[THX]

Citation :

Publié par Kafka Datura

Ca marche comment un truc comme Last Pass en dehors du navigateur? Genre les plateformes de jeux, par exemple.

J'ai pas la version payante et surtout tous mes champs sont remplis automatiquement par le PC/launcher lui-même depuis un bail, mais je dirais qu'en dehors d'un navigateur ça m'a pas l'air de marcher SUR PC. Quand un launcher merde, comme j'ai tjrs l'équivalent du login sur l'équivalent site web (genre la boutique en ligne pour Ubisoft) je vais rechercher tout ça sur LastPass, c/c et hop.

Par contre sur mobile ça marche sur les app.

[thanatosX]

Autre possibilité :
Firefox Sync, est un module intégré à Mozilla Firefox à partir de la version 4.0 et SeaMonkey 2.1, dont il était, dans les versions précédentes un plugin. Sa première version, sortie le 21 décembre 2007 était baptisée Mozilla Weave.

Firefox Sync permet de synchroniser les marque-pages, l’historique de navigation, les préférences, les mots de passe, formulaires pré-remplis, les extensions et les 25 derniers onglets ouverts à travers différents ordinateurs. Il conserve les données des utilisateurs sur les serveurs de Mozilla, chiffrés par TLS de telle manière qu'aucun tiers, Mozilla y compris, ne puisse y avoir accès5. Il est également possible de synchroniser ses données sur un serveur personnel (pour les entreprises et les particuliers)6 à l'aide de Firefox Sync Server (initialement nommé Weave Server et Weave Minimal Server).


En gros, tu lance FF sur ton PC, il se synchronise avec un serveur où sont toutes les configuration de FF (ça inclue les mots de passes). Tu modifie un lien dans ton bookmark (l'équivalent des favoris) et quant tu ferme FF, il se resynchronise avec le serveur. Tu part au bureau, tu ouvre ton FF sur ton téléphone portable, FF récupère les informations. Arrivé au bureau tu ouvre FF sur ton PC, pareil.

[N3o-]

Ouais, Google le fait aussi nativement sur Android et Chrome mais c'est loin d'être aussi poussé qu'un vrai gestionnaire de mots de passe.

[Doudou Spuiii]

Citation :

Publié par Kafka Datura

Ca marche comment un truc comme Last Pass en dehors du navigateur? Genre les plateformes de jeux, par exemple.

Pour Keepass, à la base, tu lances le soft, et tu as ta liste de password enregistrés, masqués.
Tu fais ctrl-B pour copier le login ou ctrl-C pour copier le mdp et les mettre ou tu veux. Tu peux aussi les afficher en clair.

Après, tu as le plug-in Kee pour remplir automatiquement les champs depuis Firefox sans avoir à faire les c/c, mais ça ne marche pas pour les launcher il me semble. Après, si ton launcher garde ton pass en mémoire, c'est pas très génant, l'intérêt de Keepass dans ce cas la, c'est de pouvoir retrouver le pass facilement quand tu réinstalles le launcher par exemple (plutôt que de demander une réinitialisation comme je fais souvent lol)

[N3o-]

Ouais idem, tant pis si l'auto-fill de certains formulaires ou launchers ne fonctionnent pas, au moins je sais où trouver mes mots de passe !

[Krib]

Quelle est la probabilité qu'une db keepass2 soit cassée s'il elle tombe en de mauvaises mains?

J'utilise aussi mais j'hésite à coller des infos de site sensibles (Sites d'achats etc.....). Je pousse le vice à coller la db dans un répertoire lui même chiffré mais c'est peut être de la sur précaution.

[N3o-]

Logiquement ça dépend juste de la complexité du mot de passe maître.

[Doudou Spuiii]

Citation :

Publié par Krib

Quelle est la probabilité qu'une db keepass2 soit cassée s'il elle tombe en de mauvaises mains?

J'utilise aussi mais j'hésite à coller des infos de site sensibles (Sites d'achats etc.....). Je pousse le vice à coller la db dans un répertoire lui même chiffré mais c'est peut être de la sur précaution.

Heu, ça n'a aucun intérêt de mettre ta DB dans un répertoire chiffré, vu que tu devras la sortir du répertoire pour la déchiffrer à chaque utilisation et l'y remettre ensuite. Et puis, si on arrive à casser le chiffrement de ta DB, logiquement on cassera aussi le chiffrement de ton dossier.

Pour mesurer la difficulté à casser un pass, Keepass te donne donne une idée quand tu rentres ton pass en fonction du nombre et du type de caractère utilisés, on se rend compte qu'il faut utiliser pas mal de caractères pour avoir un truc robuste.

[Krib]

Citation :

Publié par Doudou Piwi

Heu, ça n'a aucun intérêt de mettre ta DB dans un répertoire chiffré, vu que tu devras la sortir du répertoire pour la déchiffrer à chaque utilisation et l'y remettre ensuite. Et puis, si on arrive à casser le chiffrement de ta DB, logiquement on cassera aussi le chiffrement de ton dossier.

