gestionnaire de mot de passe dédiés vs services google ? - Sécurité - Windows & Software
Marsh Posté le 02-04-2020 à 12:29:43
Pour un gestionnaire de mots de passe KeePass est très bien.
https://keepass.info/
Tu peux créer plusieurs fichiers de mot de passe chacun protégés par un master password.
Pour le stockage de mot de passe par site web, tu peux enregistrer l'URL associée au combo user/password dans le KeePass et demander l'ouverture du site directement depuis l'outil (clic droit > ouvrir avec).
Marsh Posté le 02-04-2020 à 12:43:23
Stelephante1 a écrit : Hey ! Je cherche un gestionnaire de mots de passes parce que... sécurité.
. En soit, pour les sites sans importance je m'en moque, je peux laisser ça sur google, mais il y a des trucs plus sensible... Je vois beaucoup parler de Dashlane, alors je vais essayer ça maintenant. Mais je demande quand même votre avis sur d'autres car j'ai pas forcément le temps de tous les tester. |
- bitwarden pour les mots de passe. Au même niveau que keepass
- nordVPN est excellent. Très bon service, performant, très bonnes fonctionnalités, et excellentes communication.
J'ai pu profiter d'une offre à Noël de 3 ans pour 75 euros !
Marsh Posté le 03-04-2020 à 12:36:17
Eh bien après test des 3, je trouve quand même Dashlane le plus... cool ? Il est intuitif, l'interface est chouette... son seul défaut est de ne pas accepter les fichiers à la place du mot de passe maître.
@leroimerlinbis je ne doute pas du VPN, vu toutes les récompenses et tous les retours... Non, je me suis mal exprimé, je demandait un avis sur NordPass. Quitte à payer le VPN, autant utiliser le gestionnaire de mot de passe aussi. même si c'est pas forcément utile, Dashlane n'est pas payant. Et autant ne pas tout confier à la même entreprise. Je deviens parano ?
Marsh Posté le 03-04-2020 à 13:02:18
ReplyMarsh Posté le 03-04-2020 à 13:03:24
Stelephante1 a écrit : Eh bien après test des 3, je trouve quand même Dashlane le plus... cool ? Il est intuitif, l'interface est chouette... son seul défaut est de ne pas accepter les fichiers à la place du mot de passe maître. |
C'est pas le bon raisonnement.
Et NordPass est trop jeune pour se faire un avis.
Et pas open source!
l'open source pour un gestionnaire de mots de passe, perso pour moi c'est THE critère.
Marsh Posté le 03-04-2020 à 13:03:44
Ryo-Ohki a écrit : Pour un gestionnaire de mots de passe KeePass est très bien. |
le gros probleme de keepass c'est son manque d'omogenité, la synchro sur un cloud, iOS/android,...
Marsh Posté le 03-04-2020 à 13:32:46
leroimerlinbis a écrit : |
[Avocatdudiable]
Pourquoi, tu as relu le code ?
Ce raisonnement a maintes fois prouvé ses limites, avec des trucs restés vérolés et des failles restées béantes, pendant des années, parceque justement, tout le monde se dit "c'est bon c'est open source, s'il y a des problèmes quelqu'un d'autre le verra".
[/Avocatdudiable]
Marsh Posté le 03-04-2020 à 14:05:56
flash_gordon a écrit :
[Avocatdudiable] Pourquoi, tu as relu le code ? Ce raisonnement a maintes fois prouvé ses limites, avec des trucs restés vérolés et des failles restées béantes, pendant des années, parceque justement, tout le monde se dit "c'est bon c'est open source, s'il y a des problèmes quelqu'un d'autre le verra". [/Avocatdudiable] |
Même si un programme open source n'est pas une sécurité à 100 %, c'est toujours mieux qu'un programme qui n'est pas open source.
Si keepass est approuvé par l'ANSSI, cest aussi voire surtout parce qu'il est open source.
Marsh Posté le 03-04-2020 à 14:59:40
leroimerlinbis a écrit : |
euhhh non du tout, ces derniere annés on bien montré ca : par exemple les Exploit sur OpenSSL de ces derniere années.
et je suis sur qu'on doit en trouver a la pelle
Marsh Posté le 04-04-2020 à 16:14:36
Open source ça veut juste dire que le code source est disponible pour tout le monde.
Du coup ça veut dire qu'il y a statistiquement plus de chances de trouver une faille dedans, que ce soit par quelqu'un de bien intentionné ou pas.
D'un autre coté ça permet aux organismes comme l'ANSSI de valider et de certifier que le programme est sûr.
A l'inverse, pour un logiciel sont les sources sont fermées il faut se fier à l'éditeur et avoir confiance.
Mais dans le même temps, c'est théoriquement plus difficile de trouver une faille dans le code vu que celui-ci n'est pas directement accessible.
Marsh Posté le 04-04-2020 à 17:44:41
Tu peux utiliser Bitwarden, il a des bons retours. Je m'en sers depuis plus d'un an et j'en suis très satisfait. En parallèle je me sers aussi de Keepass.
