mot de passe en team, il semble que le libre soit passé totalement à côté et que rien ne puisse répondre à ce besoin. C’est dommage c’est un secteur où le libre aurait sa place en entreprise.
Du coup je rejoins le comptoir sécu sur le choix de solution SaaS.
Coffre-fort de mot de passe : état des lieux, Solarus | 10 avril 2018 - 15:56 4
Salut Genma.
Je bosse justement en ce moment sur la sécurité de la solution KeepassXC + Nextcloud.
J’espère terminer mon article cette semaine, je te tiens au courant.
Coffre-fort de mot de passe : état des lieux, hetica | 10 avril 2018 - 18:38 5
Salut genma,
Pour ma part, j’utilise revelation, qui tourne sous Linux.
Sinon, je n’ai pas vraiment confiance à des sites tiers, et encore moins en mon téléphone androïd pour stocker mes précieux sésames.
keepass tusk, arnauld | 10 avril 2018 - 21:29 6
Il y a aussi keepass tusk https://github.com/subdavis/Tusk , que j’utilise pour Firefox et Chrome.
Coffre-fort de mot de passe : Vault by HashiCorp ?, fero14041 | 11 avril 2018 - 11:27 7
Hello,
Pour gérer les mots de passe en équipe, j’ai dans le viseur le logiciel Vault (https://www.vaultproject.io/), développé par HashiCorp (l’entreprise derrière Vagrant, son produit probablement le plus connu). Quelqu’un l’a déjà utilisé ?
Sinon, je regarde aussi du côté de passman (https://github.com/nextcloud/passman), une application pour nextCloud...
Coffre-fort de mot de passe : état des lieux, WillehKey | 24 mai 2018 - 13:48 8
Sinon pour Android il y a mieux : Keepass DX disponible sur F-droid