La Fibre

Télécom => Réseau => reseau Attaques informatiques => Discussion démarrée par: vivien le 01 septembre 2018 à 20:42:12

Titre: Gérer ses mot de passe
Posté par: vivien le 01 septembre 2018 à 20:42:12
Le gouvernement crée un site https://www.cybermalveillance.gouv.fr/ et met des astuces pour aider les entreprises à communiquer sur la sécurité a leurs employés.

Edit La campagne 2020 est sur cybermalveillance.gouv.fr: « Les réflexes essentiels pour votre sécurité numérique » (https://lafibre.info/attaques/cybermalveillance-gouv-fr/)

https://lafibre.info/videos/securite/201811_cybermalveillance_gestion_mots_de_passe.mp4

Voici le mémo pour gérer ses mots de passe :

(https://lafibre.info/images/doc/201806_cybermalveillance_mots_de_passe.png)


(https://lafibre.info/images/doc/201806_cybermalveillance_mots_de_passe.jpg)
Titre: Gérer ses mot de passe
Posté par: vivien le 01 septembre 2018 à 21:47:20
(https://lafibre.info/images/doc/201806_cnil_mots_de_passe.png)
Titre: Gérer ses mot de passe
Posté par: numer!s le 02 septembre 2018 à 00:45:08
Peut-on faire confiance à LastPass ?  ???
Titre: Gérer ses mot de passe
Posté par: kazyor le 02 septembre 2018 à 09:11:54
Keepass dont une version a été certifiée CSPN (https://fr.m.wikipedia.org/wiki/Certification_de_sécurité_de_premier_niveau) par l’ANSSI ?

Mais faut savoir gérer le backup et le transfert worldwide de la base des passwords ...
Titre: Gérer ses mot de passe
Posté par: vivien le 02 septembre 2018 à 13:02:19
Une solution simple pour avoir un mot de passe différent pour chaque site web est de personnaliser le mot de passe avec une opération mathématique sur l'URL : On a donc un mot de passe différent par site sans difficulté.
Titre: Gérer ses mot de passe
Posté par: vivien le 02 septembre 2018 à 22:40:11
Orange lance une campagne inédite de sensibilisation aux cyber-attaques

En 2018, des millions de Français ont été touchés par la cybercriminalité, dans leur vie personnelle comme sur leur lieu de travail, avec une perte estimée à plusieurs dizaines de millions d’euros. Pourtant, « 123456 » ou « password » font encore partie des mots de passe les plus utilisés. C’est le « cyber paradoxe » : les menaces sont là mais les comportements digitaux changent peu.

C’est pourquoi Orange lance, du 2 au 9 juillet 2019, une opération citoyenne de sensibilisation au phishing, cyberattaque la plus répandue auprès des particuliers comme des entreprises. Cette technique frauduleuse, diffusée essentiellement par mail, est utilisée par des tiers malveillants usurpant l’identité d’une entreprise, d’un organisme financier ou d’une administration en se faisant passer pour eux dans le but de recueillir données personnelles et informations confidentielles.

(https://lafibre.info/images/orange/201907_orange_campagne_phishing_1.png)

Pendant 48 heures les 2 et 3 juillet, une fausse publicité, empruntant l’identité d’Orange, prétendra offrir un incroyable « FORFAIT ILIMITÉ 6G PENDANT 100 ANS » en échange des prénoms, noms et dates de naissance des clients potentiels. Tous les ingrédients du phishing seront réunis : imitation de logo, fautes d’orthographe, offre ultra-attractive à caractère urgent et, surtout, demande de données personnelles.

Cette publicité frauduleuse, comme il en existe des millions sur Internet, sera diffusée en digital mais aussi en affichage à Paris, Lyon et Marseille. Les affiches permettront de souscrire à la fausse offre par un QR Code et un lien web 6g100ans.fr. Celles et ceux qui se seront laissé tenter seront immédiatement renseignés sur l’aspect factice de la proposition commerciale, et le sens de l’opération : adopter les bons réflexes de vigilance avant de répondre à des sollicitations commerciales douteuses.

Aucune donnée personnelle ne sera collectée ni conservée sur cette page intermédiaire 6g100ans.fr qui renverra directement vers la page de réassurance d’orange.com révélant l’objectif réel de la campagne.

