Gestionnaire de mot de passe: KeePass and Co
Coucou la secte,
Suite à la boxe de NCAF http://choualbox.com/gIDoS, je voudrais vous sensibiliser sur l'utilité de varier ses mots de passes. Et des solutions qui sont proposées sur le marché, pour mémoriser toute cette panoplie d'identifiant. Je n'aborderai par le sujet de complexité des mdps dans cette boxe.
A l'heure actuelle, avec toutes ces applications en ligne, le nombre d'identifiants qu'on se doit de mémoriser est énorme, réseaux sociaux, banque, edf, internet, jeux... et tu doubles ce nombre en milieu professionnel.
C'est pourquoi 90% des personnes, sans connaître les risques, utilisent quasiment les mêmes identifiants pour différentes applications. Le souci étant que maintenant tout est rattaché à votre email.
Si une personne mal attentionnée vous veut du mal, il lui suffit de se concentrer sur votre email, pour vous rendre la vie difficile.
"Ouais on est au courant de tout ça blaireau, puis le 90% tu le sors d'où ?"
[Csb On]
Je joue pas mal sur un jeu smartphone, dans le style "Clash Of Clans". Sur ce jeu, un fan de la communauté a développé un site tools externe au jeu, regroupant des informations sur toutes les personnes du jeu. Chaque joueur peut se connecter sur son site pour avoir une multitude d'information sur les alliances/joueurs.
Mais ce fan a commit une grosse erreur, il a adressé un mail à toutes les personnes inscrites sur son site dans un message groupé. (Toutes les adresse emails des joueurs y apparaissaient).
C'est là ou l'idée de sensibiliser cette communauté, et d'évaluer le pourcentage de personne dans ce cas m'est venu à l'esprit.
J'ai donc crée une page de phishing, reprenant le code du fameux site en question.
Puis avec une nouvelle adresse mail, quasiment similaire à l'ancienne (yavé un accen en plus ^^), je leur ai communiqué un mail, prétextant qu'une mise à jour avait été faite sur le site, et en prenant soin de leur communiquer l'url de la page de phishing. Deux jours après, je comptabilisais une bonne centaine d'identifiants.
[Csb Off]
C'est maintenant que je reviens sur le sujet de la boxe, 90% de ces personnes avaient le même mot de passe pour le site et pour le jeu !! 60% avaient le même mot de passe sur le jeu et sur leur email !!
C'est con, mais c'est comme ça que la majorité des hacks de boite mail arrivent.
C'est pourquoi il faut toujours varier ses mots de passes. Et il existe des outils vous permettant de retenir tout cela. Appelé "Gestionnaire de mots de passe". Il suffit juste de définir un mot de passe "master" qui vous permettra de vous logger sur ces solutions, gratuites en majorité.
Petit résumé de celles que j'ai pu essayer, la première et la dernière étant mes favorites:
-KeePass: simple d’utilisation, Keepass est un modèle freemium utilisable avec ou sans connexion internet. À chaque mot de passe, il est possible d’ajouter des notes, une date d’expiration ou même de le lier directement à une url. Complétion automatique ...
-Hushkey: même principe
-Efficient Password Manager: même principe
-LastPass: Extension de navigateur, téléchargeable sur chrome, mozilla, safari, internet ex..... Même principe que KeePass.
En fonction des goûts et des couleurs, il en existe un certain nombre, même si je pense que KeePass est la référence.
Merci de m'avoir lu, vous en avez surement déjà conscience, mais toi qui me lit tu sais que t'as un même mot de passe sur deux applis différentes ! N'hésitez pas a sensibiliser vos proches, papa, maman, mamie papi, car se sont les plus concernés. Beaucoup d'entreprises font de la sensibilisation dessus aussi.
TL;DR: Toujours varier ses mots de passe quelques soit l'application et son importance ! A la fin de la box, quelques solutions permettant d’accéder à votre bibliothèque d'identifiants, en en mémorisant qu'un seul.
Bonne box sur un sujet très important, par contre ta description de KeePass est fausse. Ce n'est pas un freemium, il est gratuit et open-source, ce qui est un point très important pour ce genre de logiciels.
