Bonjour @CaisseEpargne !
Est-ce que vous pourriez virer ce f****** de clavier virtuel et remettre un vrai clavier standard ?
Câest une catastrophe en terme de sĂ©cu
Contre un hypothĂ©tique keylogger/malware (ahahahaha, nopeâŠ), jâai la rĂ©alitĂ© de la personne juste derriĂšre mon Ă©paule qui voit parfaitement mon code secretâŠ
Ăa permettra aussi dâutiliser un gestionnaire de mots de passe dĂ©cent par lĂ mĂȘmeâŠ
Ah oui, et puis du coup remplacez aussi vos mots de passe^W digicode à 5 chiffres (=17 bits de sécu, ahahahaha, nope) par un vrai mot de passe du genre « >_Q5Jw(k=S=^5q$/_x^MHz(x@a8FwIs3@S<Q'I,%2r[XWm[(Y%DP}Rrj~piABy3u » (oui, mes (vrais) mots de passe ressemblent à ça)
Merci pour notre sĂ©curitĂ©âŠ
@aeris C'est quoi un gestionnaire de mots de passe décent, pour toi?
@Monolecte LastPass, 1Password, BitwardenâŠ
Ou mieux, browserpass + password-store !
@aeris @Monolecte ou Keepass avec synchro cloud perso
@teslawf @Monolecte Keepass est incapable de gérer de la synchro multi-device. Donc juste nope.
@Monolecte @teslawf Ben si tu as un wallet sur une unique machine et sans navigateur web, pourquoi pasâŠ
Si tu veux une extension fiable ou que tu es multi-devices, juste tu passes Ă autre chose.
@aeris @Monolecte @teslawf Pour sync la base keepass, j'utilise le gestionnaire de fichiers de keybase, et keepassxc sur linux. Ăa marche assez bien, sauf pour android
@T3hty @Monolecte @teslawf Quand je parle synchro, je parle merge/conflit surtout. Ăchanger des fichiers bruts, on sait faire depuis 1970.
Savoir intégrer sur le device X le mot de passe modifié sur Y sans perdre ce qui a été changé sur X depuis, keepass ne sait pas faire.
@T3hty @Monolecte @teslawf Et du coup soit tu te limites Ă toujours faire une synchro avant chaque modification (hint : câest impossible, au moins cas de lâaccĂšs offline), soit tu risques Ă tout moment un conflit dans la db et de faire de la merdeâŠ
@teslawf @T3hty @Monolecte Tu nâas pas besoin dâavoir un accĂšs simultanĂ© pour que ça merde.
Tu es en vadrouille sur lappy, ta banque te demande de changer de pass. Tu oublies de push/resync une fois rentrĂ© Ă localhost. Tu ajoutes un autre site sur desktop. FailâŠ
@R1Rail @teslawf @T3hty @Monolecte Ce qui ne fonctionne que si tu as du rĂ©sal⊠Et pas 2 clients ouverts en mĂȘme temps⊠Etc.
Bref, pas utilisable par Mr Michu.
@R1Rail @aeris @T3hty @Monolecte voilà , pas de possibilité d'oublier, ça synchro tout seul
@teslawf @R1Rail @T3hty @Monolecte Ăa synchro tout seul. Mais au niveau FS. Qui peut conduire Ă PLEINÂ de merde au niveau keepass.
Si tu fais ça, tu dois avoir en permanence conscience que le truc tourne et que tu ne dois pas faire nâimporte quoi. Tu dois tâinterdire certains trucs pourtant naĂŻf quand tu veux utiliser un gestionnaire de mot de passe en 2018.
@teslawf @R1Rail @T3hty @Monolecte En lâĂ©tat, synchro keepass(X) = risque de corruption de la base de donnĂ©es, conduisant au mieux Ă la perte des X derniĂšres modifications effectuĂ©es sur le device Y, au pire Ă la perte intĂ©grale de la base.
Dans tous les cas, inutilisableâŠ
@aeris @teslawf @T3hty @Monolecte
Bon mais maintenant
1) il n'est pas question de passer par un service de stockage je dois ĂȘtre le seul Ă avoir accĂšs Ă la base, et pas question de "crĂ©er un compte" oĂč que ce soit. Ăa fous Ă la poubelle Lastpass, 1Password et bitwarden.
2) Dois marcher sur Android, windowqs linux et FreeBSD : ça fous à la poubelle passwordstore.
Je reste avec keepass...
@R1Rail @teslawf @T3hty @Monolecte LastPass nâa aucun accĂšs Ă tes donnĂ©es. Câest du 0knowledge, tes mots de passe ne quittent jamais ton PC non chiffrĂ©s. RecommandĂ© par Snowden.
@aeris @R1Rail @T3hty @Monolecte le Vault est casse-couilles, bugué, nécessite les cookies tiers, j'en ai vite eu marre.
@R1Rail @teslawf @T3hty @Monolecte Techniquement parlant, passwordstore fonctionne partout oĂč fonctionne GPG. Donc ça doit passer partout, manque juste les applis.
