1Password, KeePass, Dashlane : comment bien gérer ses mots de passe

utilitaire

#101

On m’affirme via un autre membre du staff que la sync Dropbox est là pour rester, “la preuve, on vient encore de l’améliorer sur la version iOS”. De fait, elle est présente partout sauf 1P6 Windows. Du coup je comprends pas du tout leurs prios (a priori c’est pour faire des trucs plus importants, quoi, j’en sais rien.)

Bref, pas de panique yet mais ça commence à bien gaver.


#102

Concernant Bitwarden, une analyse rapide de leur site web (https://securityheaders.io/?q=https://bitwarden.com/&followRedirects=on) montre qu’aucun en-tête lié à la sécurité n’est dispo sur leur site. C’est vrai de même pour leur sous-domaine “vault”(https://securityheaders.io/?q=https://vault.bitwarden.com/&followRedirects=on).

Ca veut dire que leur site est, a minima, suspectible au XSS et clickjacking.

Ce genre de manquement à l’état de l’art n’est pas très engageant et ne fait pas montre d’une paranoïa que des gens dont le rôle est de stocker tous mes mots de passe de façon sécurisé devraient avoir. Personnellement j’attendrais une audit de code source avant de leur confier quoi que ce soit.


#103

Tout à fait d’accord. J’ai tout de même fait remonter le feedback. Mais le fait de ne pas avoir mis en place quelques recommendations à priori n’est pas très rassurant sur le niveau technique en sécurité du bonhomme.


#104

Yep.

Pour info je teste actuellement la version Family de 1Password (stockage cloud online chez eux donc) et woah. oO Ca trace sur tous les clients bien plus que la version dropbox niveau Sync (sous Android c’est instantané now alors qu’avec dropbox pas trop…), Le sharing, gestion de guest est super cool, le site web aussi… Bref, je continue et je ferai un papier sur le sujet mais clairement, on change de catégorie de service là. (J’ai qq questions pour eux, je verrai si les réponses sont intéressantes et j’aviserai :wink: )

EDIT : du reste vous pouvez tester avec une promo de 4 mois gratos ICI.


#105

J’ai chargé la v6, j’ai galéré pour importer le vault de la v4.
Et le code promo n’a pas été enregistré, j’ai fait un mail au support pour bénéficier des 4 mois Famille d’essai.
Affaire en cours.
Réponse rapide : ils me filent 6 mois d’essai.
Donc c’est des gens biens :slight_smile:


#106

Ils sont au top. J’ai des réponses dans le forum ultra vite et ultra détaillées. Et clairement ils bossent sur un truc très intéressant mais le refactoring nécessaire pour garder la sécu max avec les extensions n’est pas easy.


#107

Very smart vu le bordel ambiant…

https://blog.agilebits.com/2017/05/18/introducing-travel-mode-protect-your-data-when-crossing-borders/


#108

C’est une solution bâtarde, dans la mesure ou tu dévoiles que tu utilises 1Password. Dans un cas extreme, tu te retrouves face a un gars qui connais 1Password et cette fonctionnalité et qui te demande de te logguer sur 1password.com.

Tant qu’à se protéger, autant le faire proprement. Je trouve la solution suivante plus sûre quasiment aussi simple:

  • Taguer dans 1P ses mots de passe ‘safe for travel’, les exporter dans un fichier Excel stocké dans une archive chiffrée (type VeraCrypt) qu’on emportera avec soi.

  • Virer TOTALEMENT 1Password de tous les appareils qu’on trimbale.

Au niveau de paranoia supérieur, on aura déjà pris soin de s’assurer de n’avoir jamais eu aucune reference à 1Password dans ses emails et ses comptes sur les reseaux sociaux ;).


#109

Tu délires un peu là. C’est une excellente solution qui permet de garder avec soit l’essentiel.

En cas de parano, tu vires l’apps, tu la remets une fois arrivé sur place, ça resync, basta. Ta solution est encore plus relou, voire risquée… :confused:


#110

A partir du moment ou tu ressens le besoin de passer la frontière sans que certains mots de passe soient stockés chiffrés sur tes appareils, mais que tu estimes devoir absolument en avoir certains a disposition, je vais considérer que tu es déjà à un niveau élevé de paranoïa. Parano pour parano, et vu que tu dois déjà te faire chier avec un 2eme vault autant faire les choses proprement (et si Excel dans une archive Veracrypt te semble dangereux, tu peux remplacer par un import dans Keepass/Whatever).

A titre personnel (et professionnel), si je dois pars dans un pays vraiment risqué, comme tu le suggères, je vire tout, je pars avec la secret key 1password sur un bout de papier anonyme dans mon portefeuille et j’ai le master password en tête.


#111

what could possibly go wrong…

Sinon, pour revenir à Veracrypt il faut bien faire un volume caché dans un volume normal vu qu’on peut exiger que tu débloques ton Veracrypt… le mieux restant carrément l’OS leurre.


#112

Rien de bien grave tant que ne tu n’écris pas ton master password. La secret key est une protection supplementaire qui renforce ton master password. Sauf que c’est une chaine aléatoire de 35 caractères, donc difficilement mémorisable de façon rapide et certaine.


#113

Ouais je maintiens que 1P est largement plus pratique et sécurisé.


#114

Ça avance côté Windows.


#115

Oui, il y a des progrès assez significatifs. En revanche, le screenshot est un peu trompeur, je pense que c’est l’objectif d’interface final. Pour le moment, sur la dernière beta, ca ressemble à ça:


#116

C’est déjà tellement mieux :slight_smile:


#117

Hann déplacer les items d’un vault à l’autre !


#118

Toujours aucune confirmation officielle, mais il n’y a plus vraiment de doute possible: la version ‘offline’ de 1Password est vouée à disparaître.


#119

Bon j’ai fait un truc que j’aurais dû faire depuis que je suis passé sous 1password : supprimer les mots de passe stockés dans Chrome et synchronisés avec mon compte Google.


#120

C’est en ligne avec la conversation qu’on a ici depuis un moment. Pour 90% des users ça sera plus pratique et plus “safe” (dans le sens les protéger de leur propre incompétence). Le fait est que leur techno de sync avec leur backend est réellement efficace, c’est un moindre mal pour les gens comme nous qui étaient parfaitement happy avec Dropbox & co. Maintenant, vu les options, je reste chez eux, clairement. J’ai fait pire : j’ai l’option famille pour ma femme et moi. :stuck_out_tongue: