Gestion des mots de passe

Bonjour à tous,

On est désormais noyé par les mots de passe à un point où cela en devient ingérable...
Quel est pour vous le meilleure solution? Le bon vieux carnet dans lequel on notera tous ses mots passe en prenant bien soin de jamais les enregistrer dans son navigateur?

  • faire confiance aux outils proposés par les navigateur et la synchronisation des compte et tout enregistrer dedans? (c'est proposé par exemple par le navigateur Vivaldi, créer un compte chez eux et tout stocker chez eux),
    = apprendre à utiliser un logiciel comme keepass? Peut-on faire confiance aux extensions de keepass pour firefox et/ou les autres navigateurs?

  • utiliser w10 et payer une licence type kaspersky qui stockera de manière sûre(?) tous vos mots de passe?

«1

Réponses

  • j'enregistre tout chez Opera, jamais de gestionnaire de mot de passe. J'attends le drame. Parallèlement à ça, j'ai une politique de mot de passe par importance de sécurité. J'entends par là que pour un site de merde où je vais aller une fois, j'utilise un mot de passe pourri qui peut être hacké.

    un tour de temps en temps sur https://haveibeenpwned.com/

  • J'utilise keepass.

  • @cyrille a dit :
    j'enregistre tout chez Opera, jamais de gestionnaire de mot de passe. J'attends le drame. Parallèlement à ça, j'ai une politique de mot de passe par importance de sécurité. J'entends par là que pour un site de merde où je vais aller une fois, j'utilise un mot de passe pourri qui peut être hacké.

    un tour de temps en temps sur https://haveibeenpwned.com/

    Idem sauf qu'avec Firefox. Et des adresses mails différentes selon l'importance. Les MDP critiques ne sont que dans ma tête.

  • Ancien utilisateur de Dashlane (pas fini la migration)

    Nouvel utilisateur de Keepass2 (essayé KeepassXC plus simple mais ne correspond pas à mes besoins)
    Extension Kee pour les navigateurs (j'aurais préféré un truc plus libre mais bon)
    Applis Keepass2Android et KeepassDX (pas encore tranché entre les deux) et pas encore beaucoup utilisé

    Pour les trolls, je leur (plus ou moins) ai imposé Bitwarden. Le grand en est satisfait, l'autre ne penses pas à encore trop à l'utiliser, malgré mes incessantes recommandations coup de gueule

    Et quelques mots de passe dans Firefox (en plus de Keepass) pour des sites courants (et non critique) comme le présent site

    Pour les mails, autant que possible, une adresse mail par site (grâce aux alias)

  • j'utilise la méthode du mot unique suivi d'un rappel du site
    par ex :
    mdp gmail = Azertyuiop12345&gmail
    mdp de ce forum = Azertyuiop12345&borne
    etc...
    ça couvre beaucoup de besoin mais pas tout malheureusement

  • Bitwarden de mon côté pour les password des toutes les installations que j'ai à gérer.

  • Le pb avec keepass c'est je crois qu'il faut avoir avec soi sa database. Ou pouvoir la synchro, donc passer par le web et la database est donc hébergé sur le web, tous les mdp n'étant protégé que par un seul...

  • Bitwarden en auto-hebergé pour moi

  • Comme @love_leeloo , je sale mon mot de passe unique avec un préfixe ou un suffixe en fonction du site : ça pourrait être le nom du site sans voyelles, sans consonnes, les x premiers caractères, les x derniers, avec ou sans caractère spécial au milieu...

  • J'utilise Pass https://www.passwordstore.org/ avec PassFF sur Firefox et QtPass comme interface graphique. L'intégration est moins simple à configurer que Keepass (par exemple le navigateur nécessite un script local en plus du module).

