Sécurité et enregistrement des mots de passe

LukePerp · Le 28/01/2024, à 19:56

Christophe, que penses tu d'utiliser 2 clés pour keepassxc au lieu d'une seule pour Fx ?
Il y a même moyen d'avoir 3 clés !

Dernière modification par LukePerp (Le 28/01/2024, à 19:59)

Christophe C · Le 29/01/2024, à 13:40

oui, un double cryptage, c'est forcément mieux. Pas mal de VPN utilisent cela, de nos jours.

Dans l'absolu, je ne pense pas le faire. Pour qu'un double cryptage soit utile, il faut :
1. que quelqu'un accède au DD perso. Ce qui n'est pas si simple. Ce qui explique que le gestionnaire de MDP de Fx (et de chrome, je crois) ne sont pas cryptés par défaut.
2. puis il doit faire sauter le MDP N°1.

A mon sens 2 MDP, cela va trop loin pour mes besoins.
Par exemple, mes codes bancaires sont dans ma tête, je ne les ai pas mis dans le gestionnaire de MDP. C'est au fonds la meilleure sécurité. Je n'ai pas non plus enregistré mon N° de CB dans le navigateur. Je le retape à chaque fois. Donc vu l'accès indispensable au DD et le fait que les infos les plus importantes sont hors système, un MDP N°2 me semble aller un peu loin. Mais pour un pro, ou quelqu'un qui a des infos très importantes (accès à ses bircoins ...), ça fait sens.

Je suppose qu'il faut taper 2 mots de passe au lieu d'1 si on active cette option ?

Dernière modification par Christophe C (Le 29/01/2024, à 13:58)

LukePerp · Le 29/01/2024, à 13:55

Keepassxc retient l'emplacement du fichier clé. Donc avec une ou deux clés, il n'y a que le mot de passe à taper.

Christophe C · Le 29/01/2024, à 13:58

Ah, si on ne doit taper qu'1 seul mot de passe, pourquoi pas ...

NicoApi73 · Le 29/01/2024, à 15:41

Christophe C a écrit :

A mon sens 2 MDP, cela va trop loin pour mes besoins.

Bonjour,

C'est surtout que ça n'améliore pas la sécurité informatique. Le principe de mot de passe et de clé est d'avoir une authentification à 2 facteurs. Le mot de passe est ce que tu sais, la clé, ce que tu possèdes. 2 mots de passe, c'est en fait un seul mot de passe plus long...

La clé ne doit surtout pas être avec la base de données (sinon, c'est comme si tu laissais tes clés à l'extérieur sur ta porte de ta maison!), quelque soit le type de fichier. Le mieux est de l'avoir sur un support amovible que tu utilises quand tu en as besoin. keepass peut la générer.

Le mot de passe doit avoir suffisamment d'entropie (pour bien, plus de 85 bits d'entropie, correspondant à un mot de passe fort, est un minimum pour ce que tu souhaites protéger).

J'utilise keepass2, keepassXC par de la même base (et j'envisage de passer dessus, puisque les bases sont compatibles). Le chemin de la clé peut être mémorisé.

Document à télécharger :
https://cyber.gouv.fr/publications/reco … s-de-passe

Christophe C · Le 30/01/2024, à 10:37

Et l'authentification à 2 facteurs, keepassx ou même firefox, ils savent faire ? Je pense par exemple à un couple mot de passe + carte dans un lecteur, ou mot de passe + authentification SMS

Dernière modification par Christophe C (Le 30/01/2024, à 11:30)

NicoApi73 · Le 30/01/2024, à 11:15

keepassXC, oui : c'est ce que te propose LukePerp et ce que j'utilise moi-même.(A condition que la clé ne soit pas stockée avec la base !)

En ce qui concerne FF, je refuse systématiquement qu'il mémorise les mots de passe depuis que je me suis rendu compte qu'en copiant les fichiers d'un poste à une autre, les mots de passe étaient disponibles... En tout cas, c'était vrai il y a encore 2 ans avec l'installation en .deb.

