Comment stocker et gérer en toute sécurité 180 mots de passe?
J'ai environ 180 mots de passe pour différents sites Web et services Web. Ils sont tous stockés dans un seul document Excel protégé par mot de passe. À mesure que la liste s'allonge, je suis de plus en plus préoccupé par sa sécurité.
Dans quelle mesure un document Excel protégé par mot de passe est-il sécurisé ou dois-je dire non sécurisé? Quelle est la meilleure pratique pour stocker autant de mots de passe de manière sécurisée et facile à gérer?
Je trouve la méthode Excel assez simple, mais la sécurité me préoccupe.
Mon outil de stockage de mots de passe préféré est KeePass :
Qu'est-ce que KeePass?
Aujourd'hui, vous devez vous rappeler de nombreux mots de passe. Vous avez besoin d'un mot de passe pour la connexion au réseau Windows, votre compte de messagerie, le mot de passe FTP de votre site Web, les mots de passe en ligne (comme un compte membre du site Web), etc., etc. La liste est interminable. En outre, vous devez utiliser des mots de passe différents pour chaque compte. Parce que si vous utilisez un seul mot de passe partout et que quelqu'un obtient ce mot de passe, vous avez un problème ... Un problème grave. Le voleur aurait accès à votre compte de messagerie, à votre site Web, etc. Inimaginable.
KeePass est un gestionnaire de mot de passe open source gratuit, qui vous aide à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé principale ou un fichier de clé. Il suffit donc de mémoriser un seul mot de passe principal ou de sélectionner le fichier de clé pour déverrouiller la base de données entière. Les bases de données sont cryptées à l’aide des algorithmes de cryptage les plus performants et les plus sécurisés du moment (AES et Twofish). Pour plus d'informations, voir la page de fonctionnalités .
Y a-t-il une limite quant au nombre de mots de passe que vous pouvez stocker?
Seulement en théorie. Vous pouvez insérer autant d'entrées que vous le souhaitez dans la base de données, mais à un moment donné, votre clé USB ou votre disque dur sera plein.
Existe-t-il un moyen de synchroniser automatiquement les mots de passe modifiés?
Non, pas comme vous l'attendez.
Vous voudrez en faire un processus manuel régulier. Cela ne peut pas et ne devrait pas être automatisé.
J'aime définir des dates d'expiration pour toutes les entrées de mon mot de passe: 
Ensuite, je me souviens de changer régulièrement mes mots de passe. Je stocke l'URL du site Web avec l'entrée du mot de passe, le processus est donc rapide.
Puis-je me connecter automatiquement à un site Web tel que Facebook à l'aide de ce logiciel?
Non, pas automatiquement non plus (du moins à ma connaissance). Mais c’est là que le type automatique entre en jeu. Par exemple, pour Facebook, voici ma configuration de type automatique:
Comme vous pouvez le constater, j'ai créé 3 configurations pour différents titres de navigateurs. Cela me permet simplement d'aller à facebook.com, appuyez sur Ctrl+Alt+Aet le nom d’utilisateur et le mot de passe seront automatiquement entrés et je serai connecté.
Si vous avez plusieurs combinaisons nom d'utilisateur/mot de passe pour le même titre de fenêtre , une fenêtre contextuelle vous demandant quelle entrée de mot de passe doit être utilisée.
Qu'en est-il du mobile?
Certaines applications prennent en charge le format de conteneur KeePass sur les appareils mobiles. Mais je reste loin de ceux-là. Je n'aime pas la pensée de ma base de données KeePass sur mon téléphone.
Je préfère ne transférer que des mots de passe uniques à l'aide du plugin QR Code Generator . Il vous permet de générer un QR Code à partir d'un mot de passe, que vous pouvez ensuite numériser avec votre téléphone. Il est utile d’avoir ne application capable de copier le contenu numérisé dans le presse-papiers.
Il semble y avoir plusieurs outils de piratage de mots de passe Excel faciles à utiliser.
Je voudrais utiliser un système de gestion de mot de passe comme 1password ou LastPass qui fonctionnent sur plusieurs OS, y compris les mobiles.
Ceux-ci ont des plugins pour la plupart des navigateurs qui peuvent entrer des mots de passe et d'autres informations dans le formulaire Web. 1password peut également créer un signet dans le navigateur, qui se connectera automatiquement (pour toute utilisation de l'application, il faut d'abord utiliser un mot de passe principal).
1password peut également stocker des notes, un compte (email, ftp, par exemple) et des modèles pour vous aider à stocker des informations sur votre carte de crédit, votre compte bancaire et d'autres informations. Bien que ce soit commercial, vous pouvez obtenir une démo gratuite qui permet de saisir jusqu'à 20 éléments.
Une différence entre les deux réside dans le fait que 1password ne stocke que les données localement (bien que vous puissiez synchroniser les données incrustées à l’aide de dropbox ou similaire), Lastpass peut données et pas besoin de dropbox, etc.
J'ai utilisé Lastpass pendant un moment et le recommande vivement. Il possède de merveilleux plugins de navigateur et un tas de fonctionnalités qui facilitent l’utilisation de mots de passe plus sûrs.
Le plug-in du navigateur remplira automatiquement les informations de connexion (une fois connecté au plug-in). Il a également une fonction d'exportation, vous pouvez donc récupérer votre base de données et l'importer dans KeePass par exemple. Il utilise également une authentification en deux étapes pour plus de sécurité.
