Gestionnaire de mots de passe

Bonjour à tous,

Je profite du coin bistrot pour vous faire part de mes recherches concernant un logiciel de gestion de mots de passe.
Comme beaucoup, j'ai beaucoup de login/password pour plein de sites marchands, de forums, de sites, de serveur FTP, etc...

Ma solution jusqu'à aujourd'hui était d'avoir une feuille Excel encryptée avec mes MDP. Bien évidemment, ce n'est pas top au niveau sécurité et pas toujours bien à jour...
Ma 2ème règle était d'utiliser un mot de passe compliqué pour les sites "sensibles" → bancaire, assurance et site mémorisant mon numéro de CB (ex: Amazon).
Puis j'avais le même mot de passe pour tous les forums, un autre même mot de passe pour les sites et email, etc...

Bref, c'est une solution pas du tout viable. Sans parler que, comme beaucoup, j'utilise aussi un smartphone, une tablette, un PC pro, etc... Donc, super pas pratique du tout lorsque je change un MDP.
Le dernier point déclencheur pour moi a été une discussion avec ma femme. Elle n'est pas branchée informatique et déteste cela. Du coup, s'il m'arrivait malheur (un chasseur visant mieux qu'un autre), elle serait dans la panade avec tout cela. Sans parler que même les impôts doivent être fait sur Internent de nos jours (je parle pour la France).

Du coup, je me suis mis à la recherche d'un gestionnaire de mots de passe fiable et 400% sécurisé.
Tout d'abord, j'ai écarté les solutions du genre 1password, lastpasswords, dashlane, etc... pour la simple et bonne raison qu'il y a 0% de chance de pouvoir vérifier si la superbe porte blindée affichée sur leur site web est bien faite en Adamantium et pas en contreplaqué peint.

Reste donc les solutions open source. 2 candidats ressortent de suite du lot: KeePass (ancien, mis en avant par la CNIL et recommandé par l’ANSSI) et BitWarden (nouveau de quelques années et ayant subi des audits externes par Cure53 une boite Allemande spécialisée dans la sécurité).

KeePass:
Cela semblait être la solution idéale (CNIL & ANSSI), mais c'est une solution "off-line". Du coup, cela a plusieurs conséquences rédhibitoires pour moi:
1. Il faut gérer un backup, car si on commence à utiliser des MDP du genre "$@DA#%35G3SiPt", c'est impossible à mémoriser et ce n'est pas le but recherché. Donc il faut être sûr de toujours avoir une sauvegarde de son coffre fort quelque part.
2. La solution recommandée (bien que pas très "classe"), c'est de partager son coffre fort avec un OneDrive ou un Google DropBox. Il n'y a pas vraiment de risque, car si vous avez choisi un bon mot de passe maitre, c'est incassable.
3. Pour pouvoir éviter les copier/coller incessant de vos identifiants, il faut utiliser des addons pour Firefox, Chrome, etc... C'est à ce moment que j'ai laissé tomber KeePass, car aucun addon n'est développé par KeePass. Ce sont toutes des solutions développées par d'autres équipes. Pas top du tout au niveau sécurité selon moi.

