Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour, J'ai eu du mal également à l'installer. David aurais-tu un TUTO d'installation assez simplifié pour le faire fonctionner. Merci Cordialement, Le 20 septembre 2013 21:18, david.roela...@free.fr a écrit : Bonjour la liste ! Suite aux différents échanges du mois d'août et souhaitant améliorer la gestion des mots de passe de mon service, j'ai suivi avec attention vos échanges. Je souhaite notamment revenir sur SecretManager. J'ai déployé une maquette sur un poste Windows et je n'arrivais pas à la faire fonctionner SecretManager de manière nominale. Pierre-Luc Mary, le développeur, s'est montré plus que disponible pour m'aider à corriger mes problèmes. Et il est très ouvert aux suggestions pour améliorer l'outil ;) Si vous cherchez à améliorer votre gestion des mots de passe, je vous invite à essayer SecretManager. ;) bon week-end, David ROELANDT - Mail original - De: Florent Cottey florent.cot...@gmail.com À: mikael lelouch mikael.lelo...@orange.fr Cc: frnog@frnog.org Envoyé: Lundi 19 Août 2013 15:23:37 Objet: Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité) Salut Mikael, le logiciel SecretManager doit correspondre à tous tes besoin : http://sourceforge.net/projects/secretmanager/ Il est développé par un consultant en sécurité français qui en avait marre de voir ses clients gérer les mots de passe n'importe comment et qui ne trouvait pas de solution propre, alors il a fait son logiciel. Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal. Cordialement, Florent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour la liste ! Suite aux différents échanges du mois d'août et souhaitant améliorer la gestion des mots de passe de mon service, j'ai suivi avec attention vos échanges. Je souhaite notamment revenir sur SecretManager. J'ai déployé une maquette sur un poste Windows et je n'arrivais pas à la faire fonctionner SecretManager de manière nominale. Pierre-Luc Mary, le développeur, s'est montré plus que disponible pour m'aider à corriger mes problèmes. Et il est très ouvert aux suggestions pour améliorer l'outil ;) Si vous cherchez à améliorer votre gestion des mots de passe, je vous invite à essayer SecretManager. ;) bon week-end, David ROELANDT - Mail original - De: Florent Cottey florent.cot...@gmail.com À: mikael lelouch mikael.lelo...@orange.fr Cc: frnog@frnog.org Envoyé: Lundi 19 Août 2013 15:23:37 Objet: Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité) Salut Mikael, le logiciel SecretManager doit correspondre à tous tes besoin : http://sourceforge.net/projects/secretmanager/ Il est développé par un consultant en sécurité français qui en avait marre de voir ses clients gérer les mots de passe n'importe comment et qui ne trouvait pas de solution propre, alors il a fait son logiciel. Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal. Cordialement, Florent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Désolé si je réveille un sujet mort mais on vient de découvrir un soft : secret server Pour ceux qui veulent tester : www.thycotic.com/fr/products_secretserver_try_FR.html Avantages : - capable de gérer tous les password (ESX/routeurs/serveurs/base donnée/ etc...) - découverte automatique et gestion des comptes de services. -enregistrement vidéo automatique de la session lancée par l'administrateur -prix - etc... Pour ceux qui cherche un revendeur contactez-nous on vous filera le nom d'un bon commercial chez l'unique revendeur français. Bonne journée -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Crazysky Envoyé : jeudi 25 juillet 2013 15:12 À : David Wilde Cc : frnog@frnog.org Objet : Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité) Il n'y aurait pas une équivalence mais avec gestion multi utilisateur ? Je m'occupe actuellement d'une équipe d'intégration avec plusieurs centaines d'identifiants (réseau, Système, logiciel, ...) pour plusieurs maquettes. Cela provoque quelques soucis de gestion de mot de passe. Du coup on cherche le même type de logiciel de gestion de mot de passe mais avec l'option multi-utilisateur. En vous remerciant Crazysky Le 25 juillet 2013 14:53, David Wilde david.wi...