Bonjour,
On Mon, Feb 27, 2017 at 11:15:50AM +0100, Patrice Karatchentzeff
wrote:
> Et être cohérent. Un mot de passe individuel - bon - ne se craque
> pas donc il est totalement inutile de les faire changer
> régulièrement...
Je ne partage pas cet avis.
Un mot de passe est bon – qu'il soit complexe est un pré-requis — s'il
est aussi unique : il ne doit servir pour l'authentification que sur un
système; il ne faut pas utiliser le même pour des choses différentes.
Je vais prendre en exemple l'actualité de la semaine dernière
« cloudbleed[1] », causée par un bug qui laissait échapper un certain
nombre de données privées.
Comme on est humains, on ne peut décemment pas se souvenir de mots de
passe complexes *et* uniques pour les différents services dont on se
sert quotidiennement. Les gestionnaires de mots de passe[2] servent
justement à ça: gérer une complexité que notre mémoire ne gère pas.
Les deux choses qu'il reste à gérer sont :
* un mot de passe principal pour l'outil, qui doit être complexe, ça
devient plus ou moins le seul mot de passe dont il faut se
souvenir.
* Faire des sauvegardes régulièrement, c'est l'accès à tous les
services gérés qui dépend de ces sauvegardes.
Comme les mots de passe sont gérés par un outil, il n'y a pas de
raison qui justifie de ne pas le changer régulièrement : l'opération
est triviale, la sécurité accrue.
[1]
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
[2] Il en existe un certain nombre, je ne veux pas être partisan d'un
solution en particulier, chacune présente ses avantages. C'est
probablement un parti pris, mais je ne conseille pas de solution de
gestion en ligne de ces coffres de mots de passes, si on multiplie le
nombre de mots de passe, les centraliser présente une faiblesse.
* keepass, keepass2, keepassx : surement le plus abordable pour tout
un chacun. Interface graphique, génération de mot de passe,
structure arborescente et fonction de recherche. La base est sauvée
sour forme d'un fichier chiffré.
* password-store (package pass dans debian) : en cli, présente le même
genre de fonctions que les pendants graphiques. La base est sauvée
sous la forme d'une arborescence de fichiers, chiffrés en pgp.
Celle-ci est versionnée avec git. L'avantage est d'avoir
une granularité au mot de passe dans le versionnement,
l'inconvénient est d'exposer les comptes gérés.
* les solutions intégrées dans les DE (je pense à celles de gnome et kde)
Bonne journée,
--
piti
