Jump to content
Invision Board France
Sign in to follow this  
PersonalMode

LastPass - gestionnaire de mot de passe

Recommended Posts

PersonalMode

J'ai envie de vous faire profiter de ma découverte !

 

A l'heure de l'ultra connectivité, nous avons des comptes partout (facebook, twitter, email, forums, etc...)

 

Par facilité, beaucoup de personnes utilisent le même mot de passe sur tout ces sites, et souvent des mots de passe de très faible qualité... Du pain béni pour les pirates !

 

Alors j'ai décidé de me mettre à la recherche d'une solution pour me faciliter la vie et de compliquer celle des pirates ! 

 

LastPass ! Un coffre fort "online" de tout vos mots de passe et qui vous permet de générer des mots de passe aléatoire également lors de vos inscriptions

 

https://www.lastpass.com/fr

 

Gratuit pour les fonctions de base (qui sont déjà bien suffisante), au pire 2$/mois pour les fonctions étendues

 

Le système est disponible via une application smartphone (iOs, Android et Windows Phone) pour toujours avoir vos codes quand vous surfez avec votre téléphone, et des add-ons pour une majorité de navigateurs sont disponibles (Firefox, chrome, safari, IE, etc...)

 

Une seule contrainte : Choisir et retenir un mot de passe "Maître" puissant pour accéder à votre compte Lastpass

Sachez que les add-ons des navigateurs vous demandent de vous identifiez à nouveau tous les 30 jours par sécurité. Idem pour les applications smartphones/tablettes (elles sont compatibles TouchID au fait) :)

 

Perso, j'ai même ajouté la fonction Google Authenticator en plus de mon mot de passe.

 

Voila, je l'utilise depuis +- 2 mois et c'est que du bonheur.

 

Le site vous propose également un challenge, qui permet d'analyser la force des mots de passe dans votre coffre fort et de détecter les doublons aussi, très utile !

 

Je vous invite à le tester (c'est GRATUIT pour rappel) et me dire ce que vous en pensez. 

Share this post


Link to post
Share on other sites
Youp3

Hello,

 

en tant qu’expert sécurité, je me permet de rebondir sur ce sujet.

Il est plutôt conseillé d’utiliser Keepass comme solution de coffre fort de mots de passe. C’est la seule solution logicielle validée par l’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information).

 

Le problème de la solution que tu présentes ici, c’est qu’il s’agit d’un service cloud qui centralise énormément de mots de passe. Du coup cela en fait une cible de choix pour les pirates informatiques.

 

Après avec Keepass, le plus compliqué est d’avoir son fichier de mots de passe sur ses différents appareils. Sinon la solution est disponible pour la plupart des systèmes d’exploitation, y compris mobiles.

Share this post


Link to post
Share on other sites
PersonalMode

J'avais déjà étudié la solution Keepass et c'est ce qui m’embêtait, la difficulté d'avoir son fichier de mots de passe sur plusieurs appareils

 

Perso, mon compte LastPass est protégé par un mot de passe de 18 caractères (maj, min, caractère, chiffre) + authentification à 2 facteurs 

 

Au niveau de du piratage de la firme en elle même, et des comptes de ces utilisateurs, je suis plutôt confiant, car LastPass est en fait un produit de LogMeIn.

Et mon partenaire informatique très exigeant en matière de sécurité, travaille énormément avec LogMeIn, notamment pour les accès à distance. Ce qui me rassure d'une certaine manière :) 

Share this post


Link to post
Share on other sites
PersonalMode

Dans le cas de cet article, si un pirate accède à mon mot de passe LastPass, il ne pourra pas accéder à mon compte (logiquement) car son ordinateur ne sera pas reconnu dans mes périphériques de confiance. Il devra alors lancer l'authentification avec Google Authenticator et le nombre d'essai est restreint (ensuite blocage du compte).

 

Dis moi si je me trompe, ou si je loupe quelque chose :) 

 

Bon maintenant, c'est parce que j'ai activé tous les services de sécurité dans les paramètres. Il est clair que si un autre client ne le fait pas, ça sera plus facile à pirater.

 

 

Share this post


Link to post
Share on other sites
Youp3

Dans ton cas je te confirme que ce serait bon.

Mais encore une fois c’était juste pour illustrer le risque.

 

Il vaut mieux utiliser Keepass adossé à une solution de synchronisation de fichier. Keepass permet de se synchroniser avec un service web (webdav ou ftp).

