Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)

Thu, 25 Jul 2013 05:36:27 -0700 

On 25/07/2013 10:57, Thibaud CANALE wrote:

2013-07-25T10:20:06+0200, Damien Nicolas <damien+fr...@gordon.re> wrote:

On Thu, Jul 25, 2013 at 10:11:15AM +0200, Thibaud CANALE wrote:

Si vous souhaitez enregistrer vos mots de passe, ce qui est
compréhensible parce que personne n’est capable de mémoriser tous ses
mots de passe (ou alors commet l’erreur de réutiliser le même), je vous
conseille, en solutions libres, keepass(x), ou tout bêtement la
fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un
mot de passe maître solide, que vous mémoriserez.

Il existe aussi des solutions qui utilisent des logiciels dans lesquels
on peut avoir confiance, comme GPG.
Et si on veut utiliser VIM avec, il y a le pluging gnupg.vim [1]

[1] http://www.vim.org/scripts/script.php?script_id=3645

Ce script fait son boulot, et il semble être "clean".

Il semble être clean ? A-t-il été audité ? Est-il possible de le
récupérer de manière sécurisée, de vérifier de manière fiable son
intégrité ?

Justement, je suis bien conscient de ces problématique, d'où mon
"avertissement", qui m'engage que mon avis.

Ce script est aussi disponible sur GitHub [1], ce qui permet d'avoir le
fichier de façon relativement sûr.

[1] https://github.com/jamessan/vim-gnupg


C’est une question très importante quand on parle de solutions de
sécurité, et c’est pour cette raison que je conseille plutôt quelque
chose comme Keepassx, qui est conçu pour ça, et donc audité pour ça.

../..

Ok, je ne connaissais pas ce logiciel, je pensais que c'était un n-ième
logiciel pour chiffrer des mots de passe, destiné à Md Michu, comme on
en voit tous les jours.
Personellement et comme beaucoup j'ai longtemps utilisé un carnet dissimulé dans un livre, puis un fichier texte en clair dans un dossier truecrypt ... puis j'ai découvert KeepassX à mon tour. Cela fait quelques années maintenant et c'est une solution ultraportable, efficace avec une politique de sécurité très aboutie et la possibilité de réaliser un classement très propre et fonctionnel. Le moins je suis entierement dépendant de ce logiciel car je ne connais aucun mot de passe, je profite de ce logiciel pour générer des pass phrases longues et différentes pour chaque compte.
Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? 


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à