Comment stocker et gérer en toute sécurité 180 mots de passe?

146

J'ai environ 180 mots de passe pour différents sites Web et services Web. Ils sont tous stockés dans un seul document Excel protégé par mot de passe. À mesure que la liste s'allonge, je suis de plus en plus préoccupé par sa sécurité.

Dans quelle mesure un document Excel protégé par mot de passe est-il sécurisé ou dois-je dire non sécurisé? Quelle est la meilleure pratique pour stocker autant de mots de passe de manière sécurisée et facile à gérer?

Je trouve la méthode Excel assez simple, mais la sécurité me préoccupe.

Samir
la source
Un produit commercial comme CyberArk répond à vos besoins.
Ivan Chau

Réponses:

207

Mon outil de stockage de mots de passe préféré est KeePass :

entrez la description de l'image ici

Qu'est-ce que KeePass?

Aujourd'hui, vous devez vous rappeler de nombreux mots de passe. Vous avez besoin d'un mot de passe pour la connexion au réseau Windows, votre compte de messagerie, le mot de passe FTP de votre site Web, vos mots de passe en ligne (comme un compte membre du site Web), etc., etc. La liste est interminable. En outre, vous devez utiliser des mots de passe différents pour chaque compte. Parce que si vous utilisez un seul mot de passe partout et que quelqu'un obtient ce mot de passe, vous avez un problème ... Un problème grave. Le voleur aurait accès à votre compte de messagerie, à votre site Web, etc. Inimaginable.

KeePass est un gestionnaire de mot de passe open source gratuit qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale ou un fichier de clé. Il vous suffit donc de ne mémoriser qu'un seul mot de passe principal ou de sélectionner le fichier de clé pour déverrouiller l'ensemble de la base de données. Les bases de données sont chiffrées à l’aide des algorithmes de chiffrement les plus fiables et les mieux sécurisés du moment (AES et Twofish). Pour plus d'informations, voir la page des fonctionnalités .


Y a-t-il une limite quant au nombre de mots de passe que vous pouvez stocker?

Seulement en théorie. Vous pouvez insérer autant d'entrées que vous le souhaitez dans la base de données, mais à un moment donné, votre clé USB ou votre disque dur sera plein.

Existe-t-il un moyen de synchroniser automatiquement les mots de passe modifiés?

Non, pas comme vous l'attendez.
Vous voudrez en faire un processus manuel régulier. Cela ne peut et ne doit pas être automatisé.

J'aime définir des dates d'expiration pour toutes les entrées de mon mot de passe. entrez la description de l'image ici
Ensuite, je me souviens de changer régulièrement mes mots de passe. Je stocke l'URL du site Web avec l'entrée du mot de passe, le processus est donc rapide.

Puis-je me connecter automatiquement à un site Web tel que Facebook à l'aide de ce logiciel?

Non, pas automatiquement non plus (du moins à ma connaissance). Mais c'est là qu'intervient Auto-Type . Par exemple, pour Facebook, voici ma configuration de type automatique:

entrez la description de l'image ici

Comme vous pouvez le constater, j'ai créé 3 configurations pour différents titres de navigateurs. Cela me permet simplement d'aller sur facebook.com, d'appuyer sur Ctrl+ Alt+ A, et le nom d'utilisateur et le mot de passe seront automatiquement entrés et je serai connecté.

Si vous avez plusieurs combinaisons nom d'utilisateur / mot de passe pour le même titre de fenêtre, une fenêtre contextuelle vous demandant quelle entrée de mot de passe doit être utilisée.

Qu'en est-il du mobile?

Certaines applications prennent en charge le format de conteneur KeePass sur les appareils mobiles. Mais je reste loin de ceux-là. Je n'aime pas la pensée de ma base de données KeePass sur mon téléphone.

Je préfère ne transférer que des mots de passe uniques à l'aide du plugin QR Code Generator . Il vous permet de générer un code QR à partir d'un mot de passe, que vous pouvez ensuite numériser avec votre téléphone. Il est utile de disposer d' une application capable de copier le contenu numérisé dans le presse-papiers.

entrez la description de l'image ici

Der Hochstapler
la source
3
Si vous le mettez dans Dropbox, vous pouvez l’ouvrir n’importe où (il existe une version portable), même sur votre téléphone. De plus, il peut être importé dans Lastpass. Excellent choix
Ivo Flipse
2
@Oliver Cela semble être juste l'outil dont j'ai besoin. Je vais certainement essayer cela. La fonctionnalité date d'expiration est douce! Et le type automatique est assez simple. Je comprends que certains sites Web peuvent vous demander de confirmer un changement de mot de passe en cliquant sur un lien qu’ils envoient par courrier électronique. C’est pourquoi toute fonction de synchronisation automatique comme je l’imaginais n’aurait pas réussi à synchroniser et à mettre à jour automatiquement le mot de passe. C'est un avantage que cela fonctionne sur d'autres systèmes d'exploitation que Windows. Danke Oli! ;)
Samir
9
Si vous souhaitez renforcer la sécurité pour une utilisation dans Dropbox, utilisez un fichier de clé associé à un mot de passe et copiez-le manuellement sur tout ordinateur ou périphérique auquel vous souhaitez accéder à vos mots de passe (ne stockez pas la clé dans Dropbox). Autant que je sache, cela ne fonctionne qu'avec les appareils Android rootés et Android, car vous devez accéder au système de fichiers. Toutefois, sans le fichier de clé, le fichier de mot de passe est quasiment illisible.
Chad Levy
2
Notez que KeePass 2 est uniquement Windows (au moins, les interprètes libres Mono sous Linux l’ont très mal géré). Il existe un ancien clone de KeePass 1 appelé KeePassX que j'utilise sur Mac et Linux et qui fonctionne très bien.
Reid le
2
@Reid: D'après mon expérience, KeePass2 fonctionne bien sur Mono. c'est simplement moche, et c'est un truc Mono vs .NET.
Grawity
68

Il semble y avoir plusieurs outils de piratage de mots de passe Excel faciles à utiliser.

J'utiliserais un système de gestion de mot de passe comme 1password ou LastPass, qui fonctionne sur plusieurs systèmes d'exploitation, y compris les mobiles.

Ceux-ci ont des plugins pour la plupart des navigateurs qui peuvent entrer des mots de passe et d'autres informations dans le formulaire Web. 1password peut également créer un signet dans le navigateur, qui se connectera automatiquement (pour toute utilisation de l'application, il faut d'abord utiliser un mot de passe principal).

1password peut également stocker des notes, un compte (par exemple, email, ftp) et des modèles pour aider à stocker des informations sur les cartes de crédit, les comptes bancaires et autres. Bien que ce soit commercial, vous pouvez obtenir une démo gratuite qui permet de saisir jusqu'à 20 éléments.

Une différence entre les deux est que 1password ne stocke que les données localement (bien que vous puissiez synchroniser les données incrustées à l’aide de dropbox ou similaire), Lastpass peut données et pas besoin de dropbox, etc.