Avec des greffons, tu peux avoir d’autres possibilités :

  • IOProtocolExt : SCP, SFTP et FTPS
  • SftpSync : SFTP
  • KPDataSave : Dropbox
  • KeeAnywhere : Amazon AWS S3, Box, Dropbox, Google Drive, HiDrive, hubiC et OneDrive

 

Une petite auto-promotion pour finir : KeePass : de l'importance de diversifier ses mots de passe

  • Thanks 1

Share this post


Link to post
Share on other sites
PersonalMode

Aaaah, la tu m’intéresses avec une synchronisation Google Drive 

Je vais réétudier cela alors :) 

Share this post


Link to post
Share on other sites
MasterGone

Discussion très intéressante. Jusqu'à présent, j'utilisais Kapersky Password Manager que j'ai arrêté en raison de problèmes de renseignements des formulaires de connexions (le login n'était pas enregistré sur certains sites, comme sur les forums IPS...). Je suis donc passé sur le système d'enregistrement des mots de passe de Firefox, protégé par un mot de passe principal. Je ne sais pas ce que ça vaut niveau sécurité, mais ça me convient pour mon usage, même si ça me limite à utiliser exclusivement Firefox.

Share this post


Link to post
Share on other sites
Youp3

Le gestionnaire de mots de passe de Firefox, c’est une solution de base pour faire le minimum. Il vaut mieux gérer ses mots de passe avec un logiciel spécialisé.

Si tu tiens à rester avec la solution de Firefox, il faut penser à activer l’option « Utiliser un mot de passe principal ».

Share this post


Link to post
Share on other sites
MasterGone

Je suis en train de tester Keepass, le tout avec des mots de passe impossible à retenir de tête.. Question partico-pratique : comment faire pour accéder à ses divers comptes en ligne lorsque l'on est pas chez soi sans devoir trimbaler Keepass en version portable sur une clé USB ? (et donc avec les risques virus & Cie).

Share this post


Link to post
Share on other sites
Youp3
Il y a 19 heures, MasterGone a dit :

Je suis en train de tester Keepass, le tout avec des mots de passe impossible à retenir de tête.. Question partico-pratique : comment faire pour accéder à ses divers comptes en ligne lorsque l'on est pas chez soi sans devoir trimbaler Keepass en version portable sur une clé USB ? (et donc avec les risques virus & Cie).

Tu peux faire en sorte de synchroniser ton fichier de mot de passe sur un de tes serveurs ou compte tel que OneDrive ou GoogleDrive. Par contre la version portable sera forcément nécessaire à un moment donné. Si tu ne veux pas utiliser de clé USB, il te faudra la télécharger à chaque fois que tu en as besoin.

Share this post


Link to post
Share on other sites
Erwin
Le 11/08/2017 à 19:56, Youp3 a dit :

Si tu tiens à rester avec la solution de Firefox, il faut penser à activer l’option « Utiliser un mot de passe principal ».

Un point m'intrigue d'ailleurs avec le mot de passe principal.

 

Lorsque l'on utilise Sync, ce mot de passe n'est pas répercuté sur l'ensemble des instances synchronisées et les identifiants continuent dès lors d'y être utilisables directement. C'est un point non négligeable à mon sens, qui démontre que ce mot de passe n'est pas suffisant.

Share this post


Link to post
Share on other sites
Youp3
il y a 2 minutes, Erwin a dit :

Un point m'intrigue d'ailleurs avec le mot de passe principal.

 

Lorsque l'on utilise Sync, ce mot de passe n'est pas répercuté sur l'ensemble des instances synchronisées et les identifiants continuent dès lors d'y être utilisables directement. C'est un point non négligeable à mon sens, qui démontre que ce mot de passe n'est pas suffisant.

 

J’avoue que ne stockant plus mes mots de passe dans Firefox, je n’avais pas fait attention à ce point. Effectivement, il faut être vigilant.

Share this post


Link to post
Share on other sites
MasterGone

Je n'avais pas fait attention non plus à ce point vu que je n'utilise Firefox que sur mon PC perso. AU boulot, on utilise Chrome (ou IE).

Share this post


Link to post
Share on other sites
MasterGone

Est-ce que vous avez une astuce pour modifier le mot de passe quand un site bloque le copier/coller ?

Share this post


Link to post
Share on other sites
Youp3

Oui, tu peux ajouter une séquence de saisie alternative qui ne fait que saisir le mot de passe.

Pour ce faire :

  1. Tu édites l’entrée voulue.
  2. Dans l’onglet Saisie automatique, tu fais remplacer la séquence par défaut pour y mettre juste {PASSWORD}
  3. Tu cliques sur OK

Tu peux alors utiliser la saisie automatique pour saisir le nouveau mot de passe. Il te suffira de remettre la séquence par défaut une fois le nouveau mot de passe enregistré par le site en question.

