Re: Choix d'un gestionnaire de mots de passe

To: debian-user-french@lists.debian.org
Subject: Re: Choix d'un gestionnaire de mots de passe
From: Sébastien Dinot <sebastien.dinot@free.fr>
Date: Fri, 27 May 2022 00:49:34 +0200
Message-id: <YpAD/g8ev2hwmHtd@dinot.net>
In-reply-to: <[🔎] CAPrKK3Dw9xPgxh=BkCs9863kv=0AggHzz+iavGR9AUbDDwF1ow@mail.gmail.com>
References: <[🔎] CAPrKK3Dw9xPgxh=BkCs9863kv=0AggHzz+iavGR9AUbDDwF1ow@mail.gmail.com>

Bonjour,

kaliderus a écrit :
> Quel est votre gestionnaire de mot de passe préféré et pourquoi ?

Pour les raisons déjà expliquées par d'autres, j'utilise KeePassXC.

Par contre, pour les codes à usage unique (TOTP), j'utilise FreeOTP+ sur
mon smartphone Android bien que KeePassXC sache gérer les TOTP (ce qui
est très pratique, mais mettre les deux secrets au même endroit va,
à mon avis, à l'encontre même du concept d'authentification à double
facteur) :

https://github.com/helloworld1/FreeOTPPlus

En outre, pour les mêmes raisons que j'utilise FreeOTP+ pour les TOTP,
je stocke les codes de récupération de mes authentifications à double
facteur dans un fichier à part, chiffré par GnuPG.

Si on ne souhaite pas utiliser son smartphone pour les codes TOTP, on
peut se rabattre sur les applications de bureau, mais celles qui sont
libres sont particulièrement moches (enfin, celles que j'ai trouvées et
essayées). Ceci étant, otpclient dispose aussi d'une interface en ligne
de commande qui a le bon gout d'afficher le code courant et le suivant.

Contrairement à d'autres, je n'aime pas l'idée de mettre en ligne mes
mots de passe. Mais je déploie :

* Vaultwarden lorsque je dois partager des secrets avec d'autres
  personnes (en imposant alors l'authentification à double facteur) ;

* HashiCorp Vault lorsque ces secrets sont à destination d'applications
  (par exemple, les plateformes d'intégration continue qui doivent en
  connaitre un certain nombre).

En théorie, HashiCorp Vault peut répondre aux deux besoins ci-dessus,
mais la piètre ergonomie de son interface web montre qu'il a été conçu
avant tout pour être exploité par des logiciels et non par des humains.
Quant à son usage en ligne de commande, il est à réserver aux geeks :

------------------------------------------------------------------------
$ vault kv get --field=password kv/dev/gitlab/ci/myapp
VedmokyugOsyien7
------------------------------------------------------------------------

ou :

------------------------------------------------------------------------
$ vault kv get --format=json kv/dev/gitlab/ci/myapp | jq .data.data
{
  "password": "VedmokyugOsyien7",
  "username": "operator"
}
------------------------------------------------------------------------

En outre, la prise en main de HashiCorp Vault n'est pas une sinécure et
si la doc semble abondante de prime abord, on constate à l'usage que pas
mal d'informations ne sont pas données (si je faisais du mauvais esprit,
je dirais que c'est une façon pour l'éditeur de s'assurer que les
entreprises lui commanderont à minima des prestations de formation et
d'accompagnement à la mise en œuvre) !

Quant à Vaultwarden, il serait plutôt sympa, mais je trouve agaçant de
ne pas pouvoir créer une véritable arborescence de classement de mes
mots de passe, comme je le fais dans KeePassXC. On ne peut en effet
créer qu'un seul niveau de dossiers (c'est une limitation issue de la
version communautaire de Bitwarden), voire aucun quand on affecte
l'entrée à une organisation.

Pour en revenir aux solutions à déployer sur le poste de travail, à une
époque, j'avais essayé pass, qui est un outil en ligne de commande :

https://www.passwordstore.org/

Il m'a facilité la vie dans certains cas (environnements dépourvus
d'interface graphique, par exemple, sur des serveurs) et je connais des
geeks qui n'utilisent que ce logiciel, y compris à titre professionnel
(il faut dire que l'idée de gérer l'historique des mots de passe dans
Git est séduisante). Mais au quotidien, KeePassXC est bien plus
ergonomique et performant.

> J'ai aussi envisagé de chiffrer tout simplement un fichier texte...

Pour éditer les fichiers textuels chiffrés, j'utilise Emacs. Il demande
le mot de passe à l'ouverture du fichier et il n'oublie pas que le
fichier doit être chiffré lorsqu'il le sauve. Mais le problème
d'utiliser un éditeur générique pour accéder à des secrets, c'est qu'il
expose ces secrets en clair à toute personne se trouvant devant l'écran.
Je réserve donc Emacs et GnuPG au chiffrement d'informations
confidentielles plus conséquentes que les mots de passe.

Sébastien



-- 
Sébastien Dinot, sebastien.dinot@free.fr
http://www.palabritudes.net/
Ne goûtez pas au logiciel libre, vous ne pourriez plus vous en passer !

Reply to:

References:
- Choix d'un gestionnaire de mots de passe
  - From: kaliderus <kaliderus@gmail.com>

Prev by Date: Re: Mise à jour ou installation complète
Next by Date: limite de vitesse des mises a jour
Previous by thread: Re: Choix d'un gestionnaire de mots de passe
Next by thread: Re: Choix d'un gestionnaire de mots de passe
Index(es):
- Date
- Thread