utilisateur151019
la source
4
Les mots de passe Excel sont très faciles à déchiffrer. Google Excel Password Cracker et vous verrez de nombreuses options. +1 pour Lastpass. J'avais l'habitude d'utiliser Roboform, mais j'aimais mieux Lastpass parce qu'il est multi-plateforme. J'utilise leur générateur de mot de passe pour randomiser les mots de passe.
Kendor
23
+1 pour LastPass - Il est malheureux que la solution avec tout le formatage et les images soit valable pour KeePass, car LastPass est nettement supérieur: il fait tout ce que KeePass fait, mais dispose également de plugins pour tous les principaux navigateurs, systèmes d’exploitation et plates-formes mobiles. Il stocke également les données en ligne pour que vous n'ayez jamais à vous soucier de les perdre (et les met en cache localement, pour ne jamais avoir à vous soucier de la panne de leurs serveurs) , mais chiffre tout en utilisant TNO (ne faites confiance à personne), de sorte que LastPass ne puisse jamais réellement voir vos mots de passe. Il existe très peu de programmes que je qualifie de parfaits , mais LastPass en fait partie.
BlueRaja - Danny Pflughoeft
3
LastPass prend désormais également en charge l'authentification à 2 facteurs via Android / iPhone, ce qui signifie que quelqu'un doit d'abord voler votre téléphone pour lancer votre application Authenticator (qui génère un code aléatoire toutes les 30 secondes) pour accéder à vos mots de passe.
glenneroo
3
@ Sammy: Oui, la plupart des fonctionnalités sont gratuites pour toujours. Les seules fonctionnalités que vous devez payer sont les applications mobiles et l'authentification multifactorielle, qui nécessitent un "compte premium" (12 $ / an). L'auteur n'essaie pas de s'enrichir grâce au programme. Je n'utilise pas les fonctionnalités premium, mais je paie quand même un compte premium pour montrer ma gratitude. En général, je ne fais que des dons aux projets open-source, ce qui vous dit quelque chose :)
BlueRaja - Danny Pflughoeft Le
2
LastPass est pratique, mais est principalement à source fermée et acquis par LogMeIn. Les serveurs de LastPass ont été violés (au moins partiellement) à plusieurs reprises, et leur client a autorisé "la lecture de mots de passe en clair pour des domaines arbitraires dans le coffre-fort d'un utilisateur de LastPass lorsque cet utilisateur a visité un site Web malveillant " et actuellement (mars 2017) " le fichier binaire LastPass .. Autorise les sites Web malveillants à exécuter le code de leur choix, même en l'absence de binaire ... permet aux sites malveillants de voler les mots de passe du coffre protégé LastPass "Voir en.wikipedia.org/wiki/LastPass#Security_issues pour références
Xen2050
49

J'ai utilisé Lastpass depuis un moment maintenant et le recommande vivement. Il possède de merveilleux plugins de navigateur et un ensemble de fonctionnalités qui facilitent l’utilisation de mots de passe plus sûrs.

Le plug-in du navigateur remplira automatiquement les informations de connexion (une fois connecté au plug-in). Il dispose également d'une fonction d'exportation, vous permettant ainsi de récupérer votre base de données et de l'importer dans KeePass, par exemple. Il utilise également une authentification en deux étapes pour plus de sécurité.

Client de bureau:

client de bureau

Plugin de navigateur:

plugin de navigateur

PlTaylor
la source
1
@PITaylor Merci! Je vais certainement tester LastPass. Mais pour l’instant, je vais donner à KeePass plus de temps pour l’évaluer.
Samir
4
La grande raison pour laquelle j'aime LastPass est qu'il est facile de partager facilement un ensemble de mots de passe sur plusieurs ordinateurs et que vous pouvez toujours accéder à vos laissez-passer sur un ordinateur quelconque par le biais de l'interface Web.
PlTaylor
2
J'utilise lastpass, mais il y a 2 inconvénients. 1) Le serveur peut tomber en panne (problèmes techniques ou fermeture de la société, etc.) 2) Certaines entreprises ne le permettent pas, car vous envoyez des informations de sécurité de la société.
Keltari
1
LastPass est pratique, mais est principalement à source fermée et acquis par LogMeIn. Les serveurs de LastPass ont été violés (au moins partiellement) à plusieurs reprises, et leur client a autorisé "la lecture de mots de passe en clair pour des domaines arbitraires dans le coffre-fort d'un utilisateur de LastPass lorsque cet utilisateur a visité un site Web malveillant " et actuellement (mars 2017) " le fichier binaire LastPass .. Autorise les sites Web malveillants à exécuter le code de leur choix, même en l'absence de binaire ... permet aux sites malveillants de voler les mots de passe du coffre protégé LastPass "Voir en.wikipedia.org/wiki/LastPass#Security_issues pour références
Xen2050
Je vais laisser ce lien ici, car M. Hunt le dit bien mieux que moi. troyhunt.com/…
PlTaylor
10

Le mot de passe Hasher plugin (pour Firefox) est ce que j'utilise personnellement.