BitWarden:
Vous l'aurez donc compris, j'ai choisi BitWarden. Son seul vrai défaut à mes yeux est qu'il est encore jeune. Donc, il y a un risque de le voir mourir un jour.
Un autre point, que certains verront comme négatif, est que le "vault" (coffre fort) est stocké sur le cloud Azur de Microsoft. Pour moi, ce n'est pas mieux, pas pire qu'avoir un vault KeePass sur OneDrive ou DropBox... Et il n'y a pas de magie, si on veut quelque chose d'utilisable depuis plusieurs appareils, le vault doit a un moment ou l'autre être visible sur Internet.
Dans les points positifs:
1. Vault en ligne. Donc accessible depuis partout et on a pas a géré le backup.
2. Tous les addons et client "stand-alone" sont développés par la même équipe (audités par Cure53).
3. Tous les clients BitWarden créent une copie en local (cryptée bien sûr!). Donc, même si on est Off-Line ou si BitWarden disparaissait, on peut toujours ouvrir son coffre et faire une exportation de tout ses précieux MDPs.
4. Pour les Paranos, on peut même créer son propre serveur BitWarden au lieu d'utiliser les officiels grâce à Docker. D'ailleurs, j'ai testé sur l'un de mes Synology NAS. Cela fonctionne très bien. Par contre, on se retrouve avec la gestion du backup et d'avoir besoin d'un DynDNS. La version Docker est une version "Entreprise", donc c'est du gros SQL Microsoft qui tourne pour gérer des centaines d'utilisateurs. Du coup, cela me bouffait 2Go de RAM... Il existe une version plus light non-officielle, mais là encore je souhaite faire confiance à une seule équipe pour faire tout le boulot.
5. L'addon Firefox marche à merveille.
6. Synchro entre tous mes PCs, smarphone et tablette au top.
7. La traduction en Fr est de très bonne qualité.
8. Fonctionne avec la double identification gratos Google Authenticator.
9. C'est gratuit !!
10. Moi, j'ai pris la version premium ($10/an). Cela me permet d'avoir quelques outils de plus depuis le vault web (analyse de mots des passes, etc...).
11. Un gros plus avec la version premium est le support du TOTP. Le TOTP est tout simplement la clé utilisé par Google Authenticator (ou autre) pour générer le code à 6 chiffre pour la double identification. En clair, vous avez le Google Authenticator d'inclus !! Cerise sur le gâteau, le code se place directement dans le presse-papier et il ne vous reste plus qu'à faire un coller lorsque vous vous connectez à un site requérant la double identification.
Croyez moi, cela m'aurait éviter bien des soucis lorsque j'ai été obligé de renvoyer en urgence mon iPhone en SAV (batterie gonflée) et que je me suis rendu compte que je n'avais plus de double identification sur certains sites...
12. Pour finir, on peut partager certain identifiant grâce au mode "Organisation" avec une autre personne utilisant BitWarden (limité à 2 personnes, vous inclus, en version gratuite. Sinon c'est $1/mois pour le mode "famille", c'est à dire un partage entre 5 utilisateurs). C'est tip-top dans mon cas. Ayant un ado de 15ans qui commence à utiliser sérieusement Internet, je lui ai créé un compte BitWarden et il partage ses identifiants principaux (Google, Email, etc...). Ainsi cela me permet de le surveiller un minimum et s'il change son MDP, cela se met à jour immédiatement dans mon vault.

Pour finir BitWarden inclus tous les services que les autres services gratuits et payants offrent: ajout de notes personnels, gestion de données confidentiels genre CB et un très bon générateur de mot de passe. On peut spécifier la longueur du mot de passe, l'utilisation de minuscule, l'utilisation de majuscule, de chiffres et de caractère spéciaux. En plus, il y a une option pour éviter les caractères ambigus. Par exemple 0/O, 1/l, etc... On peut même choisir d'utiliser des "Passe Phrase" basé sur la méthode Diceware. Cela donne des MDP long, facile à retenir, mais difficile à craquer pour une machine. Exemple: "dingue-lapin-fada" est facile à retenir et plus fiable que "L@P1nFoRum$".
Voici un site pour tester les mots de passe → https://howsecureismypassword.net/
Dans le 1er cas, il faut 2 millards d'année pour craquer le mot de passe, contre 400 ans pour le 2ème MDP pas facile à retenir du tout.  
Bien évidemment on est jamais sûr que ce n'est pas enregistré dans un quelconque dictionnaire. Donc éviter de tester vos vrais mot de passe.

Merci à ceux qui auront eu le courage de lire ce pavé indigeste jusqu’au bout.
Et en espérant que cela puisse aider d'autres membres du forum.

Le site officiel: bitwarden.com

Merci Lapinfou pour tes recherches et ta présentation des solutions.

Je suis dans le même cas que toi, je commence à avoir trop de chose dans mon fichier Excel crypté ;-)
Il y a quelque temps j'avais vu la solution Keepass mais n'étais pas aller plus loin pour les raisons que tu as présenté …
Je vais donc regarder de plus prêt la solution bitWarden

Ben pour moi c'est feuille de papier et stylo et classé dans un dossier avec les comptes, je ne stocke pas sur un site, trop dangereux.

Tu n'as plus de post-it Dehas ?

Dehas a écrit:Ben pour moi c'est feuille de papier et stylo et classé dans un dossier avec les comptes, je ne stocke pas sur un site, trop dangereux.

Pareil, un crayon et un calepin.
100% fiable anti hacker.
Et consultable même le PC HS, planter ou voler.

Mipel a écrit:Tu n'as plus de post-it Dehas ?

