Coffre à mots de passe

MD_tkt · 24/11/2018, 16h18

Salut,

J'envisage de plus en plus d'utiliser un coffre à mot de passe. Toutefois j'ai quelques interrogations notamment sur la sécurité des services en lignes et intégré au navigateur.

Un service via internet (donc mots de passe sauvegardés dans un cloud) est-il safe ? J'ai vu LastPass mais j'avoue avoir un peu de mal à me faire à l'idée d'entrer tous mes mots de passe dans une application cloud.
A part ça, j'ai vu KeePass que l'on peut visiblement utiliser comme un simple logiciel où les mots de passe sont enregistrés directement sur le disque dur si j'ai bien compris.

J'imagine que l'intérêt d'un service internet est de pouvoir utiliser le service quelque soit l'ordinateur que l'on utilise et ce partout. Y en a-t-il d'autre ?

Pour ceux qui utilisent des coffres à mots de passe, préférez-vous un service en ligne ou un logiciel comme KeePass ? Avez-vous des conseils d'utilisation et d'app/logiciel ?

Merci beaucoup !

MD_tkt

**Fugo** · 24/11/2018, 16h49

Salut,

Je te fais un petit retour sur ce que j'ai choisi comme solution (qui est probablement perfectible)

J'utilise KeePass avec l'extension Kee pour Firefox depuis un poil plus d'un an,
Mon fichier mettre .kdbx est sur mon NAS qui le synchro avec mon compte gdrive (uniquement le dossier contenant le fichier) pour y avoir accès depuis mon tel android quand j'ai besoin

Par rapport à avant où j'utilisais le gestionnaire de mot de passe du navigateur :

- Aucune différence sur les sites WEB
- Je pense que le fichier est assez safe même pour le foutre sur un cloud public (je pourrais probablement faire sans via le NAS mais j'ai un peu peur)
- C'est assez pratique d'y avoir accès de n'importe quel PC de la maison via le NAS

Bjorn · 24/11/2018, 17h03

Moi j'utilise keeper qui est un service en ligne. Clairement l'intérêt est d'y avoir accès partout, sur mon tel ou au boulot, etc. La plupart des mots de passe dessus sont pour divers site pas particulièrement sensible donc bon, j'accepte le risque qu'ils soient dans le cloud.
Pour les sites vraiment sensibles ia toujours une sécurité en plus du mot de passe donc bon... Le risque d'un piratage d'une solution cloud me paraît acceptable, j'y stocke pas les codes de la bombe atomique.
Keepass effectivement c'est la solution plébiscitée en local. Pour le coup, c'est pas con de stocker le fichier sur le NAS je devrais envisager cette solution. Ia moyen de le rendre accessible depuis l'extérieur en plus... Mais bon du coup le risque est qu'on pirate ce fichier là.

**Fugo** · 24/11/2018, 20h46

Citation :

Publié par Bjorn

Moi j'utilise keeper qui est un service en ligne. Clairement l'intérêt est d'y avoir accès partout, sur mon tel ou au boulot, etc. La plupart des mots de passe dessus sont pour divers site pas particulièrement sensible donc bon, j'accepte le risque qu'ils soient dans le cloud.
Pour les sites vraiment sensibles ia toujours une sécurité en plus du mot de passe donc bon... Le risque d'un piratage d'une solution cloud me paraît acceptable, j'y stocke pas les codes de la bombe atomique.
Keepass effectivement c'est la solution plébiscitée en local. Pour le coup, c'est pas con de stocker le fichier sur le NAS je devrais envisager cette solution. Ia moyen de le rendre accessible depuis l'extérieur en plus... Mais bon du coup le risque est qu'on pirate ce fichier là.

Ouais, mais c'est comme sur le cloud finalement le risque non ?

Erlum · 24/11/2018, 21h22

Bitwarden, open source, possibilité d'auto-héberger la solution soi-même...