La notion d'authentification à 2 facteurs est expliquée dans le lien que j'ai mis au #30 ! Ce n'est pas restreint à "un couple mot de passe + carte dans un lecteur, ou mot de passe + authentification SMS" ! keepassXC correspond à l’appellation "coffre-fort" dans le document, la fonctionnalité proposée par FF n'en est pas un.

LukePerp · Le 30/01/2024, à 18:27

Christophe C a écrit :

Et l'authentification à 2 facteurs, keepassx ou même firefox, ils savent faire ? Je pense par exemple à un couple mot de passe + carte dans un lecteur, ou mot de passe + authentification SMS

KeepassXC propose le choix entre :
1 facteur
2 facteurs
3 facteurs avec mot de passe, fichier clé et clé usb
et il n'y a que le mot de passe à taper pour les 3 options. J'espère que tu as bien pigé maintenant ;-)

Christophe C · Le 31/01/2024, à 10:04

Je ne vois pas bien ce qu'est un fichier clé, en fait. Mais je dois lire les liens indiqués (pas fait).
Si un fichier clé c'est un fichier sur disque, le fait d'accéder au disque fait sauter cette protection, non ?

Christophe C · Le 31/01/2024, à 10:35

Oui, je vois l'idée. On met ce fichier sur une clé, et on utilise celle-ci comme une carte de connexion. plus le mot de passe.

NicoApi73 · Le 31/01/2024, à 10:54

C'est un fichier informatique avec une suite de caractères aléatoires, minimum 32 octets (pour avoir une clé de 256 bits). C'est bien expliqué ici (§ Key File) : https://keepass.info/help/base/keys.html

Comme indiqué, si ce fichier se trouve sur le même support (disque...) que ta base de donnée, ça ne sert à rien. C'est comme si tu avais une porte blindée avec un code et une clé, et que tu laisses la clé dessus...

keepass (keepass2 ou keepassXC) mémorise le chemin de ce fichier. En ce qui me concerne, le fichier est sur une clé USB (et il est également sauvegardé sur un disque amovible). Quand j'ai besoin d'accéder à ma base de mot de passe, je branche ma clé USB et je n'ai plus qu'à saisir mon mot de passe dans keepass.

Ma base étant dupliquée sur mon téléphone portable, je procède de même. (Sur le téléphone, keepass2 a même lié le mot de passe à mon empreinte digitale et donc je n'ai plus besoin de le rentrer).

keepass2 et keepassXC sont issus du même projet et par conséquent tu peux utiliser indifféremment l'un ou l'autre. (je n'ai pas trouvé de version Android pour keepassXC)

lool_lauris · Le 31/01/2024, à 12:04

Salut,

O_20_100_O a écrit :

Avec un gestionnaire de mots de passe hors du navigateur , en complément des arguments ci-dessus :
- la base de mots de passe est chez soi, pas chez un tiers

Les identifiants et mots de passe Firefox sont stockés dans le profil Firefox sur le PC hôte, pas chez un tiers. Maintenant, si on utilise la synchronisation (ce qui est un choix personnel pas imposé), les données du profil sont effectivement exportées vers les serveurs Mozilla mais elles sont chiffrées !

krodelabestiole a écrit :

en gros au démarrage de mon ordi, je n'ai qu'un mot de passe à entrer pour tout déverrouiller, ...

Cela veut donc dire que tu ouvres la base Keepass et qu'elle reste ouverte pendant toute la durée de la session... ça ne me paraît pas très secure.

Nuliel a écrit :

MAIS la base de mdp firefox n'est pas chiffrée par défaut (d'ailleurs tu ne rentres probablement aucun mdp pour accéder à la base de mdp): les mdp sont stockés en clair sur le disque...

Non, ils sont chiffrés.
Les identifiants et mots de passe Firefox sont gérés par 2 fichiers => https://support.mozilla.org/fr/kb/recup … s-de-passe
On peut utiliser un mot de passe principal qui déverrouille les mots de passe et permet leur utilisation-gestion.