@aarnet.edu.au a écrit : +1 PasswordSafe, de Bruce Schneier: http://passwordsafe.sourceforge.net/ (Pour Windows, mais il existe aussi des versions pour Linux) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour Florent , C'est exactement ce qu'il me faut je vais le tester et te fera un retour off ou on liste . Merci Cordialement, Le lundi 19 août 2013, Florent Cottey a écrit : Salut Mikael, le logiciel SecretManager doit correspondre à tous tes besoin : http://sourceforge.net/projects/secretmanager/ Il est développé par un consultant en sécurité français qui en avait marre de voir ses clients gérer les mots de passe n'importe comment et qui ne trouvait pas de solution propre, alors il a fait son logiciel. Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal. Cordialement, Florent -- Mikael LELOUCH --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Salut Mikael, le logiciel SecretManager doit correspondre à tous tes besoin : http://sourceforge.net/projects/secretmanager/ Il est développé par un consultant en sécurité français qui en avait marre de voir ses clients gérer les mots de passe n'importe comment et qui ne trouvait pas de solution propre, alors il a fait son logiciel. Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal. Cordialement, Florent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Trolle pour trolle chrome et les passwords http://nakedsecurity.sophos.com/2013/08/08/chrome-firefox-display-plain-text-passwords-with-a-few-clicks/ http://nakedsecurity.sophos.com/2013/08/08/chrome-firefox-display-plain-text-passwords-with-a-few-clicks/ Sent from my iPhone On 19 Aug 2013, at 15:11, Fabien V. list-fr...@beufa.net wrote: Est ce qu'on peut troller le lundi ? http://www.net-security.org/secworld.php?id=15424 The bug affects only users of IE with LastPass v2.0.20, and makes the passwords that LastPass automatically fills into the fields in IE also be stored in plaintext into the computer memory, which ultimately allows them to be extracted via a memory dump. Message original Objet: Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité) Date: 19/08/2013 15:23 De: Florent Cottey florent.cot...@gmail.com À: mikael lelouch mikael.lelo...@orange.fr Cc: frnog@frnog.org frnog@frnog.org Salut Mikael, le logiciel SecretManager doit correspondre à tous tes besoin : http://sourceforge.net/projects/secretmanager/ Il est développé par un consultant en sécurité français qui en avait marre de voir ses clients gérer les mots de passe n'importe comment et qui ne trouvait pas de solution propre, alors il a fait son logiciel. Ce n'est pas un bastion type wallix donc l'admin aura le mot de passe et pourra l'écrire sur un papier s'il le souhaite... mais c'est déjà pas mal. Cordialement, Florent --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Fabien VINCENT Twitter : @beufanet --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour, Je suis également à la recherche d'une plateforme de gestion de password sur la base de multi-utilisateurs avec si possible un historique des accès au mot de passe avec des comptes utilisateurs. Si vous connaissez ce genre de produit je suis preneur... Merci Cordialement, Mikael Lelouch Consultant Réseaux Sécurité Société APX Le 14 août 2013 17:44, Romain rom...@borezo.info a écrit : Le 14 août 2013 17:23, Alexandre GAUVRIT gauvrit.alexan...@gmail.com a écrit : Reste a choisir un master password correct qu'on ne note que sur papier en sécurité et pas ailleurs.. J'ai bien rigolé :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