(https://lafibre.info/images/orange/201907_orange_campagne_phishing_2.png)

À partir du 4 juillet, les affiches et bannières seront remplacées par des messages signés cette fois de la « vraie » marque Orange et pointeront directement les indices qui démontrent le caractère frauduleux de la publicité diffusée précédemment. Les réseaux sociaux et médias propriétaires de la marque partageront également des contenus didactiques et informatifs sur la nature des risques et les bons gestes à adopter pour les éviter. Des parutions en PQN et PQR complèteront le dispositif pour expliquer la nature et les enjeux de cette opération de sensibilisation.

Hugues Foulon, Directeur exécutif Stratégie et des activités de cyber-sécurité : « Dans le monde physique, tout le monde a l’habitude de fermer sa porte à clé ou de regarder avant de traverser la route. Alors que 95% des attaques informatiques sont permises par une erreur humaine, nous devons collectivement acquérir ces mêmes réflexes dans le monde numérique. Orange, opérateur de confiance et leader de la cybersécurité, s’engage pour développer un usage numérique averti, plus sûr, qui nous protège. »

Pour Béatrice Mandine, Directrice exécutive Communication et Marque : « Si le monde numérique offre de formidables opportunités, notre responsabilité d’opérateur de confiance et leader sur nos marchés nous engage aussi à en limiter les risques éventuels pour tous. Et parce que les prises de conscience sont toujours plus fortes lorsque l’on a été exposé au risque, nous avons fait le choix de cette campagne choc, originale et interactive s’appuyant sur une expérience directe des cybermenaces. »

Cette opération est un des volets d’une stratégie de long terme dédiée à aider chacun à bien vivre le digital. La campagne « La bonne conduite », autour des usages responsables du mobile au volant, était par exemple un des aspects de cette stratégie de communication responsable.
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 27 décembre 2019 à 10:27:54
bonjour à tous,

je suis utilisateur à titre privé de Keepass ! Je ne fais pas de syncho de la base de données dans le cloud, du coup à chaque modif que je peux faire je dois dupliquer sur tous mes appareils manuellement + sauvegarde sur un DD externe. C'est un peu contraignant, mais ça va surtout depuis que la BDD est bien complète et que je ne modifie quasiment plus rien...

par contre, je viens demander vos conseils pour mettre en place un gestionnaire de mot de passe en entreprise (TPE).

Ce serait pour le patron, et un seul employé (moi).

Le patron se sert de l'outil informatique mais n'est pas aguéri  ;D du coup je vais éviter keepass qui n'est pas très user friendly...

Dans l'idée, mais je ne sais pas si ça existe.

Il faudrait que le patron ait son propre gestionnaire avec ses mdp perso, ses mdp pro, et que j'ai accès à une partie des mots de passe pro (genre tout sauf la banque par exemple).

Est ce que c'est gérable ?

J'ai pensé à Bitwarden, mais je n'arrive pas à trouver de tuto des versions pro pour voir si ça fait ce qu'on souhaite.

Quid de la synchro de la BDD ? (nous avons un NAS synology mais qui est inaccessible depuis l'extérieur).

Quid de l'iphone ?
Titre: Gérer ses mot de passe
Posté par: Hugues le 27 décembre 2019 à 12:52:11
1Password :)
Titre: Gérer ses mot de passe
Posté par: chantoine le 27 décembre 2019 à 12:55:24
Bitwarden  8)
Titre: Gérer ses mot de passe
Posté par: Thornhill le 27 décembre 2019 à 13:45:36
Au boulot on utilise Password Manager Pro qui est une appli Web avec BDD.
Ça gère les accès par groupes d'utilisateurs (
authentification LDAP possible), avec fonctions d'audit, policy enforcement, ...
Mais payant et pas open source.
Titre: Gérer ses mot de passe
Posté par: kgersen le 27 décembre 2019 à 14:02:27
Pour une TPE, le gestionnaire de mdp de Chrome suffit largement... on peut créer plusieurs profils et en partager un sur  plusieurs appareils entre plusieurs personnes par exemple.
Titre: Gérer ses mot de passe
Posté par: Optix le 27 décembre 2019 à 14:07:06
bonjour à tous,

je suis utilisateur à titre privé de Keepass ! Je ne fais pas de syncho de la base de données dans le cloud, du coup à chaque modif que je peux faire je dois dupliquer sur tous mes appareils manuellement + sauvegarde sur un DD externe. C'est un peu contraignant, mais ça va surtout depuis que la BDD est bien complète et que je ne modifie quasiment plus rien...

