Re: [gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
Bonjour, > 1. >Que penser des gestionnaires de mot de passess comme celui de >firefox ? Est-il sûr ? C'est crypté du côté client avec une clé dérivée du mot de passe, la sécurité dépends donc uniquement du mots de passe choisi. À titre personnel j'utilise un long mot de passe aléatoire que je copie sur les appareils lors de la première connexion. (https://blog.mozilla.org/services/2014/02/07/a-better-firefox-sync/). > 2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur > local que je choisis et qui fonctionne si possible avec ios, mac et >linux ? Un serveur Firefox sync peut être installé chez soi, yunohost propse d'ailleurs une installation automatisée. Cordialement, Tibor Vaughan Le 20 septembre 2016 16:00:09 GMT+02:00, Michael Parchet a écrit : >Bonjour, > >J'ai encore les questions suivantes : > > 1. > >Que penser des gestionnaires de mot de passess comme celui de >firefox ? Est-il sûr ? > > 2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur > local que je choisis et qui fonctionne si possible avec ios, mac et >linux ? > 3. Est-ce que keypassx ou autre gestionnaire de mot de passe peut >s'intégrer dans firexof pour ios et desktop? > >Merci pour le renseignement > >Salutations > > >mparchet > > > >On 17/09/2016 18:48, Aurélien Grosdidier wrote: >> On 14/09/16 10:39, Michael Parchet wrote: On annonce régulièrement des piratages de service en ligne. Pas >plus tard que samedi matin, j'ai entendu que dropbox s'était fait >pirater. >> >http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ >> Avez-vous testé des logiciels qui soit si possible libre, open >source >> Oui. >> 1. Stocker les mots de passe de manière cryptée et sûr chez >l'hébergeur >> Personnellement j'utilise un logiciel sur mon poste, qui stocke les >mots >> de passe dans un fichier que je partage de manière sécurisée - cf. en >> fin de mail. Ça me semble plus sûr que les interfaces web par >> définitions accessibles de (presque) n'importe où, a fortiori que les >> propriétaires (et convoités) lastpass et consorts. >> >> C'est KeepassX que j'ai choisi, version multiplateforme de Keepass >> duquel tu trouveras un descriptif récent ici: >> >> > > http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm >> >> Le fichier dans lequel keepass/keepassX stocke sa base de donnée de >mot >> de passe est chiffrée, de mémoire en AES 256, avec une protection >contre >> le brut force qui limite les attaques mêmes offline. >> >> Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne >de >> commande, idéal pour les scripts, qui ajoute un chiffrement de la >base >> de donnée avec GPG et un versioning avec git: >> >> https://www.passwordstore.org/ >> Générer des mots de passe aléatoire. >> Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. >Pour >> tester la force des mots de passes, je recommande l'excellent zxcvbn: >> >> https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html >> Que penser du gestionnaire de mot de pase de firefox. En avez-vous d’autre libre et open source ? >> De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC >et >> que ce n'est pas terrible. Sans mot de passe principal/master (Master >> Password), la base de donnée de mot de passe n'est pas chiffrée du >tout. >> Même avec un master password, la résistance au bruteforcing est très >> limité. >> Devrait-on également souscrire à un hébergeur et utiliser plusieurs adresse email créée par exemple chacune pour une catégorie de mail >? >> Ce schéma classique de 3 adresses est généralement intéressant: mail >> pro, mail perso, et mail privé. Cf. >> >> >https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail >> Au vu de ce qui ce passe je vous demande également s'il est facile >de fermer certain de nos compte dont on ne veut plus par exemple chez dropbox ou autre service puis demander à effacer nos données de ces services. >> L'effacement n'est jamais garanti. Le mieux est de ne pas partager >les >> données. Il y a d'excellentes solutions. Par exemple pour le stockage >de >> fichiers, syncthing. >> >> > > https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue >> Merci pour vos précieux renseignements >> You're welcome. >> >> Aurel. >> ___ >> gull mailing list >> gull@forum.linux-gull.ch >> http://forum.linux-gull.ch/mailman/listinfo/gull > > > > > > >___ >gull mailing list >gull@forum.linux-gull.ch >http://forum.linux-gull.ch/mailman/listinfo/gull -- Envoyé de mon appareil Android avec K-9 Mail. Veuillez excuser ma brièveté. __
Re: [gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