Marsh Posté le 04-04-2020 à 18:59:30
Pareil, j'utilise Bitwarden depuis plus d'un an.
Je l'héberge moi même pour ne pas dépendre de service tiers et il a l'avantage d'avoir des applis et des plugins pour à peu près tous les OS et les navigateurs.
Marsh Posté le 04-04-2020 à 19:41:13
nex84 a écrit : Open source ça veut juste dire que le code source est disponible pour tout le monde. |
exact
merci pour le coup de flip
Marsh Posté le 04-04-2020 à 19:41:18
nex84 a écrit : Pareil, j'utilise Bitwarden depuis plus d'un an. |
pas trop compliqué à mettre en place?
ça peut se faire avec une VM?
Marsh Posté le 05-04-2020 à 10:34:48
leroimerlinbis a écrit : pas trop compliqué à mettre en place? |
Je l'héberge dans un conteneur docker sur une VM (sur AWS pour info).
La doc est très bien faite, et il n'y a grosso modo qu'un script à lancer (bash sous Linux ou powershell sous Windows) :
https://help.bitwarden.com/hosting/
J'ai aussi pris une licence premium (payant) pour pouvoir gérer les codes 2FA TOTP directement dans l'application et la prise en charge de ma Yubikey.
En plus, une instance de Bitwarden peut gérer plusieurs utilisateurs différents, chacun ayant son coffre perso, et a un système d'organisations pour partager certains mots de passe entre plusieurs utilisateurs.
Tout comme le service en ligne.
Marsh Posté le 07-04-2020 à 22:55:09
[b][/b]
nex84 a écrit : |
chaud pour moi....
mais je m'y pencherais à moyen terme. il faut.
Marsh Posté le 25-05-2020 à 15:44:28
flash_gordon a écrit : |
Tu utilises quoi de ton côté ?
Marsh Posté le 25-05-2020 à 15:48:38
Je suis entre deux. Faute de solution de gestion moderne pour keepass, je suis en train de regarder bitwarden pour mon serveur perso.
J'amerais bien faire marcher keeweb, mais cette saleté n'est pas capable d'ouvrir un fichier local, si tu hoste keeweb chez toi, il lui faut à coté un serveur webdav en plus pour le fichier.
Marsh Posté le 25-05-2020 à 15:53:13
flash_gordon a écrit : Je suis entre deux. Faute de solution de gestion moderne pour keepass, je suis en train de regarder bitwarden pour mon serveur perso. |
webdav ..
Marsh Posté le 25-05-2020 à 16:10:53
wé voila. J'en suis un peu là depuis une semaine que je me suis penché dessus en fait. ça me gonfle.
Marsh Posté le 26-05-2020 à 09:00:23
ok. Moi j'ai rien mais faut vraiment que j'y passe, avec des devices windows et IOS, je ne sais pas quoi choisir.
Marsh Posté le 26-05-2020 à 09:53:51
A noter que Bitwarden sauvegarde tous vos identifiants dans le cloud, il faut avoir confiance quoi...
Marsh Posté le 26-05-2020 à 10:01:20
C'est un peu le but. Sinon comme dit plus haut tu peux l’héberger toi-même : https://bitwarden.com/help/article/install-on-premise/
Mis on est à l'ère où on trimballe plusieurs ordis, mobiles etc... on ne peut plus se contenter du fichier local à papa stocké sur un seul ordi.
Marsh Posté le 26-05-2020 à 10:16:00
TheDarkgg a écrit : A noter que Bitwarden sauvegarde tous vos identifiants dans le cloud, il faut avoir confiance quoi... |
Ouep mais c'est du costaud question sécurité.
Marsh Posté le 26-05-2020 à 10:55:15
TheDarkgg a écrit : A noter que Bitwarden sauvegarde tous vos identifiants dans le cloud, il faut avoir confiance quoi... |
Si c’est comme LastPass, les mots de passes sont salés sur ta machine avant d’être transmis. Comme ça, ils ne peuvent pas les déchiffrer eux-mêmes : il faut ton mot de passe maître pour pouvoir accéder ensuite à ceux qui sont synchronisés sur ton compte (et pour ceux qui est de faire confiance à cette affirmation : LP a été audité plusieurs fois pour s’assurer que c’était OK).
Marsh Posté le 26-05-2020 à 11:36:00
TheDarkgg a écrit : A noter que Bitwarden sauvegarde tous vos identifiants dans le cloud, il faut avoir confiance quoi... |
flash_gordon a écrit : C'est un peu le but. Sinon comme dit plus haut tu peux l’héberger toi-même : https://bitwarden.com/help/article/install-on-premise/ Mis on est à l'ère où on trimballe plusieurs ordis, mobiles etc... on ne peut plus se contenter du fichier local à papa stocké sur un seul ordi. |
Voilà. Comme Dashlane, 1Password ou Lastpass. Ou n'importe quel service centralisé.
Dès que tu veux sortir de la gestion complètement manuelle de keepass (qui est très bien, mais difficilement partageable sur plusieurs appareils) tu te tournes forcément vers ce genre de solutions.
Par contre, contrairement aux autres, Bitwarden permet d'héberger soi-même et donc de maîtriser ce qui est fait des données. C'est pour ça que je l'ai choisi.
Ça demande un peu de boulot/connaissances, mais au moins tu es autonome.
Et le code est open source pour ceux qui veulent regarder.
Et je ne regrette pas du tout d'avoir payé pour les fonctionnalités en plus : ça remplace aussi Google Authenticator ou Authy pour les codes 2FA TOTP de manière synchronisée sur tous mes appareils.
Ça et la prise en charge de ma Yubikey.
Marsh Posté le 24-09-2020 à 11:07:15
J’aimerais synchroniser et sécuriser mes mots de passe sur 2 PC et 3 iPad et iPhone.
Que pensez-vous de Firefox Lockwise ?
Je viens de l’installer sur les PC mais je continue à utiliser safari sur les appareils Apple.
Merci.
Marsh Posté le 24-09-2020 à 18:04:28
comme dit plus haut, je suis sur Lastpass version gratuite pour synchro Edge/windows 1 ipad , 1 phone, une appleWatch (bon ok ca j'ai jamais utilisé en vrai)
Marsh Posté le 24-09-2020 à 19:00:15
Je vais l’essayer.
Le fait que Lockwise ne reconnaisse pas les champs « nouveau mot de passe » (et donc ne m’en propose pas un fort) sur le site de Firefox m’a un peu cassé.
Marsh Posté le 24-09-2020 à 19:50:20
ditche a écrit : Je vais l’essayer. |
Tu auras le soucis avec n'importe qu'elle gestionnaire de mot de passe si le site web n'identifie pas correctement (en respectant les notations universelles) ces champs de formulaire.
Marsh Posté le 29-08-2021 à 11:02:24
Z_cool a écrit : comme dit plus haut, je suis sur Lastpass version gratuite pour synchro Edge/windows 1 ipad , 1 phone, une appleWatch (bon ok ca j'ai jamais utilisé en vrai) |
Je remonte le sujet, maintenant que Lastpass gratuit ne propose plus qu'un seul device (me le faut sur le tel et mon pc...), Est ce qu'il y a une alternative gratuite ?
Marsh Posté le 30-09-2021 à 11:25:41
TheDarkgg a écrit : A noter que Bitwarden sauvegarde tous vos identifiants dans le cloud, il faut avoir confiance quoi... |
Oui mais cryptés avec ta clé. Comme pas mal ici j'ai tout mis sur Bitwarden, ca m'a l'air d'etre la meilleure option désormais, cf. les audits qu'ils ont passés, ils sont plus transparents que les autres.
Marsh Posté le 30-09-2021 à 14:19:22
ditche a écrit : Je l’ai remplacé par Bitwarden. |
+1
j'ai pas un temps aussi tourné avec un serveur BitWarden sur mon NAS. mais arrivé un moment j'ai préféré simplement laisser dans le cloud.
Marsh Posté le 30-09-2021 à 15:01:41
Pour un outil qui gère mes mots de passes, je préfère l'héberger moi-même.
Je fais tourner ça en conteneur Docker sur AWS, avec les backups et le monitoring qui va bien. Et tout est chiffré avec mes clés à moi, pas celles d'AWS.
Si le service tombe, tout se redéploie avec le dernier backup, façon Infrastructure as Code.
En plus, le seul flux réseau sortant autorisé est la validation des licences.
Mais je peux comprendre que ce n'est pas à la portée de tout le monde d'aller aussi loin pour avoir la main sur toute la chaine...
Ça m'a demandé du boulot pour en arriver à ce résultat.... le prix de l'indépendance en somme.
Marsh Posté le 02-04-2020 à 12:20:18
Hey !
Je cherche un gestionnaire de mots de passes parce que... sécurité.
Je suis en train de regarder ce qu'il y a de disponible, mais j'hésite. Bon, déjà j'ai compris pourquoi celui de google est moins bien que les autres, le chiffrement. Cependant, il y a un truc qui me chiffonne, c'est l'utilisation des mots de passes. Je m'explique : Si je coche les cases "enregistrer le mot de passe" quand je me connecte, un gestionnaire de mots de passes et complètement useless. Cependant, je ne me sens pas de taper tous les jours
4<xM>E5f2Lg|&Bv4
.
Est-il possible que les gestionnaire soit intégré au navigateur pour mettre le mot de passe automatiquement ? Ça m'étonnerai que je puisse faire un simple copier-coller.
En soit, pour les sites sans importance je m'en moque, je peux laisser ça sur google, mais il y a des trucs plus sensible...
Je vois beaucoup parler de Dashlane, alors je vais essayer ça maintenant. Mais je demande quand même votre avis sur d'autres car j'ai pas forcément le temps de tous les tester.
Aussi, pour la prochaine année scolaire (sans considérer l'actualité), j'ai l'intention de prendre un abonnement à NordVPN, en passant par toutes les offres sur YouTube qui incluent NordPass, que vaut-il selon vous ?