On Wed, Aug 14, 2013 at 05:23:58PM +0200, Alexandre GAUVRIT wrote: Keepass2 avec synchro Dropbox + récemment synchro BitSync et ownCloud c'est vraiment nickel, depuis maintenant + de 2 ans suite à un takeover Marche sur *nux + *dows + *droid + *phone Reste a choisir un master password correct qu'on ne note que sur papier en sécurité et pas ailleurs.. J’apprécie tout particulièrement le raccourci clavier Ctrl+Alt+A pour l'auto-complétion des mots de passe (surtout quand ils font 128 caractères...) - LastPass solution centralisé de stockage de mot de passe que je ne maîtrise pas je n'en veux pas. - Sur le fait que Keepass soit fait pour Madame Michu, certes mais il est quand validé par l'ANSSI http://www.ssi.gouv.fr/IMG/cspn/anssi-cspn_2010-07fr.pdf Dites, les gens, vous voulez pas parler de réseau plutôt que de faire un concours de méconnaissance de la sécurité en déterrant un topic qui devrait rester dans sa tombe ? Encore, si c’était du Jean-Kevin, ça aurait été un peu drôle, mais là… je relève même plus. -- Damien signature.asc Description: Digital signature
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Le 14 août 2013 17:23, Alexandre GAUVRIT gauvrit.alexan...@gmail.com a écrit : Reste a choisir un master password correct qu'on ne note que sur papier en sécurité et pas ailleurs.. J'ai bien rigolé :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
+1 pour keepass qui est multiplateforme (pensez à synchroniser le fichier de data qui fait seulement quelques Ko avec Dropbox ou mieux sur votre Owncloud ;-)) J'aime assez bien l'idée de Etienne de générer un pwd à partir du nom de domaine et d'un master password ce qui permet de ne rien stocker finalement (mais quid des mots de passe systèmes/logiciels/etc ?) C'est pour ça que j'aime bien keepass, on peut tout mettre dedans, il fait une chose et l'a fait bien. Le 29 juillet 2013 14:52, Etienne Folio frnog@ornthalas.net a écrit : Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Il existe aussi Dashlane, qui m'a surpris. C'est français. Très bien fait, base cryptée en locale et synchronisée entre plusieurs devices, etc. Y'a 30 jours d'essais par défaut, ceux qui veulent tester je peux les parrainer pour avoir 6 mois gratuits (à faire avant l'inscription gratuite sinon c'est cuit). Le 5 août 2013 16:48, Olivier MARECHAL omarec...@gmail.com a écrit : +1 pour Keepass pour toutes les raisons évoquées ci-dessus. On l'utilise lourdement depuis quelques années et beaucoup de nos clients aussi. Le 5 août 2013 16:39, Arnaud M arnau...@gmail.com a écrit : +1 pour keepass qui est multiplateforme (pensez à synchroniser le fichier de data qui fait seulement quelques Ko avec Dropbox ou mieux sur votre Owncloud ;-)) J'aime assez bien l'idée de Etienne de générer un pwd à partir du nom de domaine et d'un master password ce qui permet de ne rien stocker finalement (mais quid des mots de passe systèmes/logiciels/etc ?) C'est pour ça que j'aime bien keepass, on peut tout mettre dedans, il fait une chose et l'a fait bien. Le 29 juillet 2013 14:52, Etienne Folio frnog@ornthalas.net a écrit : Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Et que pensez vous de Lastpass ? Et de son association possible avec une Yubikey ? Yann, Le 5 août 2013 à 17:17, Romain rom...@borezo.info a écrit : Il existe aussi Dashlane, qui m'a surpris. C'est français. Très bien fait, base cryptée en locale et synchronisée entre plusieurs devices, etc. Y'a 30 jours d'essais par défaut, ceux qui veulent tester je peux les parrainer pour avoir 6 mois gratuits (à faire avant l'inscription gratuite sinon c'est cuit). Le 5 août 2013 16:48, Olivier MARECHAL omarec...@gmail.com a écrit : +1 pour Keepass pour toutes les raisons évoquées ci-dessus. On l'utilise lourdement depuis quelques années et beaucoup de nos clients aussi. Le 5 août 2013 16:39, Arnaud M arnau...@gmail.com a écrit : +1 pour keepass qui est multiplateforme (pensez à synchroniser le fichier de data qui fait seulement quelques Ko avec Dropbox ou mieux sur votre Owncloud ;-)) J'aime assez bien l'idée de Etienne de générer un pwd à partir du nom de domaine et d'un master password ce qui permet de ne rien stocker finalement (mais quid des mots de passe systèmes/logiciels/etc ?) C'est pour ça que j'aime bien keepass, on peut tout mettre dedans, il fait une chose et l'a fait bien. Le 29 juillet 2013 14:52, Etienne Folio frnog@ornthalas.net a écrit : Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