Comment Password Hasher aide:

  • Génère automatiquement des mots de passe forts.
  • Une clé principale produit différents mots de passe sur plusieurs sites.
  • Mettez rapidement à niveau les mots de passe en "remplaçant" la balise de site.
  • Mettez à niveau une clé principale sans mettre à jour tous les sites à la fois.
  • Prend en charge des mots de passe de longueur différente.
  • Prise en charge des exigences spéciales, telles que les chiffres et la ponctuation.
  • Prend en charge la restriction d'un mot de hachage pour qu'il n'utilise pas de caractères spéciaux. (Nouveau!)
  • Enregistre toutes les données dans la base de données de mots de passe sécurisée du navigateur.
  • Génère une page HTML portable avec les balises de votre site et les paramètres d’option vous permettant de générer vos mots de hachage dans n’importe quel navigateur, sur n’importe quel ordinateur sur lequel l’extension n’est pas installée. (Nouveau!)
  • Peut ajouter des boutons de marqueur pour démasquer les mots de passe sur n’importe quel site Web. (Nouveau!)
  • Extrêmement simple à utiliser!

entrez la description de l'image ici

Stepan Vihor
la source
6
Ils doivent être stockés quelque part sinon ils seraient oubliés
user151019 Le
Il existe également des ports pour Chrome.
Rishimaharaj
6
@Kutschkem: Non, les mots de passe n'ont pas besoin d'être stockés quelque part. Ce que le plugin fait probablement (du moins c'est ce que je ferais), est de hacher la concaténation de la balise de site et du mot de passe principal, ce qui donnera un mot de passe différent (et supposé fort) pour chaque site (sans rien stocker). , voir?). Bien sûr, votre mot de passe principal devra toujours être fort. L'avantage est que non seulement chaque mot de passe sera différent, mais également très différent (du moins si la fonction de hachage est bonne).
Der Hochstapler
Il y a aussi un port pour IE , écrit par une très belle personne
BlueRaja - Danny Pflughoeft
@ Matthew: Cela est vrai de toutes les solutions de stockage de mots de passe ...
BlueRaja - Danny Pflughoeft
9

Personnellement, j'utilise PasswordMaker pour générer des mots de passe à partir d'un mot de passe principal et de l'URL du site. Le projet est assez mature, open source et stable. Il est disponible pour Firefox (en tant qu'extension), Linux CLI, Android, etc.

Comment ça fonctionne:

Attention - jargon technique dans cette section! Vous fournissez deux informations à PasswordMaker: un "mot de passe principal" - ce mot de passe unique que vous aimez - et l'URL du site Web nécessitant un mot de passe. Grâce à la magie des algorithmes de hachage à sens unique, PasswordMaker calcule un résumé de message, également appelé empreinte digitale, qui peut être utilisé comme mot de passe pour le site Web. Bien que les algorithmes de hachage unidirectionnel présentent un certain nombre de caractéristiques intéressantes, celle-ci mise en avant par PasswordMaker est que l'empreinte digitale résultante (mot de passe) ne révèle rien sur l'entrée utilisée pour le générer. En d’autres termes, si une personne possède un ou plusieurs de vos mots de passe générés, il lui est impossible en principe de calculer votre mot de passe principal ou de calculer vos autres mots de passe.

utilisateur1202136
la source
4

Il est risqué de faire confiance à une application tierce pour stocker vos mots de passe importants, en particulier les applications potentiellement capables de se connecter en ligne ou celles que vous leur autorisez à accéder aux processus d'un autre programme; et plus important encore, faire confiance aux non-sources ouvertes .

