KeePass2 et la synchronisation SSH/SFTP entre Windows, Linux et Android.

KeePass2 et la synchronisation SSH/SFTP

Salut à tous, je vous avait parlé, il y déjà quelques temps, de la bonne gestion des mots de passe.  J’avais ouvert l’article sur LastPass qui permet une gestion plutôt réussi et sécurisée de vos mots de passe. Aujourd’hui on va plutôt se pencher sur KeePass2 et la synchronisation SSH/SFTP de sa base. Une bonne alternative « non-cloud » à LastPass et qui a, en plus, le bon goût d’avoir une certification CSPN par l’ANSSI.

Un des problèmes de LastPass et de ses concurrents dans le Cloud pour un usage en entreprise c’est que la société mère du produit est américaine. Avec les lois du type Patriot Act qui s’appliquent autant vous dire que la NSA peut demander l’accès aux mots de passe stockés par ce service dès qu’elle pense que c’est nécessaire. Donc autant pour un particulier, je ne pense pas que ça pose de gros problème : peu probable que la NSA en ai après vos photos de vacances et vos factures internet… Par contre pour une entreprise et à fortiori un organisme d’état c’est bien moins top de leur donner gratuitement tous les secrets d’authentification !

Donc aujourd’hui on va voir comment on peut installer … Lire la suite

Gestion des mots de passes dans les z’internet aujourd’hui

Allez le vendredi c’est permis ! un peu de lecture avant ce week-end pour se détendre…
un TP rapide sur comment qu’on gère les mots de passes quand on est un g33k un vrai (avec des poils et tout)

C’est quoi un bon mot de passe ?

Tout d’abord quelques rappels théoriques sur comment on gère des mots de passes :
Un bon mot de passe, entre autre :

  • doit respecter des règles de complexité (genre pas : 1234, azerty ou motdepassse)
  • doit être renouvelé régulièrement (genre : date pas de 1999)
  • doit être différent selon ce qu’il protège (banque != torrents)
  • doit pas être stocké en clair ou accessible à tiers (pas sous le clavier ou sur la porte du réfrigérateur donc)

Toutes ces bonnes pratiques sont listés dans le doc de l’ANSSI sur ce sujet, disponible ici :

NP_MDP_NoteTech.pdf

Comment ça fonctionne dans la vraie vie ?

En aucun cas un site internet ne stocke (ou « ne devrait stocker » en tous cas) votre mot de passe en clair. Un bon site (non, n’est pas un site mort…) stocke un « hash, empreinte ou encore condensat de votre mot de passe (Exemple d’algorithme de hash : MD5, … Lire la suite