Categories
Privacy Security

Encore un mot de passe en moins à retenir

Je ne connais plus le mot de passe de mon compte Google. L’accès à ce compte est maintenant également géré avec pass et ma Yubikey. Comme pour tous les autres services Web que j’utilise. pass permet donc de gérer les mots de passe (génération, modification, suppression, recherche, etc.) en ligne de commande. Lorsque j’ai besoin d’un mot de passe, il est stocké dans le presse-papier pendant 45 secondes. Je n’ai donc pas besoin de voir le mot de passe. Cela signifie que si je n’ai pas accès à mon ordinateur, je ne pourrai pas me connecter à tout une flopée de services Web (pour Google, mon téléphone y est toujours connecté…). Il est assez rare que je n’ai pas accès à mon téléphone ou à ma Yubikey.

Cela fait maintenant pratiquement un an que j’utilise l’authentification à deux facteurs avec une clé Yubikey Neo pour tous les services le permettant. Je trouve ceci plutôt pratique d’usage. J’en suis réellement satisfait.

J’augmente ainsi progressivement la sécurité de mes comptes liés à des services Web. Mon compte Google était le dernier à ne pas être géré avec pass. De nombreux autres comptes sont déjà gérés de la même manière depuis quelques temps (sans que je ne me soucis de retenir le mot de passe). Pour les identifiants moins importants comme par exemple ceux de ma banque ou de mon compte MesLacets.com. Et évidemment les plus importants comme ceux de Gandi et GitHub.

6 replies on “Encore un mot de passe en moins à retenir”

Je suis toujours intéressé par ces gestionnaires de mots de passe. Récemment je suis passé de kwallet à KeePass. J’y ai accès sur mon (nouveau) smartphone.

Tu utilises pass sur ton smartphone ?

Il y a un truc qui me dérange avec pass: «With pass, each password lives inside of a gpg encrypted file *whose filename is the title of the website or resource*». Ça livre déjà un paquet d’infos sur les éléments stockés…

Je n’utilise pas pass sur mon téléphone. En fait, sur mon téléphone j’ai seulement un compte Google et un compte Signal (et il semble que bientôt Signal fonctionnera sans les services Play: https://github.com/WhisperSystems/Signal-Android/commit/1669731329bcc32c84e33035a67a2fc22444c24b) .

Mis à part les services Google et Signal, j’ai juste une application (Fitbit) qui a besoin d’un mot de passe, depuis environ 6 mois. Je le recopie manuellement. C’est-à-dire que pass génère est stocke le mot de passe. Je le recopie sur le téléphone à la main.
D’ailleurs, j’ai manuellement changé le mot de passe tout récemment à cause de Cloud Bleed.

Pour le moment, je n’ai pas eu besoin de tel logiciel sur mon téléphone. Ça fait 4 ans que j’ai le Nexus 4. Il n’est plus mis à jour. Via le navigateur du téléphone, il m’arrive (rarement) de me connecter au webmail du travail. Je connais ce mot de passe. Sinon, je ne m’identifie jamais à un site Web sur Android.

En général, j’utilise l’option -n de pass. J’ai déjà eu des problèmes de formulaires à cause de caractères spéciaux dans les mots de passe.

C’est vrai pour les noms de fichiers avec pass. Je trouve aussi que c’est un défaut.

Bonjour Cédric,

C’est une excellente idée d’avoir un compte MesLacets.com 😉

A bientôt pour votre prochaine commande,

Sylvain
Fondateur et gérant de MesLacets.com

Tu as testé dans le contexte d’une équipe ? Il y a moyen de versionner les pass avec git apparemment. Par contre mes souvenirs de gpg sont trop lointains, je ne vois pas trop comment ça pourrait marcher avec plusieurs clés, tout le monde devrait partager la même paire de clés ?

Je crois bien avoir déjà lu quelque chose à propos de ce problème. En cherchant je viens de retrouver ceci: https://medium.com/@davidpiegza/using-pass-in-a-team-1aa7adf36592
Il y a la confirmation que c’est possible ici: http://comments.gmane.org/gmane.comp.encryption.pass/2018 ce qui est en fait précisé sur le site.
Donc ouais, il y a les deux options. Des mots de passes accessibles (lecture et écriture) par différentes personnes en partageant les clés. Ou alors avoir des dossiers associés à des clés (une ou plusieurs clés par dossier).

Par contre, j’ai du mal à stocker mes mots de passe ailleurs que sur mon ordinateur. Maintenant, dans un contexte professionnel, j’utiliserai bien pass avec git si nécessaire.

Comments are closed.