Pour mesurer la difficulté à casser un pass, Keepass te donne donne une idée quand tu rentres ton pass en fonction du nombre et du type de caractère utilisés, on se rend compte qu'il faut utiliser pas mal de caractères pour avoir un truc robuste.

Ok sur la partie complexité du mdp mais en revanche pourquoi faudrait il sortir la db du répertoire chiffré pour l'ouvrir?. Je précise que bien entendu le mdp du répertoire chiffré n'est pas celui de la db Keepass2.

[Fugo]

@Doudou_Piwi
Perso j'ai fait pareil pour mon tel : Keepass2android avec mon fichier maître stocké sur mon NAS
Par commodité (et car je suis une brêle) je synchronise sur un gdrive le fichier maître pour que l'appli android ait un fichier à jour sinon local à la maison :<

[Doudou Spuiii]

Citation :

Publié par Krib

Ok sur la partie complexité du mdp mais en revanche pourquoi faudrait il sortir la db du répertoire chiffré pour l'ouvrir?. Je précise que bien entendu le mdp du répertoire chiffré n'est pas celui de la db Keepass2.

Bein quand tu lances Keepass, il va chercher les mots de pass dans la BDD chiffrée et il te demande le MDP pour l'ouvrir. Si tu as foutu la BDD dans un dossier crypté, logiquement il pourra pas y accéder, il faudra que tu sortes la BDD du répertoire chiffrée avant. Ou alors j'ai loupé une subtilité.

[Krib]

Citation :

Publié par Doudou Piwi

Bein quand tu lances Keepass, il va chercher les mots de pass dans la BDD chiffrée et il te demande le MDP pour l'ouvrir. Si tu as foutu la BDD dans un dossier crypté, logiquement il pourra pas y accéder, il faudra que tu sortes la BDD du répertoire chiffrée avant. Ou alors j'ai loupé une subtilité.

Exemple Vera crypt ou Cryptomator, tu lances un de ces utilitaires, tu décryptes le répertoire qui aura préalablement été chiffré par eux, lance keepass2 et referme le tout quand tu as fini. Si quelqu'un accède à cet endroit par la suite, il lui faudra casser le chiffrement du répertoire et s'il y arrive, casser aussi la db keepass2.

[Doudou Spuiii]

Citation :

Publié par Krib

Exemple Vera crypt ou Cryptomator, tu lances un de ces utilitaires, tu décryptes le répertoire qui aura préalablement été chiffré par eux, lance keepass2 et referme le tout quand tu as fini. Si quelqu'un accède à cet endroit par la suite, il lui faudra casser le chiffrement du répertoire et s'il y arrive, casser aussi la db keepass2.

Ha, tu n'as donc pas besoin de sortir la BDD du fichier, ok. Toujours est-il que je vois pas trop à quoi ça sert, ça revient juste à crypter le bouzin deux fois et donc à taper et mémoriser deux codes différents.
Quitte à mémoriser ces deux codes, tu ferais mieux de les fusionner et de les utiliser uniquement comme cryptage de ta BDD Keepass, une mdp à 20 caractères sera plus difficile à cracker que deux mdp de 10 caractères si je dis pas de conneries.

[Krib]

On est d'accord, c'est pour cela que dans mon message, je me demandais si ce n'était pas de la sur précaution.

[Doudou Spuiii]

Citation :

Publié par Krib

On est d'accord, c'est pour cela que dans mon message, je me demandais si ce n'était pas de la sur précaution.

Ha je pense que oui. De la surprécaution pas super efficace en plus. Si tu veux vraiment assurer le coup, quitte à te faire chier, plutôt que d'entrer 2 codes différents, le must, c'est de mémoriser une phrase de 20+ caractères écrite en l33T sP34k imo.
Sinon en moyen mémotechnique tu as aussi le coup de faire un dessin sur ton clavier (mais si tu veux débloquer la BDD sur ton tel, tu seras un peu baisé)

[THX]

LastPass natif chez Apple.
https://www.clubic.com/antivirus-sec...50-ios-12.html

[thanatosX]

C'est pas compliqué, Veracrypt un conteneur.
Que tu ouvre avec 1 bath.
Dedans tu as soit un navigateur portable avec tout tes mots de passe. Soit 1 fichier texte avec tout tes mots de passes. Soit les deux.
Tout ça crypté en 255 x 255 x 255.

Pas possible de faire plus simple, plus sécurisé et plus rapide à mettre en place et à utiliser.

[Borh]

Des gens connaissent Keeweb ?
Visiblement un client web de keepass beaucoup plus user friendly... C'est aussi secure que keepass ?

