Carnet de notes

Les petits utili­taires : 1– Le gestion­naire de mots de passe

Il y a toute une série de petits utili­taires indis­pen­sables avec lesquels je ne suis pas satis­fait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.

Bref, j’ai­me­rais un logi­ciel pour gérer mes mots de passe et les stocker de façon sécu­ri­sée.

  • Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indis­pen­sable.
  • Le stockage et l’ac­cès doivent être sécu­ri­sées. Rien ne doit être acces­sible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
  • L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digi­tale) quand le télé­phone passe en veille (ou à défaut quand je bascule sur une autre app).
  • Tous les clients (app mobile, desk­top, navi­ga­teur) doivent de rever­rouiller au bout d’un certain temps d’ac­ti­vité et néces­si­ter la saisie du mot de passe maître pour être réou­verts.
  • Je dois avoir une exten­sion du navi­ga­teur pour auto-complé­ter les formu­laires de login, autant sur desk­top que sur mobile. Idéa­le­ment l’auto-complé­tion n’injecte pas plein de trucs auto­ma­tique­ment dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’ou­til.
  • La même exten­sion du navi­ga­teur doit savoir créer une entrée dans les mots de passe enre­gis­trés à partir d’un formu­laire de login sur une page web.
  • Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
  • L’ou­til embarque un géné­ra­teur de mots de passe.
  • Ça serait top de pouvoir parta­ger des mots de passe, en lecture et/ou en écri­ture, à une personne ou à un groupe.

Parce que je suis geek :

  • Il existe un accès en ligne de commande ou un moyen de bidouiller l’en­semble
  • Il est possible de sauve­gar­der faci­le­ment et auto­ma­tique­ment ma base de mots de passe quelque part (que tout ne repose pas sur un pres­ta­taire)
  • Le fonc­tion­ne­ment (API, chif­fre­ment) est docu­menté, idéa­le­ment open source
  • Ça serait top que ça gère aussi direc­te­ment l’agent pour mes clefs SSH
Dash­lane

J’ai exploré par mal de choses. Pour l’ins­tant Dash­lane coche la plupart des cases mais l’ex­ten­sion navi­ga­teur me gêne. Il s’agit d’une coquille vide qui s’oc­cupe des auto-comple­tion et qui inter­agit avec l’ap­pli­ca­tion Dash­lane native sur le système.

Je trou­vais le système assez smart mais en réalité non seule­ment je ne vois pas ce que ça m’ap­porte mais je vois même en quoi ça peut dimi­nuer légè­re­ment la sécu­rité.

Dans tous les cas, l’injec­tion de scripts dans toutes les pages à formu­laire est fran­che­ment gênante. Fire­fox me signa­lait régu­liè­re­ment des ralen­tis­se­ment dû à Dash­lane mais en plus l’UX de gestion de l’auto-comple­tion me gêne plus souvent qu’elle me faci­lite la vie, surtout sur un petit écran mobile (sans comp­ter que sur mobile ça m’oblige à utili­ser Chrome plutôt que Fire­fox).

Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des ques­tions sur les inter­ac­tions entre le navi­ga­teur et l’ap­pli­ca­tion native j’ai eu des demies réponses sans détails tech­niques. J’ai l’im­pres­sion que cette partie de l’ar­chi­tec­ture repose plutôt sur l’obs­cu­rité. Non seule­ment ça me gêne, mais je doute encore plus de voir arri­ver autre chose que ce que l’équipe a prévu et a le temps de faire.

Bref, beau­coup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.

Enpass

Ça couvre beau­coup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchro­ni­ser sans serveur via un disque en ligne quel­conque genre Drop­box ou Google Drive. Ça me permet aussi de gérer les sauve­gardes tout en me rassu­rant sur la péren­nité.

Pass­bolt

J’en ai encore moins de cases cochées mais là j’ai de l’open­source, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?

Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus abou­tis. Le cœur logi­ciel est pour­tant assez faci­le­ment acces­sible pour deux ou trois dev moti­vés et le besoin est géné­ral au moins au niveau des geeks.

