Utilisation d'un gestionnaire de mot de pass; Keepass ou autre

Goupil26

Membre
Bonjour:

Vu que pas mal d'entre vous ont un certain nombre, voire un nombre certain, de contrats d'assurance vie, Pea, Pea/ Pme, BEL et banque physique, comment gérez vous vos identifiants et mots de passe en toute sécurité et facilité?

Pour ma part j'utilise le logiciel Open source Keepass depuis plusieurs années et j'en suis satisfait.

Je gère la totalité de mes comptes internet, pas uniquement les banques et assurances vies, mais aussi EDF, Retraite, Eau, Assurances, Téléphones, ...etc une centaine d'entrées quand même quand on regarde bien.
 

mvhrb888

Contributeur régulier
Question intéressante en effet, et j'ajouterais, en mode parano, une question sur la sécurité de ces logiciels. Si je confie tous mes mots de passe à un logiciel est-ce qu'il ne risque pas de les transmettre à quelqu'un ?
 

Goupil26

Membre
Bonne remarque: le fait que le logiciel soit libre est la meilleure garantie de l'absence de faille de sécurité de ce type (y)
 

poam5356

Modérateur
Staff MoneyVox
En mars, un rapport a été publié par un groupe d'auditeurs de sécurité qui ont passé en revue les principaux gestionnaires de pwd : 1Password, Dashlane, KeePass et LastPass.
"Le rapport a montré que tous ces gestionnaires de mots de passe ne sont pas parvenus à fournir les dispositifs de sécurité pour protéger les mots de passe des utilisateurs comme promis dans leur publicité."

En somme, selon les auditeurs, les gestionnaires de pwd ne sont pas plus sûrs que de conserver les pwd en clair dans un fichier.
 

Goupil26

Membre
En mars, un rapport a été publié par un groupe d'auditeurs de sécurité qui ont passé en revue les principaux gestionnaires de pwd : 1Password, Dashlane, KeePass et LastPass.
"Le rapport a montré que tous ces gestionnaires de mots de passe ne sont pas parvenus à fournir les dispositifs de sécurité pour protéger les mots de passe des utilisateurs comme promis dans leur publicité."

En somme, selon les auditeurs, les gestionnaires de pwd ne sont pas plus sûrs que de conserver les pwd en clair dans un fichier.
Je suis surpris de ce rapport car l'ANSSI recommande Keepass et pas mal d'entreprises sensibles utilisent aussi ce logiciel.
C’est dalleurs dans le monde professionnel que j'ai découvert Keepass.

 

poam5356

Modérateur
Staff MoneyVox
Pour avoir travaillé longtemps dans les infrastructures informatiques, je peux vous dire que malgré les multiples protections mises en place, il y a toujours une faille quelque-part que finiront par exploiter des hackers..... La 1ère des failles étant généralement l'utilisateur lui-même.
Le rapport en question pointait notamment un problème lié au logiciel lui-même qui conserve son propre pwd en mémoire vive et en clair. Si un hacker est entré dans le PC, ou a déposé un logiciel espion, il peut récupérer le pwd du gestionnaire de pwd et a alors accès à tous ceux enregistrés par l'utilisateur.
A mon avis, tous les logiciels de protection, d'accès, de ftp, de gestion, etc, doivent être décortiqués par les hackers pour ensuite en exploiter les failles.
Mon site web a été hacké il y a quelques années de ça parce que un hacker a "vu" que j'utilisais Filezilla pour faire les transferts. A partir de là, le hacker sait que Filezilla enregistre en clair les paramètres de la connexion au site internet à un endroit bien précis.... Suffit pour lui d'aller les chercher, et il dépose ensuite ce qu'il veut sur le site web en utilisant le compte de connexion volé à l'utilisateur.
Solution : nettoyer le site web, changer les pwd de connexion.... Et ne surtout plus enregistrer via le logiciel ces nouveaux paramètres. Il faut les stocker quelque-part dans le PC et les taper manuellement à chaque connexion au site web.
Et là, pour en revenir à votre sujet initial, et en souvenir de Filezilla, c'est ce que je fais pour tous mes accès divers et variés qui nécessitent en général un couple login/pwd.
Tout est dans un simple fichier txt que je consulte si besoin est. A mon avis, c'est la meilleure sécurité qui puisse exister.
 

paal

Top contributeur
Il faut les stocker quelque-part dans le PC et les taper manuellement à chaque connexion au site web.

Et là, pour en revenir à votre sujet initial, et en souvenir de Filezilla, c'est ce que je fais pour tous mes accès divers et variés qui nécessitent en général un couple login/pwd.
Tout est dans un simple fichier txt que je consulte si besoin est.
A mon avis, c'est la meilleure sécurité qui puisse exister.
C'est ce que nous faisons depuis des lustres, et lui donner un nom bateau qui ne retienne pas l'attention ....
 

NDi

Contributeur
Très vaste sujet que les mot de passe et leur gestion ...

Comme indiqué la plus grande faille vient e l'utilisateur (au moins 90%), j'ai m^me vu le MdP écrit sur un papier et scotché au dos du clavier ...

Par contre si un utilisateur ne "fournit" pas facilement son mdp, c'est alors les progiciels qui ont la vulnérabilité.
Sur les systèmes d'exploitations tels MVS, Open VMS voire Windows NT [Pour ces deux dernier OS le concepteur est David Neil Cutler) , le codage est seulement injectif et les algorithmes sont dans le domaine de sécurité de l'armée américaine, donc il ne peut "fournir les dispositifs de sécurité".

Des "programmes" comme ftp, sql et autres sont malheureusement une très grande source pour les hackers car les mdp transitent d'une façon claire et non cryptée, et très difficile de modifier régulièrement ces mdp. Ces mdp ne davt "transiter" que dans le réseau "système" des infrastructures informatiques.

Maintenant pour les utilisateurs de base qui doivent se souvenir non seulment des mdp mais également des "login" c'est rapidement un calvaire. Perso je dois avoir une centaine de couple login/mdp à me souvenir, alors il faut un peu de méthodologie, par exemple :

Comptes de type EDF / GDF / SNCF / enfin services (ce qui doit faire une quinzaine) : 1 couple login/mdp, si pas possible au niveau login, au moins le même mdp.
Comptes mail/free .... pareil même mdp
Comptes . gouv : un mdp
Comptes "achats internet" : utiliser un des compte mail qui ne servira qu'à celà et un mdp commun
Et ainsi de suite.

Le Pb est que l'on accède à certains une fois par an et difficile de se souvenir de tout.

Comme indiqué un fichier .txt fait très bien l'affaire. J'utilise cette méthode mais sur une petite clé USB mais avec cryptage du fichier. Clé USB que je conserve comme ma CNI ou ma CB.
Et encore dans le .txt je n'indique pas tout.
Par exemple pour un compte gmail : xxxxxxxx @ gmail.com (xxxxx étant le nom du compte en clair) / monmdpyyyyyy
où monndp est le début du mot de passe et yyyyyy est une suite de chiffres ou lettres qu'il faut connaitre par coeur.

De toute façon la sécurité doit être proportionnelle à la valeur des données, c'est comme le prix d'une assurance.
 
Dernière modification par un modérateur:

devel

Contributeur
En mars, un rapport a été publié par un groupe d'auditeurs de sécurité qui ont passé en revue les principaux gestionnaires de pwd : 1Password, Dashlane, KeePass et LastPass.
"Le rapport a montré que tous ces gestionnaires de mots de passe ne sont pas parvenus à fournir les dispositifs de sécurité pour protéger les mots de passe des utilisateurs comme promis dans leur publicité."

En somme, selon les auditeurs, les gestionnaires de pwd ne sont pas plus sûrs que de conserver les pwd en clair dans un fichier.
Keepass est pourtant le logiciel conseillé par le ministère de l'intérieur.
Travaillant dans le public, c'est toujours le logiciel conseillé actuellement.
Pour ma part, j'ai choisi Dashlane pour son interface et son accès en ligne.
 
Haut