Client de bureau:
Plugin de navigateur:
Password Hasher plugin (pour Firefox) est ce que j'utilise personnellement.
Comment Password Hasher aide:
- Génère automatiquement des mots de passe forts.
- Une clé principale produit différents mots de passe sur plusieurs sites.
- Mettez rapidement à niveau les mots de passe en "remplaçant" la balise de site.
- Mettez à niveau une clé principale sans mettre à jour tous les sites à la fois.
- Prend en charge des mots de passe de longueur différente.
- Prise en charge des exigences spéciales, telles que les chiffres et la ponctuation.
- Prend en charge la limitation d'un mot de hachage pour qu'il n'utilise pas de caractères spéciaux. (Nouveau!)
- Enregistre toutes les données dans la base de données de mots de passe sécurisée du navigateur.
- Génère une page HTML portable avec les balises de votre site et les paramètres d’option vous permettant de générer vos mots de hachage dans n’importe quel navigateur, sur n’importe quel ordinateur sur lequel l’extension n’est pas installée. (Nouveau!)
- Peut ajouter des boutons de marqueur pour démasquer les mots de passe sur n’importe quel site Web. (Nouveau!)
- Extrêmement simple à utiliser!
Personnellement, j'utilise PasswordMaker pour générer des mots de passe à partir d'un mot de passe principal et de l'URL du site. Le projet est assez mature, open source et stable. Il est disponible pour Firefox (en tant qu'extension), Linux CLI, Android, etc.
Comment ça marche:
Attention - jargon technique dans cette section! Vous fournissez deux informations à PasswordMaker: un "mot de passe principal" - ce mot de passe unique que vous aimez - et l'URL du site Web nécessitant un mot de passe. Grâce à la magie des algorithmes de hachage à sens unique, PasswordMaker calcule un résumé de message, également appelé empreinte digitale, qui peut être utilisé comme mot de passe pour le site Web. Bien que les algorithmes de hachage unidirectionnel présentent un certain nombre de caractéristiques intéressantes, celle-ci mise en avant par PasswordMaker est que l'empreinte digitale résultante (mot de passe) ne révèle rien sur l'entrée qui a été utilisée pour le générer. En d’autres termes, si une personne possède un ou plusieurs de vos mots de passe générés, il lui est impossible en principe de calculer votre mot de passe principal ou de calculer vos autres mots de passe. Infaisable en calcul signifie que même les ordinateurs comme celui-ci ne vont pas vous aider!
Il est risqué de faire confiance à une application tierce pour stocker vos mots de passe importants, en particulier les applications potentiellement capables de se connecter en ligne. ou ceux que vous les autorisez à accéder aux processus d'un autre programme; et plus important encore, faire confiance à des sources non ouvertes .
À mon avis, un moyen plus sûr consiste à stocker vos mots de passe importants dans un fichier texte (.TXT), puis à chiffrer le fichier avec l'algorithme AES par dsCrypt.exe. Vous devez entrer votre mot de passe principal dans dsCrypt une seule fois et vous pourrez chiffrer/déchiffrer votre fichier texte de mot de passe plusieurs fois sans vous le demander. Ressaisissez le mot de passe principal à chaque fois que dsCrypt est en cours d'exécution. Vous pouvez exécuter automatiquement dsCrypt avec votre démarrage Windows et entrer votre mot de passe principal une fois; et ce dont vous avez besoin, c’est simplement de faire glisser votre fichier de mots de passe (.txt) sur dsCrypt pour le déchiffrer/ lorsque vous avez besoin de mots de passe .
Je recommande KeePassXC qui est un fork de la communauté de KeePassX , un port multiplate-forme natif de KeePass Password Safe , dans le but de l'étendre et de l'améliorer avec de nouvelles fonctionnalités et corrections de bugs pour fournir un mot de passe Open Source riche, complet, multi-plateformes et moderne directeur.
Ce client est également recommandé par Surveillance Autodéfense.
Caractéristiques principales KeePassXC :
- Stockage sécurisé des mots de passe et autres données privées avec le cryptage AES, Twofish ou ChaCha20
- Multiplate-forme, fonctionne sous Linux, Windows et macOS sans modifications
- Compatibilité de format de fichier avec KeePass2, KeePassX, MacPass, KeeWeb et beaucoup d'autres (KDBX 3.1 et 4.0)
- Intégration de l'agent SSH
- Tapez automatiquement sur toutes les plateformes prises en charge pour remplir automatiquement les formulaires de connexion
- Prise en charge des réponses au fichier clé et à la réponse au défi YubiKey pour une sécurité accrue
- Génération TOTP (y compris Steam Guard)
- Importation CSV à partir d'autres gestionnaires de mots de passe (par exemple, LastPass)
- Interface de ligne de commande
- Générateur de mot de passe et phrase secrète autonome
- Mètre de force de mot de passe
- Icônes personnalisées pour les entrées de base de données et le téléchargement des favicons de sites Web
- Fonctionnalité de fusion de base de données
- Rechargement automatique lorsque la base de données a été modifiée en externe
- Intégration du navigateur avec KeePassXC-Browser pour Google Chrome, Chrome, Vivaldi et Mozilla Firefox.
- (Legacy) Prise en charge de KeePassHTTP pour une utilisation avec KeePassHTTP-Connector disponible pour Mozilla Firefox et Google Chrome, et passafari pour Safari.