Publié

dans

,

par

Éric

Étiquettes :

Commentaires

8 réponses à “Les petits utili­taires : 1– Le gestion­naire de mots de passe”

  1. Avatar de Éric
    Éric

    Du coup on me pointe https://passwork.me/
    Open source mais très orienté « accès via interface web ». Vu que ça parle de tracer qui accède à quel mot de passe, j’imagine même que les API ne seront pas adaptées pour un client off-line, mais ça peut être une meilleure base que Passbolt pour bidouiller.

    Répondre
  2. Avatar de Éric
    Éric

    Autres open source :
    https://keeweb.info/ (interface web autour d’un fichier type keepass synchronisé par Dropbox ou similaire)
    http://teampass.net/ (web, développeur unique, interface des années 2000)
    https://www.clickstudios.com.au/ (web aussi, très orienté entreprise)
    https://www.passwordstore.org/ (lignes de commande par dessus des architectures de fichiers, git et gpg)
    https://github.com/nextcloud/passman (web, outil de nextcloud)
    https://bitwarden.com/

    Répondre
  3. Avatar de Bruno
    Bruno

    Je n’ai pas testé, mais on m’a dit du bien de bitwarden et buttercup (https://buttercup.pw/) en open source.

    Répondre
  4. Avatar de Pierre-Yves
    Pierre-Yves

    Pour moi enpass sans hésiter dans un contexte personnel. Dans un contexte pro, lastpass.

    Répondre
  5. Avatar de Maxime
    Maxime

    Salut,

    KeePass devrait pouvoir couvrir un bonne partie de tes besoins :
    * il est open-source, dispose d’application Windows (KeePass), Linux (KeePass sur Mono), Mac (KeePass X) et android (KeePassDroid).
    * Il ne dépend pas d’un service web, c’est un fichier chiffré à déposer sur une dropbox, OneDrive ou autre. Ca fonctionne en offline.
    * Il dispose d’un plugin navigateur pas trop intrusif sur Chrome et Firefox (KeeFox et chromeIPass) pour remplir les mots de passe (si on l’y autorise) et créer des nouvelles entrées.
    * Il est sécurisé (audité par l’ANSSI) et propose de la génération de mots de passe.
    * Avec un extension ça gère les clés SSH (en répondant au protocole d’agent SSH).

    Les points qu’il ne couvre pas :
    * Le partage : tout est chiffré avec une clé maitre, pour partager c’est tout un fichier en partageant le mot de passe maitre.
    * Pas de verrouillage « soft » c’est uniquement avec le mot de passe maitre, même sur mobile (en tout cas avec KeePassDroid)
    * Je n’ai jamais testé l’accès en ligne de commande, je ne sais pas si ça existe.

    Je l’utilise depuis plusieurs années et j’en suis content.

    Répondre
    1. Avatar de Éric
      Éric

      Mais pas de synchronisation entre les différents appareils. Le coup du dropbox ne fonctionnera pas automatiquement sur mobile. C’est un pré-requis pour moi

    2. Avatar de Quentin
      Quentin

      En fait il est possible de synchroniser KeepassDroid (sur Android) et KeepassX 2 (sur PC). En effet, il suffit de trouver un outil de synchronisation de fichier type Dropbox qui supporte les accès webdav (comme Owncloud ou Seafile). Ensuite, sur votre ordinateur vous choisissez de mettre votre base de donnée Keepass dans le dossier synchronisé avec votre « cloud ». Dans votre KeepassDroid, vous mettez l’URL webdav qui correspond à ce même fichier. La synchronisation se fera dans les deux sens.

  6. Avatar de Pierre-Olivier
    Pierre-Olivier

    Pour ma part, j’ai opté pour une approche différente et utilise depuis quelques mois un périphérique dédié à cet usage : https://www.themooltipass.com/

    Évidemment, c’est à transporter avec soit. C’est reconnu comme un clavier, donc ça fonctionne sur tous les équipements ayant un port USB (téléphones compris). Actuellement, sur mobile, il n’est pas possible via l’OS d’avoir le même comportement que l’extension de navigateur ; mais la dernière version d’Android le permet et c’est déjà en cours de développement de leur côté.

    Le seul point qu’il ne valide pas c’est le partage de mots de passe avec d’autres personnes. L’idée que les concepteurs ont retenus pour ça, c’est qu’un groupe d’utilisateur utilise un même mooltipass, mais chaque utilisateur a sa propre carte à puce (celle-ci servant uniquement à l’authentification, elle ne contient pas les mots de passes).

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *