<div dir="ltr">Bonjour,<div><br>Disclaimer: je suis le créateur de Mooltipass, un stockeur de mot de passe hors ligne (<a href="http://www.themooltipass.com" target="_blank">www.themooltipass.com</a>) complètement open source: <a href="https://github.com/limpkin/mooltipass" target="_blank">https://github.com/<wbr>limpkin/mooltipass</a></div><div><br></div><div>Que penser des gestionnaires de mot de passess comme celui de firefox ? Est-il sûr ?<br></div><div>>> A mon gout bien plus sur que la plupart des logiciels de stockage de mot de passe. Voici une news qui fait froid dans le dos: <a href="http://www.theregister.co.uk/2016/07/27/zero_day_hole_can_pwn_millions_of_lastpass_users_who_visit_a_site/" target="_blank">http://www.theregister.<wbr>co.uk/2016/07/27/zero_day_<wbr>hole_can_pwn_millions_of_<wbr>lastpass_users_who_visit_a_<wbr>site/</a> , où visiter un simple site internet permet de compromettre tout les logins / mots de passe stockés par un tel logiciel</div><div><br></div><div>Nous allons lancer le Mooltipass Mini via Kickstarter dans 2 semaines, un petit device (79x35x12mm) portable qui sert ainsi de stockeur de mot de passe physique. Il est compatible avec tout type d'OS (détecté comme un clavier) et offre une intégration native dans Chrome (Firefox en cours de test).<br></div><div><br></div><div>Cordialement,</div><div>Mathieu Stephan</div><div class="gmail_extra"><br><div class="gmail_quote">2016-09-20 16:00 GMT+02:00 Michael Parchet <span dir="ltr"><<a href="mailto:mparchet@sunrise.ch" target="_blank">mparchet@sunrise.ch</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<div>
<p style="margin-bottom:0.2in;line-height:100%">Bonjour,<br>
<br>
J'ai
encore les questions suivantes :</p>
<ol>
<li>
<p style="margin-bottom:0in">Que penser des gestionnaires de
mot de passess comme celui de firefox ? Est-il sûr ? </p>
</li>
<li>Est-ce qu'il y en a qui peuvent être installé chez un
hébergeur local que je choisis et qui fonctionne si possible
avec ios, mac et linux ? </li>
<li>Est-ce que keypassx ou autre gestionnaire de mot de passe
peut s'intégrer dans firexof pour ios et desktop?
</li>
</ol>
Merci pour le renseignement<br>
<p>
Salutations</p>
<p><br>
mparchet<br>
<br>
<br>
</p>
<br>
On 17/09/2016 18:48, Aurélien Grosdidier wrote:<br>
</div>
<blockquote type="cite">
<pre>On 14/09/16 10:39, Michael Parchet wrote:
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre></pre>
</blockquote>
</blockquote>
</blockquote>
<blockquote type="cite">
<blockquote type="cite">
<blockquote type="cite">
<pre>On annonce régulièrement des piratages de service en ligne. Pas plus
tard que samedi matin, j'ai entendu que dropbox s'était fait pirater.
</pre>
</blockquote>
</blockquote>
<pre><a href="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/" target="_blank">http://www.informationisbeauti<wbr>ful.net/visualizations/worlds-<wbr>biggest-data-breaches-hacks/</a>
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>Avez-vous testé des logiciels qui soit si possible libre, open source
</pre>
</blockquote>
</blockquote>
<pre>Oui.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur
</pre>
</blockquote>
</blockquote>
<pre>Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots
de passe dans un fichier que je partage de manière sécurisée - cf. en
fin de mail. Ça me semble plus sûr que les interfaces web par
définitions accessibles de (presque) n'importe où, a fortiori que les
propriétaires (et convoités) lastpass et consorts.
C'est KeepassX que j'ai choisi, version multiplateforme de Keepass
duquel tu trouveras un descriptif récent ici:
<a href="http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm" target="_blank">http://www.nextinpact.com/news<wbr>/101020-keepass-plongee-dans-<wbr>gestionnaire-mots-passe-puissa<wbr>nt-mais-plus-exigeant.htm</a>
Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot
de passe est chiffrée, de mémoire en AES 256, avec une protection contre
le brut force qui limite les attaques mêmes offline.
Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de
commande, idéal pour les scripts, qui ajoute un chiffrement de la base
de donnée avec GPG et un versioning avec git:
<a href="https://www.passwordstore.org/" target="_blank">https://www.passwordstore.org/</a>
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre> Générer des mots de passe aléatoire.
</pre>
</blockquote>
</blockquote>
<pre>Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour
tester la force des mots de passes, je recommande l'excellent zxcvbn:
<a href="https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html" target="_blank">https://dl.dropboxusercontent.<wbr>com/u/209/zxcvbn/test/index.ht<wbr>ml</a>
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>Que penser du gestionnaire de mot de pase de firefox. En avez-vous
d’autre libre et open source ?
</pre>
</blockquote>
</blockquote>
<pre>De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et
que ce n'est pas terrible. Sans mot de passe principal/master (Master
Password), la base de donnée de mot de passe n'est pas chiffrée du tout.
Même avec un master password, la résistance au bruteforcing est très
limité.
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>Devrait-on également souscrire à un hébergeur et utiliser plusieurs
adresse email créée par exemple chacune pour une catégorie de mail ?
</pre>
</blockquote>
</blockquote>
<pre>Ce schéma classique de 3 adresses est généralement intéressant: mail
pro, mail perso, et mail privé. Cf.
<a href="https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail" target="_blank">https://linuxfr.org/forums/gen<wbr>eral-general/posts/strategie-<wbr>de-gestion-du-mail</a>
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>Au vu de ce qui ce passe je vous demande également s'il est facile de
fermer certain de nos compte dont on ne veut plus par exemple chez
dropbox ou autre service puis demander à effacer nos données de ces
services.
</pre>
</blockquote>
</blockquote>
<pre>L'effacement n'est jamais garanti. Le mieux est de ne pas partager les
données. Il y a d'excellentes solutions. Par exemple pour le stockage de
fichiers, syncthing.
<a href="https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue" target="_blank">https://linuxfr.org/users/aure<wbr>lieng/journaux/partage-de-ownc<wbr>loud-decentralise-a-syncthing-<wbr>distribue</a>
</pre>
<blockquote type="cite">
<blockquote type="cite">
<pre>Merci pour vos précieux renseignements
</pre>
</blockquote>
</blockquote>
<pre>You're welcome.
Aurel.
______________________________<wbr>_________________
gull mailing list
<a href="mailto:gull@forum.linux-gull.ch" target="_blank">gull@forum.linux-gull.ch</a>
<a href="http://forum.linux-gull.ch/mailman/listinfo/gull" target="_blank">http://forum.linux-gull.ch/mai<wbr>lman/listinfo/gull</a></pre>
</blockquote>
<p><br>
</p>
</div>
<br>______________________________<wbr>_________________<br>
gull mailing list<br>
<a href="mailto:gull@forum.linux-gull.ch" target="_blank">gull@forum.linux-gull.ch</a><br>
<a href="http://forum.linux-gull.ch/mailman/listinfo/gull" rel="noreferrer" target="_blank">http://forum.linux-gull.ch/mai<wbr>lman/listinfo/gull</a><br></blockquote></div><br></div></div>