Sinon, le principe d'un gestionnaire de mot de passe, c'est de chiffrer tes mots de passe à l'aide de ton mot de passe maître. En principe, si les algos utilisés sont récents et correctement utilisés, tu ne risques rien... Si ton mot de passe maître est fort.

24/11/2018, 21h26

Message supprimé par son auteur.

**Lianai** · 24/11/2018, 22h02

Citation :

Publié par Erlum

Bitwarden, open source, possibilité d'auto-héberger la solution soi-même...

Idem et je le trouve très bon et j'utilisais Dashlane et Lastpass auparavant. Bitwarden est vraiment celui que j'apprécie le plus et il a l'avantage d'être open source et accessible sur smartphone.

Bjorn · 24/11/2018, 22h12

Citation :

Publié par Fugo

Ouais, mais c'est comme sur le cloud finalement le risque non ?

Sauf que tu maîtrises ce qu'il se passe. Dans le cloud faut faire confiance au prestataire qui rend le service. Si c'est toi qui rend le service tu sais comme tu protéges

kermo · 25/11/2018, 14h59

J'utilise KeePassXC avec son extension Firefox KeePassXC-Browser (ce sont les mêmes qui font l'extension).
C'est basé sur un fichier en local, que je synchronise via un cloud (celui de mon boulot mais plein de gens le font via Dropbox ou autre). Le fichier lui-même doit être chiffré avec un mot de passe fort (genre 16 caractères), avec un peu d'habitude on le tape très vite.

Moins simple de l'utiliser depuis n'importe où (par rapport à un service en ligne), mais en fait je me balade toujours avec mon portable et je n'en ai pas du tout l'usage.

Red Garden · 26/11/2018, 10h37

1password aussi, les mdp sont en local et dans le cloud et une save chiffrées sur dropbox

Je crois que c'est les 8euro les plus utiles que j'ai investi dans une app iphone

thanatosX · 27/11/2018, 04h40

https://www.it-connect.fr/cryptez-vo...vec-truecrypt/

J'utilise une clef USB normal, avec un volume crypté par VeraCrypt en 256 x 256 x 256 Bits.
J'utilise 2 fichier .bat pour monter le volume et l'autre pour tout refermer.

J'ai aussi fait en sorte que quant je branche ma clef sur l'un de mes NAS, il en fasse une sauvegarde automatiquement.

Du coup, si je perd ma clef (ou qu'on me la vol) personne ne peux atteindre mes données. J'ai juste à recopier mes fichier de sauvegarde sur une nouvelle clef et c'est reparti comme en 40. Dedans, j'ai ma vie : CV, photo de mes papiers, un navigateur portable synchronisé avec celui de mon PC, etc... et un fichier texte avec tout mes mots de passes.

Simple, pas chère et rapide a mettre en place.

Skydexter · 27/11/2018, 09h16

Ca a pas été cité du coup je me permet de dire qu'il y a aussi EnPass ( https://www.enpass.io/ )

Ils ont une appli sur toute les plateformes, et les mobiles, meme Windows Phone/Mobile, ce qui est assez rare.

Matharl · 27/11/2018, 10h17

Citation :

Publié par Skydexter

Ca a pas été cité du coup je me permet de dire qu'il y a aussi EnPass ( https://www.enpass.io/ )

Ils ont une appli sur toute les plateformes, et les mobiles, meme Windows Phone/Mobile, ce qui est assez rare.

J'utilisais Enpass aussi qui est vraiment bien, mais j'ai fini par switcher sur Bitwarden parce que ça me dérange un peu le fait qu'Enpass soit pas open source.

Xubfin · 27/11/2018, 10h38

j'utilise keepass, tu peux mettre le fichier crypté dans le cloud (google drive, dropbox etc...) pour y accéder depuis tous tes appareils.
L'appli android est bien pratique également.

