[gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte

mathieu.stephan at gmail.com mathieu.stephan at gmail.com
Tue Sep 20 17:35:04 CEST 2016 

Bonjour,

Disclaimer: je suis le créateur de Mooltipass, un stockeur de mot de passe
hors ligne (www.themooltipass.com) complètement open source:
https://github.com/limpkin/mooltipass

Que penser des gestionnaires de mot de passess comme celui de firefox ?
Est-il sûr ?
>> A mon gout bien plus sur que la plupart des logiciels de stockage de mot
de passe. Voici une news qui fait froid dans le dos: http://www.theregister.
co.uk/2016/07/27/zero_day_hole_can_pwn_millions_of_
lastpass_users_who_visit_a_site/ , où visiter un simple site internet
permet de compromettre tout les logins / mots de passe stockés par un tel
logiciel

Nous allons lancer le Mooltipass Mini via Kickstarter dans 2 semaines, un
petit device (79x35x12mm) portable qui sert ainsi de stockeur de mot de
passe physique. Il est compatible avec tout type d'OS (détecté comme un
clavier) et offre une intégration native dans Chrome (Firefox en cours de
test).

Cordialement,
Mathieu Stephan

2016-09-20 16:00 GMT+02:00 Michael Parchet <mparchet at sunrise.ch>:

> Bonjour,
>
> J'ai encore les questions suivantes :
>
>    1.
>
>    Que penser des gestionnaires de mot de passess comme celui de firefox
>    ? Est-il sûr ?
>    2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur
>    local que je choisis et qui fonctionne si possible avec ios, mac et  linux
>    ?
>    3. Est-ce que keypassx ou autre gestionnaire de mot de passe peut
>    s'intégrer dans firexof pour ios et desktop?
>
> Merci pour le renseignement
>
> Salutations
>
>
> mparchet
>
>
>
> On 17/09/2016 18:48, Aurélien Grosdidier wrote:
>
> On 14/09/16 10:39, Michael Parchet wrote:
>
> On annonce régulièrement des piratages de service en ligne. Pas plus
> tard que samedi matin, j'ai entendu que dropbox s'était fait pirater.
>
> http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
>
> Avez-vous testé des logiciels qui soit si possible libre, open source
>
> Oui.
>
>
> 1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur
>
> Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots
> de passe dans un fichier que je partage de manière sécurisée - cf. en
> fin de mail. Ça me semble plus sûr que les interfaces web par
> définitions accessibles de (presque) n'importe où, a fortiori que les
> propriétaires (et convoités) lastpass et consorts.
>
> C'est KeepassX que j'ai choisi, version multiplateforme de Keepass
> duquel tu trouveras un descriptif récent ici:
>
> 	http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm
>
> Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot
> de passe est chiffrée, de mémoire en AES 256, avec une protection contre
> le brut force qui limite les attaques mêmes offline.
>
> Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de
> commande, idéal pour les scripts, qui ajoute un chiffrement de la base
> de donnée avec GPG et un versioning avec git:
>
> 	https://www.passwordstore.org/
>
>     Générer des mots de passe aléatoire.
>
> Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour
> tester la force des mots de passes, je recommande l'excellent zxcvbn:
>
> 	https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
>
> Que penser du gestionnaire de mot de pase de firefox. En avez-vous
> d’autre libre et open source ?
>
> De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et
> que ce n'est pas terrible. Sans mot de passe principal/master (Master
> Password), la base de donnée de mot de passe n'est pas chiffrée du tout.
> Même avec un master password, la résistance au bruteforcing est très
> limité.
>
>
> Devrait-on également souscrire à un hébergeur et utiliser plusieurs
> adresse email créée par exemple chacune pour une catégorie de mail ?
>
> Ce schéma classique de 3 adresses est généralement intéressant: mail
> pro, mail perso, et mail privé. Cf.
> https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail
>
> Au vu de ce qui ce passe je vous demande également s'il est facile de
> fermer certain de nos compte dont on ne veut plus par exemple chez
> dropbox ou autre service puis demander à effacer nos données de ces
> services.
>
> L'effacement n'est jamais garanti. Le mieux est de ne pas partager les
> données. Il y a d'excellentes solutions. Par exemple pour le stockage de
> fichiers, syncthing.
>
> 	https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue
>
> Merci pour vos précieux renseignements
>
> You're welcome.
>
> Aurel.
> _______________________________________________
> gull mailing listgull at forum.linux-gull.chhttp://forum.linux-gull.ch/mailman/listinfo/gull
>
>
>
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://forum.linux-gull.ch/pipermail/gull/attachments/20160920/ce3337b7/attachment-0001.html>

More information about the gull mailing list