    En résumé, 1 mot de passe = 1 fichier, et chaque fichier est chiffré par gpg.
    L'avantage est que je peux chiffrer les mots de passe avec plusieurs clefs gpg différentes (donc multi-utilisateurs) (tu peux choisir quels mots de passe tu chiffres avec quelles clefs) et que je peux plus facilement partager seulement les mots de passe de mon choix avec d'autres appareils (par exemple via syncthing, git ou nextcloud).
    Par exemple, je peux avoir un clef gpg différente sur mon téléphone et sur mon PC, et ne partager que les mots de passe de faible importance avec mon téléphone. S'il est volé, le voleur n'a ni les mots de passe critiques du PC, ni même la clef gpg avec laquelle ils sont chiffrés.

    Sinon d'autres comparaisons ont déjà été faites :
    https://linuxfr.org/news/gestionnaires-de-mots-de-passe
    https://cyrille-borne.com/forum/discussion/comment/3140

  • Punaise, autant de façon de faire que d’utilisateurs :D
    Merci pour les différents retours, très intéressant B)

  • Keepass pour moi aussi avec une synchro sur nextcloud pour y avoir accès depuis mon pc et mon téléphone. J'aime bien la méthode de @love_leeloo.

  • Trop de méthodes, je suis paumé :D

  • carnet de notes. Y'a que ça de vrai. :P

  • @Nick_au_Repos a dit :
    carnet de notes. Y'a que ça de vrai. :P

    Vieux réac rétrograde B)
    (Je plaisante hein tu t'en doute ;) )
    Je me fie au gestionnaire de FF mais c'est pas forcément le meilleur choix

  • @Nick_au_Repos a dit :
    carnet de notes. Y'a que ça de vrai. :P

    C’est ce que je finis par en déduire...

  • @romainhamel a dit :

    @Nick_au_Repos a dit :
    carnet de notes. Y'a que ça de vrai. :P

    Vieux réac rétrograde B)
    (Je plaisante hein tu t'en doute ;) )
    Je me fie au gestionnaire de FF mais c'est pas forcément le meilleur choix

    :D j'suis découvert ! :D

    Le problème est compliqué :

    • des centaines de passwords professionnels
    • des dizaines personnels
    • certains sont juste pour un site une fois ou 2
    • d'autres sont pour tous les jours, semaines ou mois.
    • il faut renouveler tout ça.
    • Maintenant on te demande régulièrement une double authentification avec ton tél. portable (pas franchement terrible)

    Un logiciel de password oui mais ma boite ne fait pas cela. Donc si je le fais à titre personnel, j'aurai quand même le problème des passwords pros (qui sont bien plus nombreux).

  • J'avais lu quelque part que les mdp dans firefox, pour peu que l'on choisisse un mot de passe principale, sont relativement bien sécurisés...

  • Je comprends pas trop cet histoire de mdp principal dans FF. Je comprends l'idée du mdp maitre mais si ils sont déjà tous enregistrés dans FF, qu'il y ait un mdp maitre ou pas je vois pa trop l'intérêt...

  • @Nick_au_Repos a dit :

    @romainhamel a dit :

    @Nick_au_Repos a dit :
    carnet de notes. Y'a que ça de vrai. :P

    Vieux réac rétrograde B)
    (Je plaisante hein tu t'en doute ;) )
    Je me fie au gestionnaire de FF mais c'est pas forcément le meilleur choix

    :D j'suis découvert ! :D

    Le problème est compliqué :

    • des centaines de passwords professionnels
    • des dizaines personnels
    • certains sont juste pour un site une fois ou 2
    • d'autres sont pour tous les jours, semaines ou mois.
    • il faut renouveler tout ça.
    • Maintenant on te demande régulièrement une double authentification avec ton tél. portable (pas franchement terrible)

    Un logiciel de password oui mais ma boite ne fait pas cela. Donc si je le fais à titre personnel, j'aurai quand même le problème des passwords pros (qui sont bien plus nombreux).

    Pas simple en effet, il faudrait avoir un compte perso et pro pour la gestion des mots de passe, mais ça devient vite la fête au village quand tu dois te connecter de chez toi avec ton compte pro pour une tâche pro.