Christophe C · Le 31/01/2024, à 13:22

@lool_lauris : quand tu dis qu'ils sont chiffrés, c'est dans le cas où il y a un mot de passe maitre ? Sinon ils sont bien en clair, non ? Jamais été regardé, en fait.

krodelabestiole · Le 31/01/2024, à 14:19

Christophe C a écrit :

Et l'authentification à 2 facteurs, keepassx ou même firefox, ils savent faire ?

on peut protéger sa base de données keepass avec une double authentification, c'est ce qui a été décrit en détail par LukePerp qui utilise un fichier vidéo comme clé.

on peut aussi se servir de keepassXC pour gérer très simplement les services qui utilisent une double authentification avec la fonctionnalité TOTP (time-based one-time password) : https://keepassxc.org/docs/KeePassXC_Us … o_an_entry

cependant :

KeePassXC allows me to store my TOTP secrets. Doesn't this undermine any advantage of two-factor authentication?
Yes. But only if you store them in the same database as your password. We believe that storing both together can still be more secure than not using 2FA at all, but to maximize the security gain from using 2FA, you should always store TOTP secrets in a separate database, secured with a different password, possibly even on a different computer.

https://keepassxc.org/docs/

c'est pratique par ex. pour les sites comme github, ou les nombreux services qui exigent la double authentifciation parce que les gens ne prennent pas le problème au sérieux.

du coup ça embête tout le monde même quand on utilise des mots de passe aléatoires extrêmement forts et individuels pour chaque site (ce que permet justement keepass)
je pense pas que ce soit une très bonne stratégie de la part de ces services, je pense qu'il vaudrait mieux sensibiliser les utilisateurs au problème, ou les "éduquer", plutôt que d'ajouter de la complexité pour tous les usagers.

lool_lauris a écrit :

Cela veut donc dire que tu ouvres la base Keepass et qu'elle reste ouverte pendant toute la durée de la session... ça ne me paraît pas très secure.

ça on fait comme on veut : on peut très bien demander à keepass de re-verrouiller la base au bout d'une certaine durée, ou d'une certaine durée d'inactivité (j'ai mis large).

en ce qui me concerne je bosse en freelance sur mon ordi personnel, depuis chez moi où je vis en couple sans enfant. mais je te remercie de t'inquiéter de la sécurité de mon installation (quoi que c'est aussi un peu celle de vos données - sur ubuntu-fr, il faut le reconnaître ). mais, oui, j'y fais attention

____________

Christophe C a écrit :

Je ne vois pas bien ce qu'est un fichier clé, en fait. Mais je dois lire les liens indiqués (pas fait).

si je peux me permettre : ce serait quand même prévenant de consulter les liens que les contributeurs prennent du temps à chercher et à soumettre avant de re-poser les mêmes questions.
(je ne dis pas ça pour toi en particulier : ça arrive souvent sur le forum qu'un demandeur prenne à peine le temps de lire les réponses qu'on a pris le temps de rédiger avec soin et je trouve ça singulièrement énervant - ça m'est arrivé quelques fois dernièrement)

Christophe C · Le 31/01/2024, à 14:41

Et bien lis au moins mon post#35, celui ou je dis que j'ai compris. Il n'était pas nécessaire de répondre sur un point réglé, en me reprochant de n'avoir pas fait une vérif que j'ai faite mais que tu n'as pas vue.

C'est pas grave, cela nous arrive tous

Dernière modification par Christophe C (Le 31/01/2024, à 14:41)

krodelabestiole · Le 31/01/2024, à 14:49

ok, pas de problème ! d'autant que je pense que cette discussion apporte pas mal d'info, du coup je la lie à la doc.