Bonjour, Disclaimer: je suis le créateur de Mooltipass, un stockeur de mot de passe hors ligne (www.themooltipass.com) complètement open source: https://github.com/limpkin/mooltipass Que penser des gestionnaires de mot de passess comme celui de firefox ? Est-il sûr ? >> A mon gout bien plus sur que la plupart des logiciels de stockage de mot de passe. Voici une news qui fait froid dans le dos: http://www.theregister. co.uk/2016/07/27/zero_day_hole_can_pwn_millions_of_ lastpass_users_who_visit_a_site/ , où visiter un simple site internet permet de compromettre tout les logins / mots de passe stockés par un tel logiciel Nous allons lancer le Mooltipass Mini via Kickstarter dans 2 semaines, un petit device (79x35x12mm) portable qui sert ainsi de stockeur de mot de passe physique. Il est compatible avec tout type d'OS (détecté comme un clavier) et offre une intégration native dans Chrome (Firefox en cours de test). Cordialement, Mathieu Stephan 2016-09-20 16:00 GMT+02:00 Michael Parchet : > Bonjour, > > J'ai encore les questions suivantes : > >1. > >Que penser des gestionnaires de mot de passess comme celui de firefox >? Est-il sûr ? >2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur >local que je choisis et qui fonctionne si possible avec ios, mac et linux >? >3. Est-ce que keypassx ou autre gestionnaire de mot de passe peut >s'intégrer dans firexof pour ios et desktop? > > Merci pour le renseignement > > Salutations > > > mparchet > > > > On 17/09/2016 18:48, Aurélien Grosdidier wrote: > > On 14/09/16 10:39, Michael Parchet wrote: > > On annonce régulièrement des piratages de service en ligne. Pas plus > tard que samedi matin, j'ai entendu que dropbox s'était fait pirater. > > http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ > > Avez-vous testé des logiciels qui soit si possible libre, open source > > Oui. > > > 1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur > > Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots > de passe dans un fichier que je partage de manière sécurisée - cf. en > fin de mail. Ça me semble plus sûr que les interfaces web par > définitions accessibles de (presque) n'importe où, a fortiori que les > propriétaires (et convoités) lastpass et consorts. > > C'est KeepassX que j'ai choisi, version multiplateforme de Keepass > duquel tu trouveras un descriptif récent ici: > > > http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm > > Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot > de passe est chiffrée, de mémoire en AES 256, avec une protection contre > le brut force qui limite les attaques mêmes offline. > > Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de > commande, idéal pour les scripts, qui ajoute un chiffrement de la base > de donnée avec GPG et un versioning avec git: > > https://www.passwordstore.org/ > > Générer des mots de passe aléatoire. > > Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour > tester la force des mots de passes, je recommande l'excellent zxcvbn: > > https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html > > Que penser du gestionnaire de mot de pase de firefox. En avez-vous > d’autre libre et open source ? > > De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et > que ce n'est pas terrible. Sans mot de passe principal/master (Master > Password), la base de donnée de mot de passe n'est pas chiffrée du tout. > Même avec un master password, la résistance au bruteforcing est très > limité. > > > Devrait-on également souscrire à un hébergeur et utiliser plusieurs > adresse email créée par exemple chacune pour une catégorie de mail ? > > Ce schéma classique de 3 adresses est généralement intéressant: mail > pro, mail perso, et mail privé. Cf. > https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail > > Au vu de ce qui ce passe je vous demande également s'il est facile de > fermer certain de nos compte dont on ne veut plus par exemple chez > dropbox ou autre service puis demander à effacer nos données de ces > services. > > L'effacement n'est jamais garanti. Le mieux est de ne pas partager les > données. Il y a d'excellentes solutions. Par exemple pour le stockage de > fichiers, syncthing. > > > https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue > > Merci pour vos précieux renseignements > > You're welcome. > > Aurel. > ___ > gull mailing > listgull@forum.linux-gull.chhttp://forum.linux-gull.ch/mailman/listinfo/gull > > > > ___ > gull mailing list > gull@forum.linux-gull.ch > http://forum.linux-gull.ch/mailman/listinfo/gull > ___ gull mailing lis
Re: [gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
