Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance.
Tres bon article a ce sujet : http://blog.blaisethirard.com/creez-et-memorisez-des-mots-de-passe-complexes...
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance.
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Vous pouvez utiliser des applications comme Revelation ou KeePassX pour générer et stocker ces mots de passe.. Les deux applications sécurisent les fichiers où les mots de passes seront enregistrer..
Sinon y a aussi une plate forme PHP similaire (TeamPass si je me trempe pas).. Mais j'ai jamais testé..
*El Achèche ANIS* *An Ubuntu-tn Member & Events Team Coordinator* *Official Ubuntu Member **|** Member @CLibre.tn | Junior SysAdmin @ApptivIT*
*elacheche@ubuntu.com elacheche@ubuntu.com | # whoami http://wiki.ubuntu.com/elacheche *
*"I am what I am because of who we all are" - The Ubuntu Philosophy*
2014-03-31 9:10 GMT+01:00 Barthelemy Gabillaud barthegabi@gmail.com:
Tres bon article a ce sujet : http://blog.blaisethirard.com/creez-et-memorisez-des-mots-de-passe-complexes...
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance.
Liste de diffusion du FRsAG http://www.frsag.org/
-- Barthelemy GABILLAUD.
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Je pense qu'une solution alternative intéressante serait d'utiliser un gestionnaire de mot de passe comme KeePass par exemple:
La base de données est protégée par un mot de passe "master", voire un fichier clé qu'il est possible de changer régulièrement. Un générateur de mot de passe est intégré au soft.
My 2 cents,
Franck
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance.
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
Pour avoir cherché la solution parfaite également, je n'en ai pas trouvé.
Client lourd type keepassx, nécessite qu'il soit installé sur toutes les plateformes, et le mot de passe de protection maitre doit être communiqué oralement, et donc être assez simple pour être retenu (et identique pour tous les utilisateurs). Cela a plusieurs inconvénients, lorsque un des mots de passe du trousseau est changé, le fichier keepassx doit être renvoyé à tout le monde. Si il y a plusieurs niveau d'habilitation, il faut un fichier keepassx par habilitation.
A ce titre, la centralisation type teampass est plus sympa, mais je n'ai pas trouvé le soft très abouti, et cela peut obliger à avoir des accès vpn etc si ce dernier est hébergé en interne.
Une solution assez sympa et geeky et d'avoir une page wiki, avec les mots de passe chiffré via gpg, selon les habilitations. Mais c'était du temps de feu firegpg (à priori il y a un plugin pour chrome qui sait faire également).
Ici, on a opté pour keepassx (j'en ai 3, mot de passe général, staging et prod).
Adminsysement, Sébastien
Bonjour,
31 mars 2014 10:51 "seb astien" krionux@gmail.com a écrit:
Hello,
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
Pour avoir cherché la solution parfaite également, je n'en ai pas trouvé.
Client lourd type keepassx, nécessite qu'il soit installé sur toutes les plateformes, et le mot de passe de protection maitre doit être communiqué oralement, et donc être assez simple pour être retenu (et identique pour tous les utilisateurs). Cela a plusieurs inconvénients, lorsque un des mots de passe du trousseau est changé, le fichier keepassx doit être renvoyé à tout le monde. Si il y a plusieurs niveau d'habilitation, il faut un fichier keepassx par habilitation.
Nous aussi, on a opté pour keepass, et pour la centralisation, les fichiers kdbx sont sur un serveur central (partage windows et NFS). Quand il y a modification, il suffit aux collaborateurs de le ré-ouvrir pour que ça soit pris en compte.
Cordialement,
Etienne
Hello,
Le 31 mars 2014 10:06, Stephane Naurou stephane.naurou@gmail.com a écrit :
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu
plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
Pour avoir cherché la solution parfaite également, je n'en ai pas
trouvé.
Client lourd type keepassx, nécessite qu'il soit installé sur toutes
les plateformes, et le mot de passe de protection maitre doit être communiqué oralement, et donc être assez simple pour être retenu (et identique pour tous les utilisateurs). Cela a plusieurs inconvénients, lorsque un des mots de passe du trousseau est changé, le fichier keepassx doit être renvoyé à tout le monde. Si il y a plusieurs niveau d'habilitation, il faut un fichier keepassx par habilitation.
Un bête fichier GPG et zou ! Ou en plus intégré il y'a http://www.zx2c4.com/projects/password-store
Bonjour,
Le 31/03/2014 10:06, Stephane Naurou a écrit :
[…] Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) ) […]
Comme d'autres le proposent: j'utilise des trousseaux keepassx pour y stocker les mots de passe, un trousseau par service, types d'accès, fonctionnalités ou autres.
Personnellement, j'utilise http://www.slis.fr/mot-de-passe pour générer les mots de passe, comme ça je peux quand même retenir ceux que j'utilise souvent (messagerie, outils utilisés au quotidien…). Attention, il y a un troll de sécurité caché sur cette page web. :) Le code est sur http://git.ac-grenoble.fr/?p=carmii-sysadmin/password-generator.git;a=summary .
Pour le travail en équipe, on utilisait un fichier texte chiffré accessible avec nos clés GPG respectives et une extension vim sur nos postes pour accéder et modifier facilement ce fichier. J'aimais bien le fait que ce soit un fichier plat présent à un seul endroit avec une clé différente pour chaque utilisateur. Il faut savoir utiliser GPG et vim, ce qui n'est pas le cas de tous les utilisateurs.