lool_lauris · Le 31/01/2024, à 17:53

krodelabestiole a écrit :

lool_lauris a écrit :
Cela veut donc dire que tu ouvres la base Keepass et qu'elle reste ouverte pendant toute la durée de la session... ça ne me paraît pas très secure.
ça on fait comme on veut : on peut très bien demander à keepass de re-verrouiller la base au bout d'une certaine durée, ou d'une certaine durée d'inactivité (j'ai mis large).
en ce qui me concerne je bosse en freelance sur mon ordi personnel, depuis chez moi où je vis en couple sans enfant. mais je te remercie de t'inquiéter de la sécurité de mon installation (quoi que c'est aussi un peu celle de vos données - sur ubuntu-fr, il faut le reconnaître ). mais, oui, j'y fais attention

C'est curieux cette façon condescendante de répondre "je te remercie de t'inquiéter de la sécurité de mon installation "...

Pour en revenir au sujet, soit on ouvre la base keepass une fois pour toute, ce qui est pratique mais pas sécurisé du tout, soit il faut l'ouvrir à chaque fois que l'on fait un accès vers un site nécessitant un login et un mdp, ce qui n'est pas pratique du tout et va vite devenir très fastidieux...

Avec Firefox, si on a un mdp principal, on le renseigne pour toute la durée de la session Firefox et ainsi les login-mdp sont accessibles à chaque requête du site qui le nécessite ; mais les mdp restent masqués et non lisibles en clair.

Christophe C · Le 01/02/2024, à 11:42

Ah, tu es le 1er à indiquer que pour certaines utilisations Fx serait + sécurisé que KeepassX. mais je ne suis pas sur de bien comprendre pourquoi.

Si le mot de passe maitre (keepassX ou Fx) déverrouille tous les Login / mots de passe de la session, le résultat doit être le même des 2 côtés : ils deviennent accessibles à un pirate qui espionne la session, non ?

lool_lauris · Le 01/02/2024, à 12:26

Quand tu déverrouilles la base keepass, les mots de passe sont accessibles et lisibles et clair.

Dans Firefox, si tu utilises un mot de passe principal, que tu as autorisé l'enregistrement des mdp et le remplissage automatique, les login et mdp seront immédiatement accessibles sur les pages des sites qui le nécessitent. Mais les mdp resteront masqués. Si tu te rends à Paramètres > Mots de passe, tu verras que ceux-ci sont toujours masqués et qu'il faut saisir le mot de passe principal (celui qui protège la base) pour visualiser en clair le mdp.

En fait, si tu utilises Keepass et que tu veux garder de la sécurtité, il faudra saisir le mot de passe maître à chaque fois que tu auras besoin d'entrer un login-mdp sur un site le nécessitant. Et ça, ça devient très vite gonflant... je parle en connaissance de cause, je l'ai pratiqué.

Donc, tout dépend de ta pratique, et si tu te connectes souvent sur des sites nécessitant login-mdp.

Christophe C · Le 01/02/2024, à 13:09

oui, j'avais vu ces comportements, mais je n'avais pas réfléchit plus avant. Effectivement, le comportement de Fx semble pour le coup plus sécurisé.

Ensuite, reste le problème de la clé de cryptage des MDP. En 2019 j'ai un document qui parle d'une clé de 112 bits. En 2024, je ne trouve rien. Impossible de savoir si Fx est passé à un clé plus robuste (256 ou 512), ou pas. C'est assez bizarre.

krodelabestiole · Le 01/02/2024, à 15:04

lool_lauris a écrit :

Pour en revenir au sujet, soit on ouvre la base keepass une fois pour toute, ce qui est pratique mais pas sécurisé du tout

c'est heureusement complètement faux. ce n'est pas parce que la base est déverrouillée que n'importe quelle application y a accès.
c'est d'ailleurs exactement comme ça que fonctionne keyhorse, firefox, n'importe quel gestionnaire de mot de passe, et n'importe quel agent SSH, sur n'importe quel système d'exploitation !

krodelabestiole · Le 01/02/2024, à 15:11

Christophe C a écrit :

oui, j'avais vu ces comportements, mais je n'avais pas réfléchit plus avant. Effectivement, le comportement de Fx semble pour le coup plus sécurisé.

ceci est donc une conclusion erronée tirée d'une information fausse.

lool_lauris · Le 01/02/2024, à 15:16

krodelabestiole a écrit :

lool_lauris a écrit :
Pour en revenir au sujet, soit on ouvre la base keepass une fois pour toute, ce qui est pratique mais pas sécurisé du tout
c'est heureusement complètement faux. ce n'est pas parce que la base est déverrouillée que n'importe quelle application y a accès.