@R1Rail @teslawf @T3hty @Monolecte Dâailleurs ça tourne sans souci sous Android : https://github.com/zeapo/Android-Password-Store
@R1Rail @teslawf @T3hty @Monolecte Pareil sous Windows : https://github.com/Baggykiin/pass-winmenu
@R1Rail @teslawf @T3hty @Monolecte Le format de fichier est tellement simple (filesystem standard avec 1 fichier par compte + gpg + git/rsync/owncloud/whatever) que ça sera supportĂ© absolument partout facilement, et que la synchro est out-of-the-box mĂȘme avec des synchros « dĂ©biles » (owncloud/rsync) (vu que 1 compte = 1 fichier, conflit quasi-impossible)
@aeris @teslawf @T3hty @Monolecte
Mouais gpg + git + ... sous windowss c'est pas pour moi.
Du tout.
Et encore moins sous android.
Quand au 1 cpte = 1 fichier, donc le nom du "compte" est en clair ? et on peut mettre autre chose qu'un user/mot de passe dedans ?
@R1Rail @teslawf @T3hty @Monolecte Tu peux mettre tout ce que tu veux dedans. Et en nom du fichier, tu y mets ce que tu veux, lâidĂ©al Ă©tant quand mĂȘme dây mettre le domaine concernĂ© đ
@R1Rail @teslawf @T3hty @Monolecte Le login peut ĂȘtre soit dans le nom de fichier, soit dans la donnĂ©e chiffrĂ©e (« login: xxx »).
Le fichier lui-mĂȘme contient le mot de passe sur la 1Ăšre ligne, et tout ce que tu veux derriĂšre.
Ăa supporte aussi nativement les otp (via browserpass).
@R1Rail @teslawf @T3hty @Monolecte Le cas du login dans le nom de fichier permet surtout de gĂ©rer les services oĂč tu as plusieurs comptes dessus. Exemple chez moi avec twitter.
@aeris @teslawf @T3hty @Monolecte Alors OTP y'a pas QUE dans le browser qu'on en a besoin... Et c'ets bien de pouvoir générer sur le téléphone dans certains cas. Pour le format de fichier tu as donc une info qui retse publique, pas forcément extra.
@R1Rail @teslawf @T3hty @Monolecte Qui stocke ses fichiers sur un disque non chiffrĂ© de toute façon ? đ€ đ
@aeris @teslawf @T3hty @Monolecte Ah et ça passe la synchro nextcloud sous android ? Parceque j'ai essayé de synchor ma musique et ça a été une cata complÚte.
@aeris @teslawf @T3hty @Monolecte soft non maintenu qui commence par te parkler arcanes git voir la doc de git-cloine, n'utiliser que des "bare reporsitories".
Réservé aux devs qui utilisent git tous les jours, pas pour moi.
@aeris @R1Rail @teslawf @T3hty @Monolecte MĂȘme si gpg fonctionne sur MS-Windows ou Android, c'est moi qui ne suis pas prĂȘt Ă l'y utiliser !
@ThTh @R1Rail @teslawf @T3hty @Monolecte Ici pour du chiffrement de fichier, ça fait parfaitement le job.
Câest juste pour le mail que câest lâenfer comme pas possible Ă cause de la nĂ©cessitĂ© de sâĂ©changer des clefsâŠ
@aeris
On n'échange que des clefs publiques. Donc publiables et faciles à trouver : http://pool.sks-keyservers.net:11371/
Ăa n'a rien d'infernal.
@cedesguin Sisi, je tâassure que câest totalement infernal. Vraiment.
@cedesguin Jâai passĂ© 8h dans une salle avec 20 Ă©lĂšves-ingĂ©nieurs. Ă la sortie, 2 seulement avaient fait le nĂ©cessaire.
Les autres, la clef privĂ©e avait fini chez le voisin, ou alors ils avaient signĂ©s des clefs malware, ou les outils de mail Ă©taient mal configurĂ©s (au pif les corps HTML non signĂ©s/chiffrĂ©sâŠ), etc.
Ce nâest pas pour rien quâon a abandonnĂ© GPG dans les CVP.
@aeris @teslawf @T3hty @Monolecte jamais eu de soucis sur mes synchro de db keepass .. jamais tentĂ© de modif la mĂȘme entrĂ©e sur plusieurs babasse mais je vois peu de cas pratiques qui ont besoin de ça
@Spyou @teslawf @T3hty @Monolecte MĂȘme sans parler de modifier la mĂȘme entrĂ©e.
Il suffit de modifier *une* entrĂ©e sur 2 pĂ©riphĂ©riques pour que la synchro perde lâune ou lâautre des modifs.
Parce que la synchro va synchro lâensemble du gros fichier de DB sur le filesystemâŠ
@Spyou @teslawf @T3hty @Monolecte
Si tu tu modifies le site A sur le device A, et le site B sur B, alors ta synchro va soit conduire Ă lâancien A et le nouveau B (si A rĂ©cupĂšre la modif de B) soit le nouveau A et lâancien B (si B rĂ©cupĂšre la modif de A), mais jamais le nouveau A *ET* le nouveau B (il faudrait que la synchro se fasse au niveau des entrĂ©es keepass pour ça).