**Doudou Spuiii** · 27/11/2018, 13h39

Keypass est certifié CNSP par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), il est plutôt conseillé par les boites qui taffent dans la cybersécurité.
Après, les mecs qui taffent la dedans que je connais disent que des trucs comme Lastpass, c'est ok aussi, c'est beaucoup plus pratique vu que le pass est dans le cloud, d'un autre coté c'est un poil plus vulnérable, mais ça n'avait pas l'air de les inquiéter plus que ça pour une utilisation perso.

Ca reste beaucoup mieux que par exemple utiliser plus ou moins le même pass sur tous les sites, qui s'ils se font hacker peuvent vous rendre vulnérables. Un site sympa pour tester : https://haveibeenpwned.com/ tu rentres ton adresse mail et tu peux voir tous les sites où tu l'as utilisés qui se sont fait hacker (et qui ont donc potentiellement ton pass si tu l'utilises ailleurs)

28/11/2018, 00h31

Message supprimé par son auteur.

K-Lagan · 28/11/2018, 10h34

Point noir pour surveiller cette discussion

La chance · 29/11/2018, 07h24

Citation :

Publié par thanatosX

https://www.it-connect.fr/cryptez-vo...vec-truecrypt/

J'utilise une clef USB normal, avec un volume crypté par VeraCrypt en 256 x 256 x 256 Bits.
J'utilise 2 fichier .bat pour monter le volume et l'autre pour tout refermer.

J'ai aussi fait en sorte que quant je branche ma clef sur l'un de mes NAS, il en fasse une sauvegarde automatiquement.

Du coup, si je perd ma clef (ou qu'on me la vol) personne ne peux atteindre mes données. J'ai juste à recopier mes fichier de sauvegarde sur une nouvelle clef et c'est reparti comme en 40. Dedans, j'ai ma vie : CV, photo de mes papiers, un navigateur portable synchronisé avec celui de mon PC, etc... et un fichier texte avec tout mes mots de passes.

Simple, pas chère et rapide a mettre en place.

Grâce à tes conseils à l'époque , c'est aussi comme ça que je fais.

Quand tu parles des 2 fichiers bat, tu parles de quoi ?

gotbiclem · 29/11/2018, 09h05

Bonjour à toutes et à tous, Je suis totalement à la recherche d'une telle solution. Merci infiniment à vous pour tous ces renseignements et ces explications. Cela m'aide vraiment aussi dans mon choix.

29/11/2018, 11h10

Message supprimé par son auteur.

Ze Reaper · 29/11/2018, 11h17

J'utilise aussi Keepass avec le fichier crypté synchronisé sur le cloud (un Nextcloud perso). C'est pas le logiciel le plus user-friendly, et l'extension Kee pour Firefox est un peu étrange, mais globalement ça marche très bien et je n'ai aucun problème avec.

**Whinette** · 29/11/2018, 12h19

J'ai utilisé keepass pendant des années, j'ai migré vers 1password (en mode offline) l'année dernière, pour l'intégration android.

Zuglok · 01/12/2018, 00h56

Keepass avec bdd chiffrée assez solidement, stocké sur un volume chiffré de mon NAS perso.
Sauvegardé chiffré sur un cloud public (Syno Cloud sync permet la sauvegarde chiffrée à la volée)
Accès par partage réseau en local et par VPN de l'extérieur (auth avec certificats + mdp).
Master password de type passphrase facile à retenir et agrémentée de caractère spéciaux.
Je ne me suis pas encore penché sur les possibilités de 2FA avec token physique pour Keepass mais c'est la prochaine étape.

Pour mes fichiers perso (documents administratifs que je n'ai pas envie de voir dans la nature) c'est la même chose mais dans un container Veracrypt chiffré au lieu d'un container Keepass.

thanatosX · 01/12/2018, 15h04

Citation :

Publié par La chance

Grâce à tes conseils à l'époque , c'est aussi comme ça que je fais.

Quand tu parles des 2 fichiers bat, tu parles de quoi ?