Share this post


Link to post
Share on other sites
MasterGone

Merci Youp, je vais tester ça ;)

 

Edit : marche nickel :)

Edited by MasterGone

Share this post


Link to post
Share on other sites
cybero

Juste un petit mot pour vous remercier de ce sujet fort intéressant :wise:

 

Après lecture de ce sujet et divers articles en liens, j'ai adopté Keepass
J'y stock mes mots de passe perso et boulot... vraiment super pratique :)

Le plus long a été de l'alimenter une première fois

 

Me reste à voir la synchronisation avec google drive ou sftp et cela sera parfait

Edited by cybero
  • Like 1

Share this post


Link to post
Share on other sites
Galactix

Hello,

 

J'ai lu le sujet et je le trouve très intéressant car justement, je suis en constante recherche d'un produit similaire compétent et surtout sécurisé. Je vais donc donner mon point de vue la dessus.

 

Keepass 2 existe depuis de nombreuses années mais l'interface est vraiment très dépassée. On peut bien sur y mettre des modules complémentaires pour compléter le produit mais il m'est déjà arrivé d'avoir des instabilités avec, ce qui franchement n'était pas top. Une fois, j'ai eu une perte d'accès à la base de données et j'ai donc tout perdu. Depuis ce moment, j'ai donc engagé des recherches plus poussées pour tester autre chose et surtout faire des bases doublons.

 

Keepass peut fonctionner en mode réseau, il suffit pour cela d'installer un dossier "Box" ou "Dropbox", par exemple sur chaque PC, et d'y mettre la base de données dedans, ainsi que la clé cryptée permettant la connexion. Si je me souviens bien, on peut générer une clé de 256 bits avec sa souris grâce au module fourni avec le programme. Une fois ceci dans votre dossier "Box" ou "Dropbox", vous y aurez accès partout et tout sera synchro à chaque fois et aucune copie sur le disque dur de la machine en question.

 

Mais pour moi, ce produit est obsolète, d'ailleurs c'est pas évident d'auto-ouvrir une carte sur navigateur... J'ai conservé le logiciel sur mes ordis mais je ne l'utilise plus.

 

J'ai ensuite testé Roboform, ce produit à deux versions sympas comme la version 7 que l'on peut mettre de la même façon que Keepass et donc prendre sa base de données et la mettre en synchro dans un dossier "Box" ou "Dropbox". Le truc en version 7, c'est que chaque carte va générer un fichier, donc si vous en avez 2000, vous aurez 2000 cartes distinctes mais les cartes sont très légères.

 

La V8 est un dispositif online, vous avez un compte sur leur site internet et tout est synchro la bas et il n'y a plus qu'un seul fichier qui gère tout. L'avantage est qu'il n'y a qu'un seul fichier maintenant mais si il plante, vous perdez tout. Avec la V7, si un carte merdait, on ne perdait que la carte, pas le reste. En V8, tout est en ligne, l'interface est belle, pratique et compatible partout ou presque, mais cette formule est payante, entre 10 à 20 euros par an, mais c'est de l'illimité bien sur. J'ai une licence chez eux couverte jusqu'en 2034..

Ce produit propose une belle barre d'outils dans chaque navigateur internet et il fonctionne aussi sur mobile et tablettes. On a aussi un joli éditeur qui permet de gérer et mettre à jour.

 

En se débrouillant bien, on peut configurer le programme pour que la base de données soit gérée via "Box" ou "Dropbox", mais ça n'a pas d'incidence sur la clé de licence. Si vous n'avez pas de clé valide, ils vous restreignent en nombre de cartes à gérer. Mais au moins, vous pouvez gérer la base sur vos propres serveurs si vous ne voulez pas confier vos données à des tiers. Je faisais ça, j'avais claqué ma base de données sur une carte micro SD que je transportais d'ordi en ordi. Mais à force de mettre ou de retirer la carte, je passais mon temps à commander les adaptateurs pour les insérer car ils se démolissaient a force. Il m'est déjà arrivé d'avoir des données corrompues lors de l'insertion ou du retrait et le soucis est qu'il fallait toujours avoir la carte ou clé USB avec soi, sinon pas d'accès. Donc oui, ce programme et sa base peuvent être mis sur une carte micro SD, une clé USB ou un espace de votre choix, en ligne ou pas.

 

J'ai tenté avec Sticky Password. Le principe est le même que Roboform, mais lui vous avez le choix niveau licence. Soit une licence à renouveler chaque année, soit un achat ferme et définitif que vous aurez à vie. La licence par an varie entre 10 et 20€ par an, tandis que la licence perpétuelle coûte environ 90€ mais c'est à vie après. Interface tout terrain, pratique, configurable à souhaits, compatible avec tout navigateurs. Pareil, c'est du stockage sur leur serveurs mais c'est à vie selon votre choix de licences. Je n'ai pas trouvé par contre le moyen de configurer le programme pour garder ma base de données sur un support personnel ou sur mes serveurs perso, il semblerait donc que tout ne soit possible que via leur serveurs à eux. En ce moment, ils proposent des gigas réductions, 26€ la licence à vie, sinon c'est 90€ il me semble, un truc du genre. Ce programme ne propose pas de barre d'outils, le tout est centralisé dans un programme, mais un bouton est présent dans chaque navigateur pour l'accès aux données.