Non, plus de post-it, j'avais plus de place sur mon bureau

Hello Mon Garenne préféré,

Merci pour les infos. Je vais jeter un coup ld'oeil à-dessus car cela fait un petit temps que je cherche une solution pérenne ET efficace.
Pour le fichier chez Azur, si le chiffrage est solide, on pourrait encore faire "avec" (idéalement il faudrait pouvoir stocker le fichier sur un hébergeur de son choix)
Par contre, Google Authenticate...  Google qui parle de sécurité, cela me fait penser à un Poutine qui parlerait de démocratie...

Mais la solution idéale n'existe pas. Il faut voir s'il est possible de remplacer Google Authenticate par Authy ou toute autre alternative qui serait (conditionnel) moins sujette à caution.

Merci en tous cas pour ces infos complètes, comme à chaque fois,

Coyotte

Merci LapinFou pour ce partage tout très approfondi et instructif.

Un collègue sur Mac utilise le gestionnaire de mot de passe qui est inclus (si j'ai bien compris !) mais je ne maîtrise pas MacOs alors merci de me corriger si c'est une bêtise !

Nicolas le Banni a écrit:Pareil, un crayon et un calepin.
100% fiable anti hacker.
Et consultable même le PC HS, planter ou voler.

Idem pour moi avec des MP non mémorisables du genre "Ae:X4!;ffY#g9-!! ..." et en plus utilisation d'une E-Carte électronique.
Ne pas mémoriser son n° de carte sur internet.

Bonjour,

Idem pour moi avec des MP non mémorisables du genre "Ae:X4!;ffY#g9-!! ..."

A une époque ou il faudrait changer régulièrement ses mots de passe, la solution de calepin risque de devenir un peu compliquée.
Disposer d'un outil qui permet de mettre à jours les identifiants de plusieurs site de façon automatique est un plus.

Gros problème, la plupart de ces applications permettent de stocker les infos dans un cloud...qui est situé on ne sait où...
Comme il s'agit en plus d'entreprises américaines, on peut imaginer qu'elles sont susceptibles de fournir les accès à leur gouvernement si celui l'exige (et sans en être notifié )

Il faudrait donc trouver un système capable d'héberger les données sur un serveur basé en Europe et donc soumis au RGPD.
NextCloud est une application libre d'hébergement et partage de fichiers.
Il existe des NextCLoud Provider (Excusez l'anglicisme) susceptibles d'héberger les fichiers par chez nous. (genre 10€ par an pour 15 Go)
Reste à trouver maintenant l'application ad-hoc.
(Car Bitwarden ne semble pas permettre de stocker les infos ailleurs que sur Azure.. Dommage !)

Coyotte

ps: Je cite nextcloud...Il y en a d'autres... pas de prosélytisme

Salut à tous,

Tout d'abord pour répondre aux taquins tueur d'arbres , j'ai écrit ce pavé pour ceux souhaitant une solution électronique. Je n'essaye pas de convaincre les gens à changer leurs façons de faire.
Je ne résiste pas à l'envi de me faire l'avocat du diable et de préciser que la solution papier peut se perdre, se faire voler voir partir en fumée. Et au niveau cryptage, ce n'est pas terrible. Sans parler que l'on a pas toujours son calepin sous la main lorsque l'on est loin de chez soi.

Dans mon cas, je dois gérer plus de 200 MDPs, dont un nombre certain qui doit être changé tous les mois et respecté des règles strictes de sécurité. La solution papier n'est clairement pas indiqué à moins de faire comme je faisais jusqu'à maintenant: utilisé le même mot de passe pour une certaine catégorie. Par contre, je vous raconte pas la galère lorsque j'ai une alerte de sécurité et que je dois mettre à jour tous les sites utilisant le même MDP...

Pour revenir à BitWarden; oui cela fait peur d'avoir son coffre fort dans le cloud. Mais c'est là que l'audit du code Open Source prend tout son sens. On a une grosse assurance qu'avec un bon mot de passe maitre, même si le vault était piraté, il n'est pas crackable car pas de backdoor, pas de faille et un cryptage très très solide.

Concernant les serveurs Azur, le commentaire ci-dessus s'applique, car le code du serveur a également été audité. Maintenant, tu peux héberger toi-même un serveur sur le fournisseur de ton choix. Toutes les infos sur le mode "On-Premise" sont ici → https://help.bitwarden.com/article/install-on-premise/

Concernant Google Authenticate, j'ai parlé de lui car c'est le plus connu. C'est ici que les solutions 2FA ont leur avantage, même si ce n'était pas fiable à 100%, il faut les 2 clés pour ouvrir le coffre.
Ceci dit, la version gratuite de BitWarden supporte également Authy. La version Premium apporte le support de Yubico, Duo, Fido U2F et la double authentification par email.

Pour finir, ceux utilisant les solutions Mac ont effectivement accès à l'application "Trousseaux" d'Apple. Tous les MDPs sont alors stockés dans leur "iCloud". C'est une solution pratique, mais qui offre beaucoup moins de flexibilité et d'addons.

Histoire que les choses soient bien claires, ce post est purement informatif. Je ne force personne à utiliser BitWarden. Je voulais juste partager avec vous une solution qui correspond à mes besoins et qui me semble bien sécurisé comme il faut.

Histoire que les choses soient bien claires, ce post est purement informatif. Je ne force personne à utiliser BitWarden

C'est bien clair mon Garenne...

Je pourrais bien me laisser tenter également ... Juste un peu de réflexion et de recherche préalable parce que une fois lancé là dedans, pas question de changer de manager à chaque nouvelle lune...

Coyotte

CoyotteDundee a écrit:Gros problème, la plupart de ces applications permettent de stocker les infos dans un cloud...qui est situé on ne sait où...
Comme il s'agit en plus d'entreprises américaines, on peut imaginer qu'elles sont susceptibles de fournir les accès à leur gouvernement si celui l'exige (et sans en être notifié)

Justement, c'est là que l'audit Cure53 est intéressant. Tous les échanges entre le client et le vault sont cryptés !
Donc:
1. Le serveur ne voit jamais ton MDP maitre en clair.
2. Même si on accède à ton vault sur le cloud, tu ne peux pas l'ouvrir et regarder dedans sans le MDP maitre car c'est crypté ! A plus forte raison si tu as activé une 2FA → Why should I trust Bitwarden with my passwords?

CoyotteDundee a écrit:Il faudrait donc trouver un système capable d'héberger les données sur un serveur basé en Europe et donc soumis au RGPD.
NextCloud est une application libre d'hébergement et partage de fichiers.
Il existe des  NextCLoud Provider (Excusez l'anglicisme) susceptibles d'héberger les fichiers par chez nous. (genre 10€ par an pour 15 Go)
Reste à trouver maintenant l'application ad-hoc.
(Car Bitwarden ne semble pas permettre de stocker les infos ailleurs que sur Azure.. Dommage !)

Si, si, c'est possible regarde mon 1er post ! J'avais créé un vault sur mon NAS. Par contre il faut générer un host Id pour ton vault perso ici → Hosting Installation Id & Key
Cette Id est utilisée si tu souscris à des offres Premium.

CoyotteDundee a écrit:

Histoire que les choses soient bien claires, ce post est purement informatif. Je ne force personne à utiliser BitWarden

C'est bien clair mon Garenne...

Je pourrais bien me laisser tenter également ... Juste un peu de réflexion et de recherche préalable parce que une fois lancé là dedans, pas question de changer de manager à chaque nouvelle lune...

Coyotte

Le dernier audit est ici → Pentest-Report Bitwarden Password Manager 11.2018
6 vulnérabilités ont été trouvées à l'époque. Depuis cela a été corrigé (sinon des hackers auraient utilisés les infos publiés). Le plus intéressant (et ce qui m'a rassuré suffisamment pour me lancer) est que le principe de base est OK. Pas de bug critique sur le moteur d'encryption principal et pas de backdoor.

Re,

Je ne parlais pas d'une installation locale, trop lourde pour stocker juste les données d'un vault...
Je parlais d'utiliser un hébergement cloud non susceptible de fournir tes données sur simple requête

Coyotte

Si tu prend un hébergeur "RGPD" qui supporte Docker, alors cela va te prendre 30min pour installer et configurer ton vault.

Si tu testes, n'hésite pas à me faire un retour d'expérience.

Pour ceux qui souhaite installer Bitwarden sur leur NAS Synology il y a un très bon tuto sur le sujet dans le forum nas-forum.com ici

J'utilise KeePass avec un Cloud Privé sur mon NAS Synology (CloudStation).
J'ai CloudStation et KeePass sur mes différents appareils.
Bien que j'utilise cette solution depuis de nombreuses années, cela ne veut pas dire que c'est la meilleure.

J'ai pas mal joué avec BitWarden et j'avoue que tout est bien pensé.
On peut associer plusieurs URI à une même fiche identifiant (très pratique).
Perso, j'utilise le champs "Note" pour inscrit quel email a été utilisé pour ce site en particulier. Je l'utilise aussi pour inscrire les codes de récupération pour les sites utilisant du 2FA.