Bah... faut utiliser les plugins ! Ils sont fait pour ça, et il y en a pour tous les goûts (filesystem, dropbox, google drive, etc). C'est exactement que tu recherches.

Si tu n'utilises que KeePass sans rien, c'est sûr que c'est pas pratique  ::)
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 27 décembre 2019 à 14:13:21
bonjour, merci pour vos réponses.

Donc choix à faire entre Bitwarden (que j'avais repéré) et 1password.

Par contre quelle formule prendre ?

@Optix, pour mon keepass perso, j'ai voulu éviter les plugins, car ils ne sont pas fait par le dev de keepass, et du coup, j'ai l'impression que ça peut être une faille dans la boucle du truc...

Après il me convient bien mon keepass, j'ai un version portable sur ma clé usb que j'ai toujours avec moi, je l'ai sur mon tel, je l'ai sur mes PC, et je duplique juste à la main ma BDD quand je la modifie.
Titre: Gérer ses mot de passe
Posté par: alain_p le 27 décembre 2019 à 15:37:00
Pour une TPE, le gestionnaire de mdp de Chrome suffit largement... on peut créer plusieurs profils et en partager un sur  plusieurs appareils entre plusieurs personnes par exemple.

Cela me gêne; Cela veut dire que tous tes mots de passe sont stockés chez Google, même chiffrés (et dans ce cas que vaut le chiffrement, s'il est fait par une application contrôlée pas Google) ?
Titre: Gérer ses mot de passe
Posté par: kgersen le 27 décembre 2019 à 16:33:56
Cela me gêne; Cela veut dire que tous tes mots de passe sont stockés chez Google, même chiffrés (et dans ce cas que vaut le chiffrement, s'il est fait par une application contrôlée pas Google) ?

Oui les mots de passe sont stocké chiffrés , pas en clair et Google peut les déchiffrer (enfin les applications Google, je doute qu'un humain aille le faire a la main ;) ).

Au besoin une "'phrase secrète" (passphrase) peut être ajoutée en plus, dans ce cas Google ne peut plus déchiffrer les mots de passe de leur coté. Mais il ne faut pas perdre cette passphrase sinon tu perds tes mots de passe et on perd en fonctionnalité, notamment l'accès aux mots de passe via https://passwords.google.com/ et le Smart Lock sur mobile.

Voir la section "Créer une phrase secrète" dans https://support.google.com/chrome/answer/165139?hl=fr
Titre: Gérer ses mot de passe
Posté par: Marco POLO le 27 décembre 2019 à 19:13:42
Pour ma part, tout ce qui est Google, exception faite pour Gmail et Google Map/Streets, est banni de mon PC.  (https://lafibre.info/images/smileys/@GregLand/ed.gif)
Titre: Gérer ses mot de passe
Posté par: kgersen le 27 décembre 2019 à 19:52:21
Pour ma part, tout ce qui est Google, exception faite pour Gmail et Google Map/Streets, est banni de mon PC.  (https://lafibre.info/images/smileys/@GregLand/ed.gif)

En quoi cet avis solidement argumenté aide l'auteur du sujet ?

Titre: Gérer ses mot de passe
Posté par: Nh3xus le 28 décembre 2019 à 01:14:10
Bah... faut utiliser les plugins ! Ils sont fait pour ça, et il y en a pour tous les goûts (filesystem, dropbox, google drive, etc). C'est exactement que tu recherches.

Si tu n'utilises que KeePass sans rien, c'est sûr que c'est pas pratique  ::)

Ouais voilà :

Keepass + Kee dans Firefox + synchro via webdav et hop :)
Titre: Gérer ses mot de passe
Posté par: Marco POLO le 28 décembre 2019 à 02:52:34
Oui les mots de passe sont stocké chiffrés , pas en clair et Google peut les déchiffrer (enfin les applications Google, je doute qu'un humain aille le faire a la main ;) ).

Au besoin une "'phrase secrète" (passphrase) peut être ajoutée en plus, dans ce cas Google ne peut plus déchiffrer les mots de passe de leur coté. Mais il ne faut pas perdre cette passphrase sinon tu perds tes mots de passe et on perd en fonctionnalité, notamment l'accès aux mots de passe via https://passwords.google.com/ et le Smart Lock sur mobile.