Pour ceux qui ne connaissent pas, c'est clairement la référence dans le domaine et je vais vous partager mon expérience. J'utilise ce gestionnaire quotidiennement sur mes deux ordis et je peux plus m'en passer ! En gros, il est multiplateforme (dans mon cas Windows et Linux), existe en version portable et il permet de créer une base de données chiffrée (stockée dans un seul fichier) dans laquelle vous pouvez ajouter des fiches avec :
- un nom d'utilisateur + mdp (que vous pouvez générer avec KeePass)
- une description
- une URL/un nom d'application/... ce qui permet à KeePass de remplir les champs de saisie avec Ctrl+Alt+A dans vos applications !
- des fichiers
- etc ...
Cette base de données peut être gardée en local mais aussi en ligne, KeePass gère les fichiers distants. Mais un de ses gros points forts, ce sont les plugins (liste du site officiel : http://keepass.info/plugins.html), et il y en a beaucoup.
Dans mon cas, j'utilise :
- Le plus important : KeeFox, pour intégrer KeePass à Firefox (en remplaçant complètement le gestionnaire par défaut de Firefox) et stocker vos mdp dans KeePass. Il existe le même pour Chrome et il existe aussi des applications pour les smartphones !
- KeeAgent, un plugin qui permet de créer un agent ssh vos clefs, qu'il stocke directement dans la base KeePass (il se déverrouille en même temps que la base KeePass)
- un plugin pour gérer des backups de la base à plusieurs endroits
Quand je l'ai installé j'ai mis au moins une heure pour y mettre tous mes mots de passes mais maintenant c'est que du bonheur ! La base est sur mon serveur et mes deux ordis peuvent y accéder et la modifier. Dans mon cas j'ai un serveur, mais ça fonctionne avec n'importe quel serveur web, et aussi sur les clouds à l'aide de plugins (dropbox, etc...). La base de données est chiffrée (AES 256) donc normalement il n'y a "aucun" risque.
@pudge: bon j'ai testé KeePassX et KeePass2, mais l'ajout de KeeFox m'a foutu un bordel pas possible dans Firefox putain : onglet "Installer KeeFox" À CHAQUE DÉMARRAGE de Firefox alors que ça fonctionne, ça m'a cassé les couilles...
@Foucal: Bizarre, je l'ai installé sur plusieurs ordis sans jamais avoir de souci. Détends-toi lol, on va régler le truc. Normalement si tu installes KeeFox il ne te le redemande plus , évidemment.
Déjà évite KeePassX, il n'est pas compatible avec les plugins et n'a pas vraiment d'intérêt. Prends direct KeePass (version 2).
Ensuite lance KeePass et accepte l'installation de KeeFox (il copie ainsi son plugin dans le répertoire de KeePass) et relance KeePass (très important sinon le nouveau plugin n'est pas pris en compte).
Si tu as des soucis MP moi mais normalement c'est ultra simple.
Pour ceux que ça intéresse on en avait déjà parlé aussi ici http://choualbox.com/Lmx1t et là http://choualbox.com/YsyNP
@saian: ah ! j'avais cherché avec keepass et gestionnaire de mot de passe en mots clé
@JesusDidntYolo: ya pas de soucis, c'est juste pour ceux qui veulent lire plus, mes boxs se trouvent dans d'autres groupes et le sujet est pas le même donc ya aucune histoire de djp.
Effectivement faudrait que je varie mes mdp plus souvent. De base pour avoir un mdp en béton ma méthode c'est d'utiliser un générateur de mdp en ligne. Je retiens bêtement une chaine de 16 caractères aléatoire du coup. C'est une bonne méthode selon moi, mais couplé avec un gestionnaire là on devient in-hackable.
@Monqu: Faux. Le SE est fourbe. S'il est bien exécuté tu ne t'en rendras même pas compte.
Pas mal ! Je connaissais que 1password, mais il est payant au bout d'un moment.
Je sais pas si KeePass le fait aussi mais 1Password tu peux choisir la force du mot de passe généré: Tant de cractère, chiffre, lettre, Majus, minsusucle.. accent etc...
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.