    Ah oui la double authentification.. n'empêche que les banques avec le DSP2 ont réussi à faire compliqué quand on peut faire simple. Mettez-vous 30 secondes à la place de l'octogénaire qui bricole un peu sur son PC à qui on impose du jour au lendemain ce dispositif.

  • @sébastien, pour moi lorsque tu utilises une mot de passe principale, la base de donnée contenant les mots de passes est chiffrée, ce qui n'est pas le cas sans mot de passe principal.

  • Sauf qu’avec FF c’est pas clairement dit je crois, si?

  • @sébastien a dit :
    Je comprends pas trop cet histoire de mdp principal dans FF. Je comprends l'idée du mdp maitre mais si ils sont déjà tous enregistrés dans FF, qu'il y ait un mdp maitre ou pas je vois pa trop l'intérêt...

    Avec Firefox, tu peux stocker tes mots de passe au moment ou tu les saisis
    Mais ils sont librement accessible en clair dans les options
    Si tu veux sécuriser un peu le truc, tu as maintenant (ça l'était peut être avant) l'option "Mot de passe maitre" comme dans les gestionnaire de mots de passe.
    Dans la pratique, je ne sais pas s'il te le demande à l'ouverture de Firefox ou à chaque connexion à un site
    Plus d'infos https://support.mozilla.org/fr/kb/utiliser-mot-passe-principal-proteger-identifiants?as=u&utm_source=inproduct&redirectslug=use-master-password-protect-stored-logins&redirectlocale=en-US

  • @romainhamel a dit :
    Pas simple en effet, il faudrait avoir un compte perso et pro pour la gestion des mots de passe, mais ça devient vite la fête au village quand tu dois te connecter de chez toi avec ton compte pro pour une tâche pro.

    Ah oui la double authentification.. n'empêche que les banques avec le DSP2 ont réussi à faire compliqué quand on peut faire simple. Mettez-vous 30 secondes à la place de l'octogénaire qui bricole un peu sur son PC à qui on impose du jour au lendemain ce dispositif.

    Oui le mélange Pro / perso cela ne plait pas trop. Déjà que le télétravail avec son matos perso c'est tout bénéfice pour la boite.

    La double authentification, je n'ai vu qu'une banque le faire avec autre chose que le portable du client ... Donc on est en plus obligé à donner son numéro de portable, l'avoir sur soi et allumé en permanence ?!?

  • décembre 2020 modifié

    Tous les 90 jours faut que la banque te renvoie un code à 6 chiffres sinon tu peux plus accéder a ton espace client.
    Non franchement on fait des bonds en avant en matière d'efficacité technique.
    Chez Bourso par contre en te connectant a leur appli au moins une fois dans ce laps tu n'as pas a refaire ce micmac

  • C’est le cas avec le crédit mutuel, code envoyé par sms mais avec moi c’est quasi à chaque nouvelle connexion.

  • Keepass pour ma part avec une synchro de ma base sur le net et un mot de passe maitre utilisé uniquement la et plutot robuste. Mot de passe bidon pour les sites web qui ou je n'ai pas de données sensibles.

    Double authentifiction quand c'est possible via microsoft authenticator

  • @sébastien a dit :
    C’est le cas avec le crédit mutuel, code envoyé par sms mais avec moi c’est quasi à chaque nouvelle connexion.

    Pareil à la Banque Pop.

  • Feuille calc dans un container Veracrypt. Le problème c'est que le fichier est en clair lorsqu'il est ouvert...
    Mais c'est portable et facile à sauvegarder.

  • @renard_solitaire a dit :
    Feuille calc dans un container Veracrypt. Le problème c'est que le fichier est en clair lorsqu'il est ouvert...
    Mais c'est portable et facile à sauvegarder.

    Normalement, les fichiers calc et excel peuvent être nativement chiffrés
    (Pour calc => Enregistrer sous => Cocher Mot de passe ou Clef GPG)

Connectez-vous ou Inscrivez-vous pour répondre.