Voir la section "Créer une phrase secrète" dans https://support.google.com/chrome/answer/165139?hl=fr
En quoi cet avis solidement argumenté aide l'auteur du sujet ?
Nous savons tous que tu es un fan de Google, mais ce moteur de recherche/logiciel Chrome présente bien trop de risques de surveillance/compilation de Datas pour les utiliser.  (https://lafibre.info/images/smileys/@GregLand/aq.gif)
Titre: Gérer ses mot de passe
Posté par: kgersen le 28 décembre 2019 à 13:43:09
Nous savons tous que tu es un fan de Google, mais ce moteur de recherche/logiciel Chrome présente bien trop de risques de surveillance/compilation de Datas pour les utiliser.  (https://lafibre.info/images/smileys/@GregLand/aq.gif)

risques ? parce que les autres solutions sont sans risques ? tu nages dans approximation et les fake news toi...c'est dans l'air du temps tu me diras.

On est sur lafibre.info ou on essai d'avancer des arguments techniques solides et concrets. Si tu as l'ambition de participer a un sujet pour apporter une contribution utile il va falloir plus d'arguments que 'ce produit Google c'est de la merde car espionne et ca collecte' sinon c'est pas la peine de donner ton avis: c'est du bruit pour rien. Le comble c'est que tu utilises GMail en plus...belle incohérence.

Mon point est que quelqu'un qui utilise déjà Chrome n'a pas besoin forcement d'un autre outil d'une autre société pour gérer ses mots de passe en réseau (on ne parle pas d'une solution "locale au pc"). Surtout si cette autre société est une petite boite dont on a aucune idée de sa déontologie ou des moyens qu'ils mettent en oeuvre pour la sécurité.

Pour mon argent je fais confiance a une grande banque reconnue et habilitée parce que ca me donne un minimum de garantie. Je met pas mon argent chez l'épicerie du coin ou sous mon matelas. Pour les données informatiques déportées c'est a peu pres pareil. Et si les données sont trop sensibles a mon 'gout' je ne les déporte pas ou je les chiffre moi-meme avant.
Titre: Gérer ses mot de passe
Posté par: Marco POLO le 28 décembre 2019 à 18:21:08
risques ? parce que les autres solutions sont sans risques ? tu nages dans approximation et les fake news toi...c'est dans l'air du temps tu me diras.

On est sur lafibre.info ou on essai d'avancer des arguments techniques solides et concrets. Si tu as l'ambition de participer a un sujet pour apporter une contribution utile il va falloir plus d'arguments que 'ce produit Google c'est de la merde car espionne et ca collecte' sinon c'est pas la peine de donner ton avis: c'est du bruit pour rien. Le comble c'est que tu utilises GMail en plus...belle incohérence...
Quelle amabilité !   (https://lafibre.info/images/smileys/@GregLand/ag.gif)

Si j'utilise Gmail (et ce n'est pas la seule messagerie que j'utilise), c'est uniquement pour des sujets bien particuliers.  (https://lafibre.info/images/smileys/@GregLand/el.gif)
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 06 avril 2020 à 10:58:57
Bonjour à tous !

J'utilise Keepass depuis quelque temps et suis content de son utilisation.

J'y ai converti ma compagne qui a donc sa propre BDD ainsi que son propre mot de passe maître.

Bref tout roule niveau sécurité à la maison  8)

Par contre, je rencontre une petite "difficulté", avez vous une astuce pour partager une entrée dans keepass entre 2 bases de données, la mienne et celle de ma femme.

Par exemple nous avons des entrées "communes" (EDF par exemple), comment faire quand je crée le compte chez EDF avec "mon" keepass et donc que le mot de passe est dans ma base pour le transmettre "facilement" et en sécurité (c'est à dire pas dans un mail) à ma compagne ?
Titre: Gérer ses mot de passe
Posté par: LeNuageux le 06 avril 2020 à 11:01:08
TeamPass ?

c'est du web, fait pour partager des mot de passe en équipe, opensource.
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 06 avril 2020 à 11:11:44
Merci, mais je veux rester sur Keepass.

Après si ce n'est pas possible, je peux lui dicter "à la main" l'ID et le mot de passe créé, mais c'est fastidieux, vu la longueur et complexité des mdp...

Titre: Gérer ses mot de passe
Posté par: Johannol le 06 avril 2020 à 14:11:59
dans keepass, il est possible d'avoir 2 trousseaux ou plus. Donc vous pouvez partager un trousseau commun et accessible depuis le même fichier (ou 2 fichiers synchronisés).
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 06 avril 2020 à 14:22:00
Bonjour,

Merci mais pouvez vous être plus précis.

Qui dit même fichier, dit forcément un seul mot de passe maître non ? (car je veux éviter qu'elle ait accès à mes trucs perso, et inversement).

Ce trousseau communs comment ça fonctionne ? C'est une BDD séparée ou c'est dans la même base ?
Titre: Gérer ses mot de passe
Posté par: Hugues le 06 avril 2020 à 14:59:09
Trousseau=BDD
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 06 avril 2020 à 15:37:17
ok merci mais dans ce cas c'est grave compliqué votre histoire, car ça veut dire 2 mots de passe maître ! et c'est c'est clairement anti productif...

+ pour moi la mise à jour des BDD sur tous les appareils (je fais tout manuellement)
Titre: Gérer ses mot de passe
Posté par: Hugues le 06 avril 2020 à 15:55:19
Si tu veux un truc productif, il te faut du SaaS, là tu veux faire du cloud sans cloud...
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 06 avril 2020 à 15:57:12
oui mais là je sens que vous allez me perdre, car je suis un simple particulier qui se débrouille pas trop mal en info, mais qui n'est pas non plus expert +++.

du coup, je fais que les trucs que je comprends, et dont je sens que j'ai les capacités...  ;D
Titre: Gérer ses mot de passe
Posté par: Hugues le 06 avril 2020 à 17:21:20
passbolt, teampass, 1password, enpass... Un truc en ligne quoi. Parce que vouloir partager a plusieurs un truc sans qu'il soit en ligne.. Bon, ça ne marche pas trop
Titre: Gérer ses mot de passe
Posté par: Marco POLO le 06 avril 2020 à 18:39:21
...je fais que les trucs que je comprends, et dont je sens que j'ai les capacités...  ;D
+1  (https://lafibre.info/images/smileys/@GregLand/en.gif)
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 07 avril 2020 à 10:08:25
passbolt, teampass, 1password, enpass... Un truc en ligne quoi. Parce que vouloir partager a plusieurs un truc sans qu'il soit en ligne.. Bon, ça ne marche pas trop

Le truc c'est que je ne veux pas partager la BDD complète, juste quelques entrées (genre banque commun, edf, assurance maison...).

Les trucs en ligne, je préfère éviter.

Bon après si ce n'est pas possible avec keepass, tant pis, je le ferai à la main.
Titre: Gérer ses mot de passe
Posté par: Johannol le 07 avril 2020 à 12:14:37
C'est possible avec keepass, mais avec 2 bdd/trousseau.

Ta bdd partagé peut être mis en partage réseau (type smb), (ou autre, il y a plein de manière et plugin pour synchroniser avec keepass), et être ouverte via une clé positionné en local sur l'ordi, plutôt qu'un mot de passe pour simplifier l'ergonomie.

Donc il n'y aurait qu'un mot de passe, celui de la bdd perso, et l'autre s'ouvrirait (apparemment) toute seule.
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 07 avril 2020 à 14:07:02
ok trop compliqué et pas adapté à mon cas, car on a aussi keepass sur mobile.

On laisse tomber, merci de vous être creusé les méninges...
Titre: Gérer ses mot de passe
Posté par: FlorianLa le 30 avril 2020 à 23:16:53
Avec KeePass, tu peux avoir 2 BDD avec 2 mdp maitre. Sauf que tu as un plugin keepass qui permet d'ouvrir automatiquement une bdd. Pour ca, tu mets le chemin et le mdp dans une entrée de ton keepass et quand tu ouvres le tient, ca ouvre un autre en plus.
Pas besoin de retenir le mdp maitre de l'autre. Et du coup ta femme fait pareil et vous avez une base commune sans rien faire.
Titre: Gérer ses mot de passe
Posté par: ezivoco_163 le 04 mai 2020 à 09:29:37
bonjour, ok merci je vais regarder si ça me convient.