1 - VeraCrypt.bat

Code:

@Echo OFF

VeraCrypt\VeraCrypt.exe /v VeraCrypt\Data.txt /m label="USB_CRYPT" /a /q

0 - VeraCrypt.bat

Code:

@Echo OFF

VeraCrypt\VeraCrypt /q /d

Le 1 monte mon volume crypté et le 0 les fermes tous (au cas où il y en aurai plusieurs de monté). Les fichier du programme veracrypt sont dans un répertoire sur la racine de la clef.

Krib · 01/12/2018, 16h17

Que pensez vous de Cryptomator ?

Erlum Alpha & Oméga	Bitwarden, open source, possibilité d'auto-héberger la solution soi-même... Sinon, le principe d'un gestionnaire de mot de passe, c'est de chiffrer tes mots de passe à l'aide de ton mot de passe maître. En principe, si les algos utilisés sont récents et correctement utilisés, tu ne risques rien... Si ton mot de passe maître est fort.
24/11/2018, 21h22

#348034 Invité	Message supprimé par son auteur.
24/11/2018, 21h26

Lianai ♥ Alpha & Oméga	Citation : Publié par Erlum Bitwarden, open source, possibilité d'auto-héberger la solution soi-même... Idem et je le trouve très bon et j'utilisais Dashlane et Lastpass auparavant. Bitwarden est vraiment celui que j'apprécie le plus et il a l'avantage d'être open source et accessible sur smartphone.
24/11/2018, 22h02

Bjorn Alpha & Oméga	Citation : Publié par Fugo Ouais, mais c'est comme sur le cloud finalement le risque non ? Sauf que tu maîtrises ce qu'il se passe. Dans le cloud faut faire confiance au prestataire qui rend le service. Si c'est toi qui rend le service tu sais comme tu protéges
24/11/2018, 22h12

Red Garden Alpha & Oméga	1password aussi, les mdp sont en local et dans le cloud et une save chiffrées sur dropbox Je crois que c'est les 8euro les plus utiles que j'ai investi dans une app iphone
26/11/2018, 10h37

Skydexter [Fllen] Alpha & Oméga	Ca a pas été cité du coup je me permet de dire qu'il y a aussi EnPass ( https://www.enpass.io/ ) Ils ont une appli sur toute les plateformes, et les mobiles, meme Windows Phone/Mobile, ce qui est assez rare.
27/11/2018, 09h16

Xubfin Alpha & Oméga	j'utilise keepass, tu peux mettre le fichier crypté dans le cloud (google drive, dropbox etc...) pour y accéder depuis tous tes appareils. L'appli android est bien pratique également.
27/11/2018, 10h38

#265012 Invité	Message supprimé par son auteur.
28/11/2018, 00h31

K-Lagan Alpha & Oméga	Point noir pour surveiller cette discussion
28/11/2018, 10h34

gotbiclem [got] Vicomte / Vicomtesse	Bonjour à toutes et à tous, Je suis totalement à la recherche d'une telle solution. Merci infiniment à vous pour tous ces renseignements et ces explications. Cela m'aide vraiment aussi dans mon choix.
29/11/2018, 09h05

#265012 Invité	Message supprimé par son auteur.
29/11/2018, 11h10

Ze Reaper Prophète	J'utilise aussi Keepass avec le fichier crypté synchronisé sur le cloud (un Nextcloud perso). C'est pas le logiciel le plus user-friendly, et l'extension Kee pour Firefox est un peu étrange, mais globalement ça marche très bien et je n'ai aucun problème avec.
29/11/2018, 11h17

Whinette [Tmpst] Alpha & Oméga	J'ai utilisé keepass pendant des années, j'ai migré vers 1password (en mode offline) l'année dernière, pour l'intégration android.
29/11/2018, 12h19

Krib Alpha & Oméga	Que pensez vous de Cryptomator ?
01/12/2018, 16h17

Coffre à mots de passe

Connectés sur ce fil