On 20/09/16 16:00, Michael Parchet wrote: > 1. > > Que penser des gestionnaires de mot de passess comme celui de > firefox ? Est-il sûr ? J'ai déjà répondu dans mon mail précédent :) > 2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur > local que je choisis et qui fonctionne si possible avec ios, mac et > linux ? Oui, ça existe. Si tu héberges un gestionnaire de mot de passe en ligne, ce dernier aura par définition accès à tous tes mots de passe en clair, alors qu'il sera potentiellement exposé h24 à toutes les adresses IP de la terre. Ce n'est donc peut-être pas une excellente idée: le maillon le plus faible sera très probablement ton aptitude à sécuriser, surveiller et maintenir ton serveur - ou la bienveillance/compétence de ton hébergeur (voire de ses autres clients...). Sans compter que c'est peut-être justement depuis l'une de ces machines qui ne sont pas à toi et dans lesquelles tu ne peux peut-être pas avoir totalement confiance que tu pourrais souhaiter te connecter de temps en temps. Un tel cas est à éviter absolument. Puisque la connexion ne peut donc raisonnablement que se restreindre aux machines que tu administres, l'option Keepass(X) avec synchronisation de la base de donnée de mots de passe par syncthing, btsync, ou même dropbox, est certainement une meilleure solution. Si néanmoins c'est l'option web que tu retiens, il y a bcp de pistes: http://www.lmgtfy.com/?q=gestionnaire%20de%20mot%20de%20passe%20web > 3. Est-ce que keypassx ou autre gestionnaire de mot de passe peut > s'intégrer dans firexof pour ios et desktop? Pas que je sache. Keepass, lui, peut s'intégrer avec KeeFox ou PassIFox par exemple, via keepasshttp. A. ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
Bonjour, J'ai encore les questions suivantes : 1. Que penser des gestionnaires de mot de passess comme celui de firefox ? Est-il sûr ? 2. Est-ce qu'il y en a qui peuvent être installé chez un hébergeur local que je choisis et qui fonctionne si possible avec ios, mac et linux ? 3. Est-ce que keypassx ou autre gestionnaire de mot de passe peut s'intégrer dans firexof pour ios et desktop? Merci pour le renseignement Salutations mparchet On 17/09/2016 18:48, Aurélien Grosdidier wrote: On 14/09/16 10:39, Michael Parchet wrote: On annonce régulièrement des piratages de service en ligne. Pas plus tard que samedi matin, j'ai entendu que dropbox s'était fait pirater. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ Avez-vous testé des logiciels qui soit si possible libre, open source Oui. 1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots de passe dans un fichier que je partage de manière sécurisée - cf. en fin de mail. Ça me semble plus sûr que les interfaces web par définitions accessibles de (presque) n'importe où, a fortiori que les propriétaires (et convoités) lastpass et consorts. C'est KeepassX que j'ai choisi, version multiplateforme de Keepass duquel tu trouveras un descriptif récent ici: http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot de passe est chiffrée, de mémoire en AES 256, avec une protection contre le brut force qui limite les attaques mêmes offline. Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de commande, idéal pour les scripts, qui ajoute un chiffrement de la base de donnée avec GPG et un versioning avec git: https://www.passwordstore.org/ Générer des mots de passe aléatoire. Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour tester la force des mots de passes, je recommande l'excellent zxcvbn: https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html Que penser du gestionnaire de mot de pase de firefox. En avez-vous d’autre libre et open source ? De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et que ce n'est pas terrible. Sans mot de passe principal/master (Master Password), la base de donnée de mot de passe n'est pas chiffrée du tout. Même avec un master password, la résistance au bruteforcing est très limité. Devrait-on également souscrire à un hébergeur et utiliser plusieurs adresse email créée par exemple chacune pour une catégorie de mail ? Ce schéma classique de 3 adresses est généralement intéressant: mail pro, mail perso, et mail privé. Cf. https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail Au vu de ce qui ce passe je vous demande également s'il est facile de fermer certain de nos compte dont on ne veut plus par exemple chez dropbox ou autre service puis demander à effacer nos données de ces services. L'effacement n'est jamais garanti. Le mieux est de ne pas partager les données. Il y a d'excellentes solutions. Par exemple pour le stockage de fichiers, syncthing. https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue Merci pour vos précieux renseignements You're welcome. Aurel. ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