[Ze Reaper]

Je l'avais installé en tant que plug-in Nextcloud (pas compatible avec la dernière version de Nextcloud) mais très peu utilisé. Ca me servait pour me dépanner si jamais j'avais accès à aucun de mes devices classiques.
Je sais pas si c'est aussi sécurisé, mais pour le côté user friendly, je suis pas convaincu : effectivement c'est plus joli mais à côté de ça je ne crois pas qu'il y ait de plugin pour les navigateurs donc t'es bon pour faire des copier-coller, ce qui n'est pas super fun.

[Borh]

Citation :

Publié par Ze Reaper

Je l'avais installé en tant que plug-in Nextcloud (pas compatible avec la dernière version de Nextcloud) mais très peu utilisé. Ca me servait pour me dépanner si jamais j'avais accès à aucun de mes devices classiques.
Je sais pas si c'est aussi sécurisé, mais pour le côté user friendly, je suis pas convaincu : effectivement c'est plus joli mais à côté de ça je ne crois pas qu'il y ait de plugin pour les navigateurs donc t'es bon pour faire des copier-coller, ce qui n'est pas super fun.

Ah ?
Je croyais que KeeWeb créait un fichier kdbx exactement comme Keepass et que les plugins accédaient à ce fichier. Ou j'ai rien compris ?

[Mothra]

Citation :

Publié par N3o-

Ouais, Google le fait aussi nativement sur Android et Chrome mais c'est loin d'être aussi poussé qu'un vrai gestionnaire de mots de passe.

Pour autant que je sache le chiffrement google et chrome est cote serveur avec channel secure entre le client et le serveur, mais Google lui meme peut lire la donnee. Perso je ne considere rien qui n'est pas chiffre sur le client.

J'ai essaye LastPass mais l'integration avec Safari etait franchement pas geniale. Du coup j'utilise encore KeyChain (sans integration iCloud), c'est vraiment pratique mais c'est pas multi-device.

[Ze Reaper]

Citation :

Publié par Borh

Ah ?
Je croyais que KeeWeb créait un fichier kdbx exactement comme Keepass et que les plugins accédaient à ce fichier. Ou j'ai rien compris ?

Le plugin le plus connu qui permet d'intégrer keepass avec les navigateurs (https://www.kee.pm/) ne lit pas directement les fichiers kdbx. Il est en fait composé de deux parties : une extension côté navigateur et une côté keepass. Quand tu vas sur une page de login, l'extension côté navigateur va ouvrir une connexion rpc avec l'extension côté keepass pour demander le mot de passe. Et pareil quand tu demandes au navigateur d'enregistrer un nouveau mot de passe : l'extension envoie à keepass le nouveau mot de passe.

[Borh]

Citation :

Publié par Ze Reaper

Le plugin le plus connu qui permet d'intégrer keepass avec les navigateurs (https://www.kee.pm/) ne lit pas directement les fichiers kdbx. Il est en fait composé de deux parties : une extension côté navigateur et une côté keepass. Quand tu vas sur une page de login, l'extension côté navigateur va ouvrir une connexion rpc avec l'extension côté keepass pour demander le mot de passe. Et pareil quand tu demandes au navigateur d'enregistrer un nouveau mot de passe : l'extension envoie à keepass le nouveau mot de passe.

Y a moyen de faire fonctionner sur un téléphone ?

[Ze Reaper]

Citation :

Publié par Borh

Y a moyen de faire fonctionner sur un téléphone ?

Le plugin ? Non. Mais t'as https://play.google.com/store/apps/d...2android&hl=fr pour Android qui propose d'autres façons pour remplir les logins et mots de passe. C'est un peu étrange mais ça marche.

[Borh]

C'est un peu la merde pour LastPass. Ceux qui y sont encore devraient partir, voire même progressivement changer tous leurs mots de passe (en commençant par les plus sensibles).
Les spécialistes de la cybersécurité s'attaquent au communiqué de LastPass suite à une violation de sécurité, « leur déclaration est pleine d'omissions, de demi-vérités et de mensonges éhontés » (developpez.com)

Le truc le plus chiant, c'est que les url des sites sont en clair sur la bdd qui a été volée, donc même en changeant tous les mots de passe, ça donne aux hackers la possibilité de faire du phishing très ciblé, et ça y a aucun moyen de l'empêcher, à part être doublement vigilant devant les emails qu'on reçoit et qui nous demandent de nous connecter pour raison X ou Y à un site où on a l'habitude d'aller et qui contient des données sensibles. Je me demande si les hackers peuvent pas également tenter du chantage pour ceux qui y mettaient des sites pornos ou de rencontre extra conjugales...


Raison de plus pour moi de rester sur Keepass, un serveur centralisé hebergeant les mdp de millions d'utilisateurs, pour moi, c'est vrai appeau à hacker même si la sécurité du serveur en question est très bonne (ce qui n'était pas le cas de LastPass).

Pour ceux qui veulent vraiment rester sur une solution à la Lastpass, j'ai l'impression que beaucoup de spécialistes de la sécurité recommandent 1Password. Le problème est que les choses peuvent changer, LastPass était considéré comme une solution sérieuse jusqu'à leur rachat.