Forum

Reprise du message précédent

Salut,
 
J'ai longtemps utilisé KeepassX avant de comprendre que c'était une mauvaise idée (à mon humble avis). Déjà, après quelques discussions sur IRC (zenk-security) j'ai vu qu'il y avait des failles pour ouvrir la base de donnée chiffrée, contenant les mots de passes. Je n'arrive pas à retrouver de source, et c'est peut-être corrigé depuis. Mais en mettant vos mot de passes de KeepassX... Sait-on jamais.
Aussi, "grâce" à KeepassX je me sentais en sécurité, un mot de passe différents pour chaque site, service, protocole... C'est cool, et si vous perdez votre base? Si votre disque dur de backup meurt et que vous, comme moi, n'avez pas les moyens de faire un second backup? Vous êtes marrons les copains .
 
C'est donc pourquoi j'ai décidé d'utiliser peu de mot de passe, mais d'en utiliser des biens, et surtout il vaut mieux 3 à 4 mots de passes forts (que vous changez au bout de quelques temps, c'est mieux) qu'une centaine que vous risquez de tous perdre en une seule fois!
 
Enfin, pour avoir un mot de passe à la fois fort mais facile à retenir, j'ai une technique.
 
 
Admettons que je décide de faire un mot de passe pour mon compte Twitter, je vais d'abord choisir une phrase facile à retenir, par exemple:  
Et avec ma technique vous obtenez: Il y a des caractères alphanumérique, des lettres (minuscules et majuscule), de la ponctuation (encore mieux!) et le mot de passe est relativement long. Donc vous avez un mot de passe fort et facile à retenir. Le mieux est quand même de s'entrainer à l'écrire plein de fois pour que votre mémoire mécanique ne vous joue pas des tours.
 
Au final, je préfère avoir un mot de passe très fort pour 10 sites que 100 mot de passes que je risque de perdre.
 
Après, dans un cadre professionnel je ne sais pas ce qui est le mieux, pour du perso, c'est déjà beaucoup!
 
Pour Firefox, vous pouvez cochez une option qui permet aux mots de passes de ne plus être écrit en clair sur votre disque dur, ainsi si on vole votre ordinateur, on ne pourra pas s'amuser à récupérer ce fichier, qu'on peut même consulter depuis l'interface de Firefox, un plus. Mais si vous oubliez un mot de passe, impossible de le récupérer autrement que via le système du site où vous vous êtes enregistré.

Édité par koshieDotFr Le 29/06/2014 à 19h02

Perso j'utilise un algorithme maison qui prends en compte des trucs à moi + service en question.

Et avec la synchronisation pour peu qu'on utilise firefox partout, pas de soucis.

Autre conseil, je pense qu'il est important d'avoir un mot de passe unique pour votre boîte mail, puisqu'elle sert à récupérer vos mot de passes. Imaginez, quelqu'un arrive à avoir UN de vos mots de passes, ce mot de passe est le même pour votre boîte mail. Il pourra en quelques minutes récupérer plusieurs de vos mots de passes, et même s'amuser à les changer, pour vos sites, services, protocoles...

A ben ça alors. Je ne pensais pas faire un truc différent de tout le monde.
N'ayant pas confiance en Firefox et qui en plus n'enregistre pas tous les MDP Je me suis orianté vers une solution artisanale.
Je copie mes login et pass dans un simple fichier texte.
Je l'appelle code.txt.
Ensuite je le crypte avec bcrypt et il devient
code.txt.bfe
Pour ressortir mon compte twitter je fais
bcrypt -o code.txt.bfe |grep twitter

@thierryR j'y ai pensé aussi, au fichier texte chiffré. Encore une fois y'a pas de meilleurs cachette que sa mémoire . Mais pour des mots de passes longs et sensibles, ça doit être une très bonne solution en effet.

Édité par Aranud Le 29/06/2014 à 22h07

Ah oui, mais là il est clair que c'est secret

Non ça bug, impossible de poster mon message modifié, même en refaisant un nouveau

Je fais comme koshieDotfr: peu de mot de passe avec 2 techniques d'extraction/combinaison à partir d'éléments personnels très utilisés dans la vie réelle et déja mémorisés et/ou facilement retrouvables. Je note sur papier le nom des éléments composites (pour les sites peu utilisés).
2 techniques d'extraction/combinaison : une pour les mots de passe libres et une pour ceux formatés (chiffres et longueur fixe).
Par contre, j'ai la flemme de changer...

de mon coté mes passes vient d'un bouquin je prends les premiere lettres de chaque mot dans une phrase et je remplace certain par des chiffres....

Bon, une partie de ma réponse est ici : http://www.clubic.com/internet/article-712101-1-mots-passe-conseils-securite.html

mot de passe différent sur chaque site avec chiffrement élevé, j utilises password exporter sous FF qui me conviens,

Excellent article, j'en recommande la lecture à tous...

Ta méthode m'interresse, mais je ne trouve pas bcrypt.

Est-ce qu'il y a queque chose d'équivalent dans Mageia ?

On peut faire ça avec gnupg tout simplement et sans clé, juste avec un mot de passe.

CF: http://linuxtricks.asso-linux-online.fr/wiki/crypter-des-fichiers-par-mot-de-passe-avec-gnupg

Merci beaucoup, Adrien.D, ça me vas très bien.



Entretemps, j'ai aussi trouvé comment faire la même chose avec openssl :

http://linux.leunen.com/?p=5



Mais openssl ne m'as demandé de mot de passe pour décrypter...