Re: [gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
On 14/09/16 10:39, Michael Parchet wrote: >> On annonce régulièrement des piratages de service en ligne. Pas plus >> tard que samedi matin, j'ai entendu que dropbox s'était fait pirater. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ >> Avez-vous testé des logiciels qui soit si possible libre, open source Oui. >> 1. Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur Personnellement j'utilise un logiciel sur mon poste, qui stocke les mots de passe dans un fichier que je partage de manière sécurisée - cf. en fin de mail. Ça me semble plus sûr que les interfaces web par définitions accessibles de (presque) n'importe où, a fortiori que les propriétaires (et convoités) lastpass et consorts. C'est KeepassX que j'ai choisi, version multiplateforme de Keepass duquel tu trouveras un descriptif récent ici: http://www.nextinpact.com/news/101020-keepass-plongee-dans-gestionnaire-mots-passe-puissant-mais-plus-exigeant.htm Le fichier dans lequel keepass/keepassX stocke sa base de donnée de mot de passe est chiffrée, de mémoire en AES 256, avec une protection contre le brut force qui limite les attaques mêmes offline. Il en existe beaucoup d'autre, par exemple l'excellent pass en ligne de commande, idéal pour les scripts, qui ajoute un chiffrement de la base de donnée avec GPG et un versioning avec git: https://www.passwordstore.org/ >> Générer des mots de passe aléatoire. Keepass/KeepassX le font très bien, ou pwgen en ligne de commande. Pour tester la force des mots de passes, je recommande l'excellent zxcvbn: https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html >> Que penser du gestionnaire de mot de pase de firefox. En avez-vous >> d’autre libre et open source ? De mémoire, je crois me souvenir qu'il y a eu des articles dans MISC et que ce n'est pas terrible. Sans mot de passe principal/master (Master Password), la base de donnée de mot de passe n'est pas chiffrée du tout. Même avec un master password, la résistance au bruteforcing est très limité. >> Devrait-on également souscrire à un hébergeur et utiliser plusieurs >> adresse email créée par exemple chacune pour une catégorie de mail ? Ce schéma classique de 3 adresses est généralement intéressant: mail pro, mail perso, et mail privé. Cf. https://linuxfr.org/forums/general-general/posts/strategie-de-gestion-du-mail >> Au vu de ce qui ce passe je vous demande également s'il est facile de >> fermer certain de nos compte dont on ne veut plus par exemple chez >> dropbox ou autre service puis demander à effacer nos données de ces >> services. L'effacement n'est jamais garanti. Le mieux est de ne pas partager les données. Il y a d'excellentes solutions. Par exemple pour le stockage de fichiers, syncthing. https://linuxfr.org/users/aurelieng/journaux/partage-de-owncloud-decentralise-a-syncthing-distribue >> Merci pour vos précieux renseignements You're welcome. Aurel. ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
[gull] Gérer ses mot de passe et générer des mot de passe différent et fermer des compte
> > Bonjour, > > On annonce régulièrement des piratages de service en ligne. Pas plus tard que > samedi matin, j'ai entendu que dropbox s'était fait pirater. J'ai vérifié mon > adresse email que j'ai utilisée pour dropbox et effectivement elle était dans > la lise. Je ne comprends pas comment ils aurait pu accéder à mon compte était > donné que l'authentification forte était activée. > > Mes questions. > > Avez-vous testé des logiciels qui soit si possible libre, open source et > installable chez un hébergeur qui puisse :. > > Stocker les mots de passe de manière cryptée et sûr chez l'hébergeur > Générer des mots de passe aléatoire. > > Que penser du gestionnaire de mot de pase de firefox. En avez-vous d’autre > libre et open source ? > > Devrait-on également souscrire à un hébergeur et utiliser plusieurs adresse > email créée par exemple chacune pour une catégorie de mail ? > > Au vu de ce qui ce passe je vous demande également s'il est facile de fermer > certain de nos compte dont on ne veut plus par exemple chez dropbox ou autre > service puis demander à effacer nos données de ces services. > > Merci pour vos précieux renseignements > > Avec mes meilleures salutations > > mparchet > > > > > ___ gull mailing list gull@forum.linux-gull.ch http://forum.linux-gull.ch/mailman/listinfo/gull