En parlant de Yubikey et en nous éloignant du sujet initial. Quelles sont vos expériences sur ce produit ? En avez vous fait quelque chose de bien dans des environnements multi-os (Windows, Linux, Mac OS X, etc.) ? J'en ai une, prêtée par un ami, et à ce jour elle trône sur mon bureau et j'ai beau la regarder droit dans les yeux chaque jour, rien ne se passe :-) Je suis donc preneur de retours d'XP tout comme Yann. Merci d'avance ! Olivier Le 5 août 2013 17:27, Yann Vercucque yann.vercuc...@gmail.com a écrit : Et que pensez vous de Lastpass ? Et de son association possible avec une Yubikey ? Yann, Le 5 août 2013 à 17:17, Romain rom...@borezo.info a écrit : Il existe aussi Dashlane, qui m'a surpris. C'est français. Très bien fait, base cryptée en locale et synchronisée entre plusieurs devices, etc. Y'a 30 jours d'essais par défaut, ceux qui veulent tester je peux les parrainer pour avoir 6 mois gratuits (à faire avant l'inscription gratuite sinon c'est cuit). Le 5 août 2013 16:48, Olivier MARECHAL omarec...@gmail.com a écrit : +1 pour Keepass pour toutes les raisons évoquées ci-dessus. On l'utilise lourdement depuis quelques années et beaucoup de nos clients aussi. Le 5 août 2013 16:39, Arnaud M arnau...@gmail.com a écrit : +1 pour keepass qui est multiplateforme (pensez à synchroniser le fichier de data qui fait seulement quelques Ko avec Dropbox ou mieux sur votre Owncloud ;-)) J'aime assez bien l'idée de Etienne de générer un pwd à partir du nom de domaine et d'un master password ce qui permet de ne rien stocker finalement (mais quid des mots de passe systèmes/logiciels/etc ?) C'est pour ça que j'aime bien keepass, on peut tout mettre dedans, il fait une chose et l'a fait bien. Le 29 juillet 2013 14:52, Etienne Folio frnog@ornthalas.net a écrit : Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Hello, Moi j'ai développé une petite extension Firefox qui crée un hash en fonction du nom de domaine du site visité, salé puis tronqué. L'adresse : http://masterpass.ornthalas.net Open source, tout en local dans le navigateur, au clic droit… Je l'utilise avec mes amis depuis des années, et ça fonctionne toujours aussi bien… Je me suis attaché à cette méthode et au moins je sais exactement comment elle fonctionne ! Reste à faire l'extension pour Chrome, dès que je débloque un peu de temps :) D'ailleurs, si vous avez des suggestions, je suis open (hors liste). -- Etienne Folio Tel : +33 (0)6 27 58 39 14 • Fax : +33 (0)1 46 64 69 97 L.systems • http://lsystems.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
[BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
2013-07-25T10:20:06+0200, Damien Nicolas damien+fr...@gordon.re wrote: On Thu, Jul 25, 2013 at 10:11:15AM +0200, Thibaud CANALE wrote: Si vous souhaitez enregistrer vos mots de passe, ce qui est compréhensible parce que personne n’est capable de mémoriser tous ses mots de passe (ou alors commet l’erreur de réutiliser le même), je vous conseille, en solutions libres, keepass(x), ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. Il existe aussi des solutions qui utilisent des logiciels dans lesquels on peut avoir confiance, comme GPG. Et si on veut utiliser VIM avec, il y a le pluging gnupg.vim [1] [1] http://www.vim.org/scripts/script.php?script_id=3645 Ce script fait son boulot, et il semble être clean. Il semble être clean ? A-t-il été audité ? Est-il possible de le récupérer de manière sécurisée, de vérifier de manière fiable son intégrité ? Justement, je suis bien conscient de ces problématique, d'où mon avertissement, qui m'engage que mon avis. Ce script est aussi disponible sur GitHub [1], ce qui permet d'avoir le fichier de façon relativement sûr. [1] https://github.com/jamessan/vim-gnupg C’est une question très importante quand on parle de solutions de sécurité, et c’est pour cette raison que je conseille plutôt quelque chose comme Keepassx, qui est conçu pour ça, et donc audité pour ça. ../.. Ok, je ne connaissais pas ce logiciel, je pensais que c'était un n-ième logiciel pour chiffrer des mots de passe, destiné à Md Michu, comme on en voit tous les jours. -- Thibaud CANALE thican [at] thican [dot] net http://thican.net/ PS : On a encore réussi à changer de sujet, et cette fois, sans l'aide de J34n K3v1n, félicitations. :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
On 25/07/2013 10:57, Thibaud CANALE wrote: 2013-07-25T10:20:06+0200, Damien Nicolas damien+fr...@gordon.re wrote: On Thu, Jul 25, 2013 at 10:11:15AM +0200, Thibaud CANALE wrote: Si vous souhaitez enregistrer vos mots de passe, ce qui est compréhensible parce que personne n’est capable de mémoriser tous ses mots de passe (ou alors commet l’erreur de réutiliser le même), je vous conseille, en solutions libres, keepass(x), ou tout bêtement la fonctionnalité de sauvegarde du mot de passe de Firefox, associée à un mot de passe maître solide, que vous mémoriserez. Il existe aussi des solutions qui utilisent des logiciels dans lesquels on peut avoir confiance, comme GPG. Et si on veut utiliser VIM avec, il y a le pluging gnupg.vim [1] [1] http://www.vim.org/scripts/script.php?script_id=3645 Ce script fait son boulot, et il semble être clean. Il semble être clean ? A-t-il été audité ? Est-il possible de le récupérer de manière sécurisée, de vérifier de manière fiable son intégrité ? Justement, je suis bien conscient de ces problématique, d'où mon avertissement, qui m'engage que mon avis. Ce script est aussi disponible sur GitHub [1], ce qui permet d'avoir le fichier de façon relativement sûr. [1] https://github.com/jamessan/vim-gnupg C’est une question très importante quand on parle de solutions de sécurité, et c’est pour cette raison que je conseille plutôt quelque chose comme Keepassx, qui est conçu pour ça, et donc audité pour ça. ../.. Ok, je ne connaissais pas ce logiciel, je pensais que c'était un n-ième logiciel pour chiffrer des mots de passe, destiné à Md Michu, comme on en voit tous les jours. Personellement et comme beaucoup j'ai longtemps utilisé un carnet dissimulé dans un livre, puis un fichier texte en clair dans un dossier truecrypt ... puis j'ai découvert KeepassX à mon tour. Cela fait quelques années maintenant et c'est une solution ultraportable, efficace avec une politique de sécurité très aboutie et la possibilité de réaliser un classement très propre et fonctionnel. Le moins je suis entierement dépendant de ce logiciel car je ne connais aucun mot de passe, je profite de ce logiciel pour générer des pass phrases longues et différentes pour chaque compte. Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
+1 PasswordSafe, de Bruce Schneier: http://passwordsafe.sourceforge.net/ (Pour Windows, mais il existe aussi des versions pour Linux) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Il n'y aurait pas une équivalence mais avec gestion multi utilisateur ? Je m'occupe actuellement d'une équipe d'intégration avec plusieurs centaines d'identifiants (réseau, Système, logiciel, ...) pour plusieurs maquettes. Cela provoque quelques soucis de gestion de mot de passe. Du coup on cherche le même type de logiciel de gestion de mot de passe mais avec l'option multi-utilisateur. En vous remerciant Crazysky Le 25 juillet 2013 14:53, David Wilde david.wi...@aarnet.edu.au a écrit : +1 PasswordSafe, de Bruce Schneier: http://passwordsafe.sourceforge.net/ (Pour Windows, mais il existe aussi des versions pour Linux) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour, Cyber-ark. C'est un peu usine à gaz, mais ça fait différentes choses, stockage de mots de passe ou de fichier, mais aussi changement automatique des mots de passe. Plus de détail sur leur site: http://www.cyber-ark.com/digital-vault-products/pim-suite/index.asp From: crazy...@gmail.com Date: Thu, 25 Jul 2013 15:11:38 +0200 To: david.wi...@aarnet.edu.au CC: frnog@frnog.org Subject: Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité) Il n'y aurait pas une équivalence mais avec gestion multi utilisateur ? Je m'occupe actuellement d'une équipe d'intégration avec plusieurs centaines d'identifiants (réseau, Système, logiciel, ...) pour plusieurs maquettes. Cela provoque quelques soucis de gestion de mot de passe. Du coup on cherche le même type de logiciel de gestion de mot de passe mais avec l'option multi-utilisateur. En vous remerciant Crazysky Le 25 juillet 2013 14:53, David Wilde david.wi...@aarnet.edu.au a écrit : +1 PasswordSafe, de Bruce Schneier: http://passwordsafe.sourceforge.net/ (Pour Windows, mais il existe aussi des versions pour Linux) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
[BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Bonjour à tous, C'est beau de voir les multiples astuces de chiffrage. Je propose une solution à la vrai méthode CLOUD et accessible à tous sans logiciels qui fait des chips cryptographiques et des patates chiffrées. Pour ce faire munissez vous de : - Firefox - Extensions suivantes : master password++ ( configuré correctement ) ,saved password editor - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) - Cerveau ( configurer master password pour qu'il verrouille automatiquement au bout de 400 sec par exemple, réfléchissez avant de déverrouiller, éviter les sites louches ! ) Accessible, facile à utiliser, compatible avec tous les environnements et GRATUIT bref, la simplicité devant la complexité. Je vous donne même une petite astuce: Quand vous voulez partager une page entre deux appareils, marquez là et vous la retrouverez dans les pages marquées récemment ( toc pour chrome ). Bienvenue dans le 21 ème siècle ;) -- Ruhi ASLAN IT Engineer Network, Storage Linux System ruhi.as...@gyust.com +33 7 70 03 06 59 --- On 25/07/2013 18:19, Guillaume Barrot wrote: A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Le 25 juil. à 21:56, Ruhi ASLAN a écrit : Bonjour à tous, [..] - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) Astuce, vous pouvez même installer le serveur Sync sur votre infra assez facilement. Je l'ai installé en 30min chrono pour Ilico. https://docs.services.mozilla.com/howtos/run-sync.html My 2 cents, Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Le serveur proposé ne doit pas être exécute en mode root. J'ai constaté quelques faiblesses d’implémentation qui peuvent conduirent à l’exécution de code arbitraire sur mon serveur précieux. Donc je préfère les serveurs mozilla ;) -- Ruhi ASLAN IT Engineer Network, Storage Linux System --- On 25/07/2013 22:01, Julien Rabier wrote: Le 25 juil. à 21:56, Ruhi ASLAN a écrit : Bonjour à tous, [..] - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) Astuce, vous pouvez même installer le serveur Sync sur votre infra assez facilement. Je l'ai installé en 30min chrono pour Ilico. https://docs.services.mozilla.com/howtos/run-sync.html My 2 cents, Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Pas mal, mais ça ne fait que enregistrer des passwords :) Le 25 juillet 2013 21:56, Ruhi ASLAN ruhi.aslan+fr...@gyust.com a écrit : Bonjour à tous, C'est beau de voir les multiples astuces de chiffrage. Je propose une solution à la vrai méthode CLOUD et accessible à tous sans logiciels qui fait des chips cryptographiques et des patates chiffrées. Pour ce faire munissez vous de : - Firefox - Extensions suivantes : master password++ ( configuré correctement ) ,saved password editor - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) - Cerveau ( configurer master password pour qu'il verrouille automatiquement au bout de 400 sec par exemple, réfléchissez avant de déverrouiller, éviter les sites louches ! ) Accessible, facile à utiliser, compatible avec tous les environnements et GRATUIT bref, la simplicité devant la complexité. Je vous donne même une petite astuce: Quand vous voulez partager une page entre deux appareils, marquez là et vous la retrouverez dans les pages marquées récemment ( toc pour chrome ). Bienvenue dans le 21 ème siècle ;) -- Ruhi ASLAN IT Engineer Network, Storage Linux System ruhi.as...