Attention au sauvegardes: c'est pas du niveau des clés ssh ou GPG, mais personnellement j'aime pas trop voir les trousseaux copiés un peu partout. C'est pas très important parce que c'est chiffré et protégé par clé, mais ajouter un mot de passe sur la mauvaise version du trousseau peut effacer d'autres mots de passe…et inversement un ancien employé qui part avec une copie du trousseau et faut tout refaire (voir la discussion « liste des mots de passe à changer si on vous vole votre laptop »).
Et oublies pas de partager ce que vous aurez choisi (maintenant et/ou après un temps d'utilisation ;) ) !
@+
Après avoir fait du keepassX (le vrai keepass multi plate-forme notamment sous Linux sans avoir un portage windows moisi), on est parti sur Teampass. C'est pas super beau, ni super abouti à mon sens, mais après l'avoir trituré dans tous les sens c'est stable. Par contre pour mettre à jour le logiciel ce n'est pas encore très bien rodé, on bloque sans cesse sur l'étape de réencodage des mots de passe.
L'accès concurrentiel en écriture est assez important donc Keepassx a du être oublié pour cela.
Bonjour,
Wallace wallace@morkitu.org a écrit :
L'accès concurrentiel en écriture est assez important donc Keepassx a du être oublié pour cela.
Keepass2 gère mieux la concurrence d'écriture. Keepass2 permet d’ouvrir la base sur un protocole type WebDav (solution retenu pour ma part, avec authentification http supplémentaire lier au WebDav tout ça sur HTTPS) ce qui simplifie aussi le transport de la base...
J'ajouterais qu'une jolie interface web est en cours de développement pour les base keepass (CloudKeePass) : * https://github.com/rledisez/CloudKeePass/blob/master/README.md * http://linuxfr.org/news/cloud-kee-pass-version-meme-pas-encore-alpha
David
Le 31/03/2014 13:35, David Mercereau a écrit :
Bonjour,
Wallace wallace@morkitu.org a écrit :
L'accès concurrentiel en écriture est assez important donc Keepassx a du être oublié pour cela.
Keepass2 gère mieux la concurrence d'écriture. Keepass2 permet d’ouvrir la base sur un protocole type WebDav (solution retenu pour ma part, avec authentification http supplémentaire lier au WebDav tout ça sur HTTPS) ce qui simplifie aussi le transport de la base...
Oui j'ai entendu dire cela mais pas testé, car le premier frein a été que l'interface Keepass2 n'est pas native sous Linux, c'est mal porté avec je ne sais plus quelle librairie et c'est inutilisable au quotidien.
J'ajouterais qu'une jolie interface web est en cours de développement pour les base keepass (CloudKeePass) :
Merci pour l'info ça semble prometteur surtout si la majorité des fonctionnalités de keepass sont reprises.
Bonjour.
Premiere participation sur la liste !
On 31/03/2014 10:06, Stephane Naurou wrote:
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comme certains ici, nous utilisons des fichiers chiffres accessibles par clef GPG. L'inconvenient majeur que je trouve a cette solution est l'utilisation a plusieurs niveau d'utilisateurs (Admin > Support). Cela implique de creer 2 fichiers. Si une modification est faite sur l'un, il faut la repercuter sur l'autre. Pour la generation de mot de passe, plusieurs outils sont disponibles sous linux (pwgen, apg...).
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance.
Liste de diffusion du FRsAG http://www.frsag.org/
My 2 cents
Bonjour,
Je suis actuellement en train de mettre en place SecretManager. http://sourceforge.net/projects/secretmanager
Ça reprends la même architecture que Teampass (LAMP), c'est tout jeune mais la dernière version réponds à mes besoins : - multi-plateforme (accessibilité) - multi-utilisateur (différenciation des accès) - Historique (accès - modifications) - authentification par mdp, RADIUS ou LDAP..
Il a un peu de travail pour sécuriser l'accès au serveur mais rien d'insurmontable.
Le développeur, français, est très disponible via Sourceforge et prends bien en compte les différentes demandes/remontées.
Cordialement,
David ROELANDT
----- Mail original ----- De: "Stephane Naurou" stephane.naurou@gmail.com À: frsag@frsag.org Envoyé: Lundi 31 Mars 2014 10:06:48 Objet: [FRsAG] Gestion des mots de passe
Bonjour
Nous souhaitons mettre en place une stratégie de mot de passe un peu plus propre que ce que nous avons aujourd'hui. ( :) je ne détaille pas :) )
A savoir des mots de passe admin locaux, root, mots de passe de routeurs, switchs , etc .. : différents avec une fréquence de rotation "raisonnable" suffisamment complexes
La question est : quelles sont les bonnes pratiques pour stocker ou mémoriser ces mots de passe. Si j'en ai trop et trop complexes , je ne peux pas les mémoriser ( je ne suis qu'un humble humain ), je dois les stocker. Mais où ? Comment ? S'ils trop simples ou tous sur le même schéma mnémotechnique , la sécurité sera probablement insuffisante.
Comment à la fois répondre aux besoins ci-dessus sans etre obligé de recourir au fichier excel sécurité zéro pour y accéder. Est-ce possible d'imaginer un système suffisamment mnémotechnique sans être trop simpliste ?
Je pense que vous êtes tous confrontés à ce problème.
J'aimerais bien avoir vos retours, connaitre vos us et coutumes...
Merci d'avance. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
ANIS El Achèche -
Barthelemy Gabillaud -
David Mercereau -
david.roelandt@free.fr -
Etienne Magro -
Franck GIGANT -
J. Fernando Lagrange -
Natanaël Glacet -
Remi Sandevoir -
seb astien -
Stephane Naurou -
Wallace