À mon avis, un moyen plus sûr consiste à stocker vos mots de passe importants dans un fichier texte (.TXT), puis à chiffrer le fichier avec l' algorithme AES à l' aide de dsCrypt.exe . Vous devez entrer votre mot de passe principal dans dsCrypt une seule fois et vous pourrez crypter / décrypter votre fichier texte de mot de passe plusieurs fois sans vous demander de ressaisir le mot de passe principal à chaque fois que dsCrypt est en cours d'exécution. Vous pouvez exécuter automatiquement dsCrypt avec votre démarrage Windows et entrer votre mot de passe principal une fois; et ce dont vous avez besoin ensuite, il vous suffit de faire glisser votre fichier de mots de passe (.txt) sur dsCrypt pour le déchiffrer / chiffrer lorsque vous avez besoin de vos mots de passe.

DavidDe
la source
Remplacer dsCrypt par PGP / GPG, les dérivés TrueCrypt, LUKS, etc. serait tout aussi bon, encore +1
Xen2050
mais il y a un défaut dans votre réponse: dsCrypt.exe EST un logiciel tiers :-)! Je préfère faire confiance à un programme open source que je peux recompiler plutôt
qu'à
0

Je recommande KeePassXC, qui est une fourchette communautaire de KeePassX , un port multiplate-forme natif de KeePass Password Safe , dans le but de l'étendre et de l'améliorer avec de nouvelles fonctionnalités et corrections de bugs pour fournir un environnement riche en fonctionnalités, entièrement multi-plateformes et ouvert gestionnaire de mot de passe source.

Ce client est également recommandé par Surveillance Self-Defense .

Caractéristiques principales de KeePassXC :

  • Stockage sécurisé des mots de passe et autres données privées avec le cryptage AES, Twofish ou ChaCha20
  • Multiplate-forme, fonctionne sous Linux, Windows et macOS sans modifications
  • Compatibilité de format de fichier avec KeePass2, KeePassX, MacPass, KeeWeb et beaucoup d'autres (KDBX 3.1 et 4.0)
  • Intégration de l'agent SSH
  • Tapez automatiquement sur toutes les plateformes prises en charge pour remplir automatiquement les formulaires de connexion
  • Prise en charge des réponses au fichier clé et à la réponse au défi YubiKey pour une sécurité accrue
  • Génération TOTP (y compris Steam Guard)
  • Importation CSV depuis d'autres gestionnaires de mots de passe (par exemple, LastPass)
  • Interface de ligne de commande
  • Générateur de mot de passe et phrase secrète autonome
  • Mètre de force de mot de passe
  • Icônes personnalisées pour les entrées de base de données et le téléchargement des favicons de sites Web
  • Fonctionnalité de fusion de base de données
  • Rechargement automatique lorsque la base de données a été modifiée en externe
  • Intégration du navigateur avec KeePassXC-Browser pour Google Chrome, Chrome, Vivaldi et Mozilla Firefox.
  • (Legacy) Prise en charge de KeePassHTTP pour une utilisation avec KeePassHTTP-Connector disponible pour Mozilla Firefox et Google Chrome et passafari pour Safari.
Simhumileco
la source
-4

J'utilise les fichiers Notepad et .txt. Si vous voulez mon avis, je vous conseille de ne pas utiliser de logiciel tiers. D'où savez-vous qu'ils ne volent pas vos mots de passe?
Donc, utiliser des fichiers texte serait le meilleur.
Aussi, si vous êtes programmeur, je vous suggère de vous en créer un simple qui utilise l’encodage pour sécuriser les données. C'est la meilleure solution.

UltraDEVV
la source
2
Je vais prendre le risque que la base de données cryptée du gestionnaire de mots de passe soit plus vulnérable que le fichier texte brut, car ce dernier sera exploité par le prochain programme malveillant qui effectue une recherche rapide du mot de passe de mon ordinateur .
Twisty Impersonator
1
Au moins crypter votre fichier texte avec GPG / pgp ou quelque chose, quoi que ce soit , et rappelez - vous que l' un mot de passe
Xen2050