Je n’utilise pas LassPass sur Android (Android étant une passoire je ne considère pas qu’il soit sécurisé d’y delock son vault sur ce système) donc je n’ai pas trop ce problème, mais je peux comprendre que ça en soit un pour ceux qui l’utilisent. J’en prend bonne note mais je recommande vraiment pas cette pratique
Pour ce qui est de l’option de Keepass, j’imagine que l’idée est de faire baisser la « valeur » du master password. Par exemple on peut avoir accès à un keylogger mais pas au fichier de mot de passe, ou l’inverse, etc…Tout ce qui complique la tâche des cryptographes/attaquants est bon à prendre.
Ca peut aussi bloquer des attaques web exploitant une faille du navigateur pour accéder au contenu du presse-papier ou un autre espace mémoire où transiteraient les mots de passe - du coup si ces différents espaces mémoires n’ont accès qu’à une valeur partielle du mot de passe, l’attaque devient caduque.
J’aimerais bien faire un pavé mais là j’ai pas le temps alors je vais m’en tenir à un rapide retour d’expérience.
J’ai Mac et iOS, j’ai testé 1P et Dashlane. C’est les deux seuls qui me semblent vraiment viable et sérieux compte tenu de la sensibilité des données. J’ai acheté le premier pendant des promo. Et le deuxième, j’ai un abo gratuit ayant participé dés la Beta du soft.
J’utilise Dashlane, j’ai abandonné 1P, principalement à cause du plug in d’auto complétion des formulaires dans Safari sur macOS. C’est mon utilisation principale pour ce type de soft et je trouve dashlane 2000 fois plus efficace que 1P.
Sur 1P il faut aller sur le site, appeler le menu, cliquer sur l’identifiant ou alors appeler le menu, faire une recherche, sélectionner l’identifiant qui va vous emmener sur un nouvel onglet et vous auto loger. Bref, je ne sais pas si c’est parce que ça ne correspond pas trop à mes habitudes mais je trouve ça trop long et souvent pénible. Sur Dashlane, je clique sur mon signet/favoris, il m’autologue, c’est fini. Dans le pire des cas , je dois cliquer sur le lien de connexion. A l’inverse, sur certains site ça va tellement vite que je ne vois même pas la page de login. Je ne prends même plus la peine de cocher la case “se souvenir de moi”.
Après la popularité de 1P lui donne l’avantage sur iOS avec son extension, mais de plus en plus dans les app compatible 1P, l’extension dashlane fonctionne aussi. Mais, comme déjà dit, cet argument est moins important pour moi, c’est sur mac que le choix prime.
Sinon après je trouve 1P limite trop complet et un peu usine à gaz même si ça ne le rend pas moins efficace heureusement.
Après de longues recherches je suis arrivé à la conclusion que :
1. Le plus « secure »
C’est KeePass (offline, certication ANSSI). Mais un peu pénible à mettre en place. Et pourquoi du libre alors que l’on peut payer pour un truc équivalent .
2. Les bons choix
Ce sont 1password et Dashlane.
3. Mon expérience perso
J’ai choisi Dashlane. Sur iOS avec Touch ID c’est le pied absolu !!! Je penses que 1password le fait aussi. Sur mac sans Touch Id (quasi tous donc), c’est chiant de taper le mot de passe maître tous les matins. À moins de laisser tourner sa bécane 24h sur 24 ! Après tout, on est bien chez les geek ici ? Donc je suis bien certains que certains d’entre vous le fond.
4. Conclusion
Voilà, voilà. Il ne me reste plus qu’à faire le tour de mes centaines de comptes à travers le net et sécuriser mes passwords. Oui parce que utiliser un gestionnaire de mot de passe pour au final garder les mêmes mots de passe assez basiques (pas 1234 quand même) c’est franchement débile !
Pour ma part, je suis passé de 1password dont j’étais très satisfait jusqu’au début d’année à une solution auto hébergé chez moi ( nextcloud + keyweeb ).
Su 1password, j’adorais l’idée d’avoir un fichier local de mes mots de passe.
Le fait de devoir passer par un outil web pour pouvoir y accéder partout, ça ne me botte pas du tout.
En plus la dite plate forme web est payante.
bon 1password est un super outil, donc payer pour l’utiliser , ça ne me dérange pas plus que ça, mais avec mes mdp sotckés dans le cloud , ça me gêne fortement.
Du coup , j’ai tout mis sur Keypass.
Et de keypass à keeyweb ( qui est en fait un plugin nextcloud/owncluoud pour gérer des fichiers Keypass ).
Donc tout est @home, et si ça plante, c’est pour ma pomme.