@gyust.com +33 7 70 03 06 59 --- On 25/07/2013 18:19, Guillaume Barrot wrote: A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Le 25/07/2013 21:56, Ruhi ASLAN a écrit : - Activez Mozilla sync Je l'ai essayé à sa sortie, c'était très décevant. Buggué, et pas d'historique contrairement à Xmarks, vers lequel je suis vite revenu. C'est mieux depuis ? Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Des passwords, l'historique, les plugins, les préférences, les bookmarks, les onglets. Ça commence à être pas mal. Le 25 juil. à 22:42, Guillaume Barrot a écrit : Pas mal, mais ça ne fait que enregistrer des passwords :) Le 25 juillet 2013 21:56, Ruhi ASLAN ruhi.aslan+fr...@gyust.com a écrit : Bonjour à tous, C'est beau de voir les multiples astuces de chiffrage. Je propose une solution à la vrai méthode CLOUD et accessible à tous sans logiciels qui fait des chips cryptographiques et des patates chiffrées. Pour ce faire munissez vous de : - Firefox - Extensions suivantes : master password++ ( configuré correctement ) ,saved password editor - Activez Mozilla sync ( un bon 2048-bit RSA https://wiki.mozilla.org/Labs/Weave/Developer/Crypto ) - Cerveau ( configurer master password pour qu'il verrouille automatiquement au bout de 400 sec par exemple, réfléchissez avant de déverrouiller, éviter les sites louches ! ) Accessible, facile à utiliser, compatible avec tous les environnements et GRATUIT bref, la simplicité devant la complexité. Je vous donne même une petite astuce: Quand vous voulez partager une page entre deux appareils, marquez là et vous la retrouverez dans les pages marquées récemment ( toc pour chrome ). Bienvenue dans le 21 ème siècle ;) -- Ruhi ASLAN IT Engineer Network, Storage Linux System ruhi.as...@gyust.com +33 7 70 03 06 59 --- On 25/07/2013 18:19, Guillaume Barrot wrote: A l'ancienne : - 1 dropbox ou Gdrive - Truecrypt - on créé un fichier bidon de 2Mo, qu'on en encrypte - dedans un fichier txt avec ses mdp et tous les docs un peu sensible qu'on veut garder encryptés (CVs, copie carte identitée, etc...) Et zou, ça marche sur Windows, Mac, Linux. Les sources de Dropbox et Truecrypt sont dispo, donc au pire, ça se compile. Pour une encryption file by file, y avait Axcrypt, mais je crois qu'il est devenu payant. A voir pour une solution équivalent en Osource. Roots, mais ça juste marche. Le 25 juillet 2013 16:02, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [BIZ] ? Thxer | Admin cont...@labo-logo.com writes: [...] Pour profiter du sujet, un dump de la ram lorsque Keepasx est ouvert permet-il de récuprer le mot de passe maître et/ou des mots de passe contenus dans l'archive ? J'ai du mal à voir ce qu'est un dump de la ram, mais il est certain que tu auras un / plusieurs mots de passe en clair dans la ram à un instant t. Je ne vois pas d'appel à XGrabKeyboard dans la 0.4.3, et pas de mesure (bit setgid) pour éviter un ptrace de la part d'un processus tournant avec le même uid. Ça serait pas plus mal si c'était un peu plus strict ou à défaut si ces choix étaient explicités et justifiés. -- Jérémie Courrèges-Anglas Empreinte PGP : 61DB D9A0 00A4 67CF 2A90 8961 6191 8FBF 06A1 1494 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [BIZ] Logiciels de chiffrement pour stocker des mots de passe (was [FRnOG] [BIZ] OVH - incident de sécurité)
Il y a KeePass (http://keepass.info/) qui est apparemment pas mal, même si je ne l'ai jamais utilisé personnellement. Sinon, tu trouveras d'autres idées sur http://ask.slashdot.org/story/12/05/12/0033242/ask-slashdot-open-source-multi-user-password-management... -Original Message- From: Crazysky [mailto:crazy...@gmail.com] Il n'y aurait pas une équivalence mais avec gestion multi utilisateur ? Je m'occupe actuellement d'une équipe d'intégration avec plusieurs centaines d'identifiants (réseau, Système, logiciel, ...) pour plusieurs maquettes. Cela provoque quelques soucis de gestion de mot de passe. Du coup on cherche le même type de logiciel de gestion de mot de passe mais avec l'option multi- utilisateur. --- Liste de diffusion du FRnOG http://www.frnog.org/