 

Ensuite, je me suis tourné vers des solutions gratuites auto gérées, j'ai donc pris Enpass. Il est gratuit sauf en version mobile et il est compatible partout sans soucis. Le programme dispose des fonctions vous permettant de choisir ou mettre votre base de données, vous choisissez donc, ils n'ont pas de serveurs. Le truc, c'est que si vous voulez un accès illimité sur votre mobile, il faut prendre la version premium sur le store, mais ça coûte moins de 10€ et c'est à vie aussi, sauf si vous perdez le compte d'achat. Pas de barre d'outils non plus, mais depuis le logiciel, on peut tout commander sans soucis.

 

J'ai pris une autre solution en plus appelé SafeInCloud. Comme Enpass, il est gratuit et propose le choix de la zone ou vous mettez votre base de données, ils n'ont pas de serveurs non plus. La version mobile est payante aussi comme Enpass mais c'est aussi à vie et pour moins de 10€ et vous avez de l'illimité. Compatible partout également avec de bons liens corrects, le tout centralisé dans le programme, pas de barre d'outils non plus.

 

Pour compliquer les choses, j'utilise donc ces 4 programmes. Roboform et Sticky stockent les noms d'utilisateurs et les mots de passe sur des serveurs online. Et les deux autres ne stockent pas les mots de passe, mais les informations complémentaires tel que les adresses mails,  les questions/réponses, les numéros de téléphone associés, les options de redéfinitions, etc... Le tout est que rien n'est stocké au même endroit, ce sont des bases différentes hébergés sur des serveurs et services différents, difficile de tout intercepter.

 

Ça fait donc 4 bases de données différentes, mais plusieurs modules de sécurité au cas ou l'un d'entre planterait ou serait pris. Chaque base de données complètent l'autre, donc lorsque tout est ouvert, on a accès à tout un système au compte, c'est pratique mais c'est très long, comme j'ai tout entré manuellement et que je gère pas mal de données, il m'a fallu de mois pour tout construire et je suis loin d'avoir terminé, j'en ai encore à mettre, sans compter les mises à jours à faire si je change un mot de passe ou une adresse mail par exemple.

 

A savoir que chaque programme ne peut être ouvert qu'une seule et unique fois, il n'est donc pas utile de créer plusieurs bases de données pour le même programme. L'avantage d'utiliser plusieurs programmes est que justement, on va pouvoir ouvrir chaque programme une fois et donc avoir plusieurs bases simultanées, c'est pratique aussi si un programme tombe obsolète, on perds très peu en données et en disponibilités :)

 

J'envisage depuis pas mal de temps de faire sur l'un de mes sites internet, un tuto de présentation de ces logiciels mais aussi de souligner l'importance de ces programmes et de l'aspect sécurité sur internet. Moi aussi, je pense qu'il n'est pas sécurisé d'utiliser le même mot de passe partout, la même adresse mail, etc... Idem pour les questions/réponses par exemple. Un internaute dispose d'un grand nombre de comptes, d'ailleurs ils disaient dans une enquête que d'ici quelques années, un internaute pourrait avoir entre 200 à 300 comptes, ce qui fait des données à gérer.

 

Je dois encore tester d'autres programmes comme 1Password, LastPass aussi, c'est prévu mais c'est le temps qui est parfois manquant. Si j'ai le temps, je verrais à publier un article la dessus :)

 

 

 

 

Share this post


Link to post
Share on other sites
Youp3

Bonjour @Alexandre.

 

Je n’ai pas compris cette phrase sur Keepass :

Citation

Mais pour moi, ce produit est obsolète, d'ailleurs c'est pas évident d'auto-ouvrir une carte sur navigateur... J'ai conservé le logiciel sur mes ordis mais je ne l'utilise plus.

Veux-tu parler de remplir automatiquement les champs d’un formulaire de connexion ? Je n’ai aucun problème particulier et utilise Keepass avec Firefox, Opera, Chrome, Edge pour remplir mes identifiants grâce à une simple combinaison de touches.

Share this post


Link to post
Share on other sites
MasterGone

Une petite question : quel utilitaire existe-t--il sous iOs pour faire la synchro de sa BDD stockée sur Dropbox (ou un autre cloud) ? Je n'ai rien trouvé, alors qu'il en existe plusieurs sous Android.

Share this post


Link to post
Share on other sites
Youp3
Le 02/01/2018 à 17:47, MasterGone a dit :

Une petite question : quel utilitaire existe-t--il sous iOs pour faire la synchro de sa BDD stockée sur Dropbox (ou un autre cloud) ? Je n'ai rien trouvé, alors qu'il en existe plusieurs sous Android.

Pourquoi ne pas utiliser l’application Dropbox ?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.