[gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte

Aurélien Grosdidier aurelieng at no-log.org
Sat Sep 17 18:48:43 CEST 2016 

On 14/09/16 10:39, Michael Parchet wrote:
>> On annonce régulièrement des piratages de service en ligne. Pas plus
>> tard que samedi matin, j'ai entendu que dropbox s'était fait pirater.

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

>> Avez-vous testé des logiciels qui soit si possible libre, open source

Oui.

>> 1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur

Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots
de passe dans un fichier que je partage de manière sécurisée - cf. en
fin de mail. Ça me semble plus sûr que les interfaces web par
définitions accessibles de (presque) n'importe où, a fortiori que les
propriétaires (et convoités) lastpass et consorts.

C'est KeepassX que j'ai choisi, version multiplateforme de Keepass
duquel tu trouveras un descriptif récent ici:

	http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm

Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot
de passe est chiffrée, de mémoire en AES 256, avec une protection contre
le brut force qui limite les attaques mêmes offline.

Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de
commande, idéal pour les scripts, qui ajoute un chiffrement de la base
de donnée avec GPG et un versioning avec git:

	https://www.passwordstore.org/

>>     Générer des mots de passe aléatoire.

Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour
tester la force des mots de passes, je recommande l'excellent zxcvbn:

	https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html

>> Que penser du gestionnaire de mot de pase de firefox. En avez-vous
>> d’autre libre et open source ?

De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et
que ce n'est pas terrible. Sans mot de passe principal/master (Master
Password), la base de donnée de mot de passe n'est pas chiffrée du tout.
Même avec un master password, la résistance au bruteforcing est très
limité.

>> Devrait-on également souscrire à un hébergeur et utiliser plusieurs
>> adresse email créée par exemple chacune pour une catégorie de mail ?

Ce schéma classique de 3 adresses est généralement intéressant: mail
pro, mail perso, et mail privé. Cf.

https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail

>> Au vu de ce qui ce passe je vous demande également s'il est facile de
>> fermer certain de nos compte dont on ne veut plus par exemple chez
>> dropbox ou autre service puis demander à effacer nos données de ces
>> services.

L'effacement n'est jamais garanti. Le mieux est de ne pas partager les
données. Il y a d'excellentes solutions. Par exemple pour le stockage de
fichiers, syncthing.

	https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue

>> Merci pour vos précieux renseignements

You're welcome.

Aurel.

More information about the gull mailing list