Bah non ! Tant que la base est ouverte, càd non verrouillée, les mots de passe sont accessibles et visibles en clair. Pas sur Firefox.

lool_lauris · Le 01/02/2024, à 15:17

Christophe C a écrit :

Ensuite, reste le problème de la clé de cryptage des MDP. En 2019 j'ai un document qui parle d'une clé de 112 bits. En 2024, je ne trouve rien. Impossible de savoir si Fx est passé à un clé plus robuste (256 ou 512), ou pas. C'est assez bizarre.

Tu as des informations ici => https://blog.mozilla.org/fr/products/fi … -lockwise/ au paragraphe "Quel niveau de sécurité offre Firefox Lockwise ?".

krodelabestiole · Le 01/02/2024, à 15:22

donc tu assures ta sécurité en cachant tes mots de passe derrière une fenetre ? ou sur les bords de l'écran ?
non parce que sur une session ouverte il suffit d'ouvrir firefox et de les demander pour les avoir, les mots de passe !

tu vas vraiment essayer de défendre cette idée absurde ?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#26 Le 28/01/2024, à 19:56

Re : Sécurité et enregistrement des mots de passe

#27 Le 29/01/2024, à 13:40

Re : Sécurité et enregistrement des mots de passe

#28 Le 29/01/2024, à 13:55

Re : Sécurité et enregistrement des mots de passe

#29 Le 29/01/2024, à 13:58

Re : Sécurité et enregistrement des mots de passe

#30 Le 29/01/2024, à 15:41

Re : Sécurité et enregistrement des mots de passe

#31 Le 30/01/2024, à 10:37

Re : Sécurité et enregistrement des mots de passe

#32 Le 30/01/2024, à 11:15

Re : Sécurité et enregistrement des mots de passe

#33 Le 30/01/2024, à 18:27

Re : Sécurité et enregistrement des mots de passe

#34 Le 31/01/2024, à 10:04

Re : Sécurité et enregistrement des mots de passe

#35 Le 31/01/2024, à 10:35

Re : Sécurité et enregistrement des mots de passe

#36 Le 31/01/2024, à 10:54

Re : Sécurité et enregistrement des mots de passe

#37 Le 31/01/2024, à 12:04

Re : Sécurité et enregistrement des mots de passe

#38 Le 31/01/2024, à 13:22

Re : Sécurité et enregistrement des mots de passe

#39 Le 31/01/2024, à 14:19

Re : Sécurité et enregistrement des mots de passe

#40 Le 31/01/2024, à 14:41

Re : Sécurité et enregistrement des mots de passe

#41 Le 31/01/2024, à 14:49

Re : Sécurité et enregistrement des mots de passe

#42 Le 31/01/2024, à 17:53

Re : Sécurité et enregistrement des mots de passe

#43 Le 01/02/2024, à 11:42

Re : Sécurité et enregistrement des mots de passe

#44 Le 01/02/2024, à 12:26

Re : Sécurité et enregistrement des mots de passe

#45 Le 01/02/2024, à 13:09

Re : Sécurité et enregistrement des mots de passe

#46 Le 01/02/2024, à 15:04

Re : Sécurité et enregistrement des mots de passe

#47 Le 01/02/2024, à 15:11

Re : Sécurité et enregistrement des mots de passe

#48 Le 01/02/2024, à 15:16

Re : Sécurité et enregistrement des mots de passe

#49 Le 01/02/2024, à 15:17

Re : Sécurité et enregistrement des mots de passe

#50 Le 01/02/2024, à 15:22

Re : Sécurité et enregistrement des mots de passe

Pied de page des forums