@Ceeb182
J'avais pensé à une solution de ce genre, mais le fait qu'aucun Add-On officiel existe pour mon browser préféré, ni pour ma tablette, ni pour mon smartphone, cela m'a bloqué.

Autre truc sympa, BitWarden garde un historique des MDPs.

Après une bonne dizaine de jour d’utilisation, je trouve BitWarden parfait.
J'ai même souscrit l'abonnement Famille et je peux ainsi partager certains identifiants entre ma femme et mes enfants.
Cela permet de pouvoir changer certain MDP et que tout le monde est l'update dans les secondes qui suivent.
Passé l'angoisse "essaye bien sécurisé", c'est vraiment un outil formidable.
J'ai lu en détail l'audit de sécurité et, pour moi, c'est top sécurisé.
Merci de poster votre retour d’expérience si vous franchissez le pas.

Salut Crasy Rabbit,

Je n'avais aucune expérience d'un gestionnaire de MdP et j'hésitais a me lancer là dedans. Je me contentais d'un fichier excel crypté et sauvegardé localement.

Au vu de ton expérience avec BitWarden, je me suis dit pourquoi pas...
Alors j'ai essayé... et j'ai adopté!

Passé quelques galères pour le partage entre 2 utilisateurs (je n'ai pris que l'option gratuite pour partager avec ma femme) j'arrive maintenant à maitriser la bête.

Il fait bien ce que l'on attend d'un gestionnaire de MdP et la génération automatique est très bien.

Comme tes recherches ont montré que la sécurité est bonne, je crois que je vais définitivement l'adopter.

Toutefois je ne suis pas encore prêt a mettre mes coordonnées bancaires dans le Cloud et comme de toutes façons j'utilise un service de e-CB cela ne servirait pas à grand chose.

Donc pour l'instant j'ai sauvegardé dans le coffre fort que les identifiants/MdP pour les sites "non sensibles" (qui ne permettent pas de remonter à mon compte en banque).

J'utilise l'extension BitWorden pour Firefox qui est bien pratique au moment de saisir loggin/password sur les sites internet.

J'en ai profité pour générer de nouveaux mots de passe pour les sites où j'utilisais souvent le même, cela va me permettre de sécuriser mes accès.

Cordialement

Guy

Merci pour ton retour.
C'est vrai que la création d'une "organisation" n'est pas forcement évidente la 1ère fois.
Pour ma part, je suis tellement content de BitWarden et c'est tellement pratique que j'ai pris l'option "Famille" afin de pouvoir partager certains identifiants avec ma femme et mes 2 enfants.

Concernant la sécurité, j'ai intégralement lu le rapport d'audit. C'est la grande force de l'Open Source pour ce genre de produit.
Suite à cela, j'ai décidé de faire 100% confiance à BitWarden. Donc, j'ai tout mis ("non sensibles" & "sensibles").

C'est clair que le générateur de MDP est super pratique.

Pour l'addon Firefox, je trouve aussi que c'est tip/top.
Astuce que tu n'as peut-être pas noté, tu peux mettre plusieurs URI pour un même identifiant ! C'est super pratique pour certains équipements (genre AP WiFi). Cela permet de n'avoir qu'une seule fiche pour pleins d'IP différentes.
Autre astuce, tu peux aussi modifier comment la détection de l'URI fonctionne.
Dans mon cas, j'ai un serveur qui a plusieurs services tournant avec la même adresse IP. Ce qui change, c'est le numéro de Port.
Du coup, j'ai remplacé "Détection de correspondance par défaut" par "Commence par" juste pour les identifiants concernés.

Une dernière chose, j'ai complètement désactivé le gestionnaire de MDP de Firefox et j'ai même supprimé tous les MDP qu'il avait enregistré.

Une dernière chose la version premium est top pour analyser tes MDP (ex: MDP de passe faible et/ou réutilisé plusieurs fois) et surtout, dans mon cas, la gestion des clés TOTP.
Un vrai plus !

A ce jour mon seul souci et que l'app iOS sur mon iPhone ne se synchronise pas toujours automatiquement. Un ticket est ouvert. J'espère que le problème sera réglé un jour.
Mais le sachant, si des modifs ont été faites, je force une synchro manuellement afin d'être sur que le vault sur mon iPhone est bien à jour.

Merci pour tes conseils.

Guy