En plus je pense que je n’utilisais pas la moitié des features de 1password.
J’envisageais cette solution mais je crains de ne pas avoir les compétences pour maintenir le niveau de sécurité nécessaire au niveau de mon réseau local et de mon serveur pour assurer le même niveau que ce que j’attends de la part des fournisseur en ligne (tant pour l’aspect confidentialité que pour celui de la disponibilité et de l’integrité)
As-tu une expertise particulière dans le domaine ou penses-tu seulement que tu es capable de maintenir la sécurité nécessaire ? (je n’envisage pas que tu considères tes mdp comme triviaux et ne nécessitant pas un haut degré de sécurité vu que tu refuses déjà de les mettre sur un serveur distant)
Question 1Password.
Ca fait longtemps que je l’utilise et j’en suis pleinement satisfait.
Maintenant ca fait plusieurs messages que je vois passer où on parle de stockage des mdp dans le cloud.
Perso j’ai tout en local. Cette histoire de cloud c’est avec les dernières versions? Un truc imposé aux nouveaux users?
Pour l’instant tout va bien mais ce me ferait chier de me retrouver à plus pouvoir tout avoir en local
+1, je ne vois pas d’un très bon oeil ce changement de modèle économique d’agilebits. Je comprends l’intérêt pour eux mais pour un sujet aussi sensible c’est bien d’avoir une alternative.
Pour le moment la synchronisation sans passer par leur service est toujours possible, mais pour combien de temps ?
Bon apres en matant la page que tu link, je me fait la reflexion que j’utilise la sync via dropbox, donc au final est-ce que ca serait bien different ?
In fine ce qui me chagrine le plus c’est cette histoire d’abonnement. J’ai pas trop suivi ce qu’ils font et ca me ferait surtout chier si jamais je devais d’un seul coup raquer un truc tous les mois alors que j’ai déjà payé le soft une fois.
Je me suis un serveur debian, avec acces apache https+.htaccess + filtrage iptables .
Je pense que cela suffit ( il faut le mot de passe d’accès + le mdp nextcloud + le mdp pour ouvrir le fichier keypass et tout ça à partir d’une IP préalablement connu )
Pour moi il y a une différence importante. Avec la sync dropbox, j’ai un coffre fort chiffré que je choisis de déposer chez dropbox (ou autre) pour la syncho. Si demain mon compte dropbox est compromis, par un tiers ou un employé de dropbox, celui-ci devra s’amuser à déchiffrer le coffre-fort.
Dans le cas où c’est le fournisseur du soft de gestion de mot de passe qui assure la synchro, le risque est différent. D’une part la tentation de ne pas stocker directement le coffre-fort mais directement les données est grande, la nécessité d’avoir une master-key pour offrir plus de service (analyse des mdp, etc…), arrive assez vite et les emmerdes aussi (pas le cas aujourd’hui il me semble).
Techniquement il y a toujours moyen d’avoir des problèmes, un développeur mal intentionné introduit une saloperie dans l’appli, un exploitant mal intentionné accède aux données, etc… Ça peut toujours arriver quel que soit l’endroit où sont stockées les données, mais le fait de ne pas les stocker chez l’éditeur et de créer de la distance réduit un peu le risque et satisfait ma parano
J’ai absolument aucun soucis avec les abonnements et les services bien managés. J’ai beaucoup plus de problèmes à perdre des heures à gérer ça moi-même, moins bien. Il faut également bien prendre en compte les limites d’une solution auto-hébergée (crashs de HD, cambriolages, incendies, etc.), qui à mon sens sont bien plus plausibles qu’un problème chez 1P ou autre. Lastpass, on dit de se méfier depuis des années, c’est pas nouveau. Du reste j’ai un pote qui vient de découvrir ça (NAS volé dans un cambriolage "tiens c’est zarb j’ai plus accès à mon cloud). Du coup, ça oblige à backup le NAS… souvent sur le Cloud (coucou Amazon Drive)…
C’est vraiment en fonction du placement du « curseur parano » chez chacun (et de ses capacités / envies techs). Accessoirement je suis fan du login dans les apps iOS. Au final, il n’y a pas vraiment de solution parfaite et certainement aucune gratuite. Loin de là. Ou alors vous considérez que votre temps n’a pas de valeur, ce qui est à mon sens la plus grosse erreur (sans parler du matos nécessaire)…
Pour ma part j’aime bien auto-héberger mes services, parce que ça m’intéresse et m’amuse. Je ne pense pas plus gâcher mon temps que quelqu’un qui regarde une série TV ou joue à un jeu. Chacun son délire
.