@aeris @Spyou @teslawf @Monolecte pas sous keepass. Si tu syncro les deux fichiers, tu auras les deux entrĂ©es correctes (que ça soit sur le mĂȘme fichier, ou syncro explicite de deux fichiers)
@T3hty @Spyou @teslawf @Monolecte Je ne vois pas comment câest possible.
Owncloud/whatever ne sait *PAS* ce que contient le fichier.
Si pour une raison ou une autre, tu nâas *PAS* fait la synchro sur B alors quâil y a une modif en attente en provenance de A, alors B va crĂ©er un fichier A'â A, ne contenant *PAS* la modif A. Et la synchro va se faire.
Et lorsque A va du coup faire la synchro, il va rĂ©cupĂ©rer A', contenant la modif B mais *PAS* la modif AâŠ
@T3hty @Spyou @teslawf @Monolecte Cas typique que je nâai que trop connu : fichier keepass sur mon desktop et mon lappy.
Modifs faites sur mon desktop, synchros réguliÚres, pas de souci.
Démarrage de mon lappy chez un client, sans réels accÚs réseau (en tout cas, la synchro tu oublies). Modification de 2 ou 3 entrées keepass.
ArrivĂ©e Ă la maison, nettoyage du lappy, la synchro se fait⊠Et lâintĂ©gralitĂ© de toutes les modifications antĂ©rieures au dernier dĂ©marrage du lappy est perdue !!!
@T3hty @Spyou @teslawf @Monolecte
En fait tu es typiquement dans le cas dâun merge commit git.
Ton desktop et ton lappy connaissent AâŠE.
Ton desktop ajoute EâŠM, ton lappy fait lui EâŠM'. Et donc sans merge (logiciel donc, et pas FS), soit tu finiras avec AâŠEâŠM, soit avec AâŠEâŠM', mais dans tous les cas, tu perdra une des 2 branchesâŠ
Soit la synchro au niveau FS conduit
@T3hty @Spyou @teslawf @Monolecte En tout cas, la PR est toujours en cours niveau KeepassX, et tant que la synchro se fera uniquement au niveau FS, il y aura de toute façon toujours le problĂšme (synchro de lâintĂ©gralitĂ© dâun des 2 fichiers, sans tenir compte des modifs apparus dans lâautre)
@aeris @Spyou @teslawf @Monolecte KeepassX n'est plus maintenue. Et pour ce qui est de son remplaçant, KeepassXC, je ne sais pas si ça a été fait. C'est pour ça que je fais la syncro qu'avec keepass quand c'est nécessaire
@T3hty @Spyou @teslawf @Monolecte Que ça soit keepass ou X ou XC, je ne vois de toute façon pas comment de la synchro au niveau FS peut gérer du multi-device proprement.
Le fichier va *forcĂ©ment* ĂȘtre Ă©crasĂ© en intĂ©gralitĂ©, sans autoriser de merge applicatif.
@aeris @Spyou @teslawf @Monolecte synchronisation des entrées une fois les deux fichiers dechiffrés, c'est ce que fait keepass
@T3hty @Spyou @teslawf @Monolecte Oui, sauf que lĂ on parle dâune synchro au niveau FS hein.
Tu nâas JAMAIS les 2 fichiers dĂ©chiffrĂ©s en mĂȘme temps⊠Puisque ton outil de synchro va tâĂ©craser lâancien bien violammentâŠ
@T3hty @Spyou @teslawf @Monolecte Donc oui, on peut Ă©ventuellement peut-ĂȘtre un jour si tout va bien faire du merge avec des fichiers keepass. Ăa nĂ©cessite forcĂ©ment un outil de synchro custom, on ne peut pas se baser sur du owncloud/rsync/syncthing/dropbox & autre. Il faut forcĂ©ment quelque chose de custom.
@aeris @Spyou @teslawf @Monolecte ou avoir un trigger sur keepass qui, en fermant et/ou ouvrant une base local, synchro ses entrées avec une copie de la base sur un *cloud, les entrées seront toujours à jour
@T3hty @Spyou @teslawf @Monolecte Ăa demande du dev pour gĂ©rer ça, et ce nâest actuellement pas le cas.
@aeris @Spyou @teslawf @Monolecte pas besoin de dev, les triggers sont intĂ©grĂ©s Ă keepass. Mais pas dans keepassxc, donc ça reste une solution windows only, je ne suis mĂȘme pas sur que keepassxc intĂšgre la synchro des entrĂ©es
@T3hty @Spyou @teslawf @Monolecte Si, il faut quand mĂȘme du dev spĂ©cifique pour intĂ©grer owncloud/syncthing/dropbox ou autre dans la boucleâŠ
@T3hty @Spyou @teslawf @Monolecte Parce quâavoir les triggers câest bien, mais sâil nâa pas les logins du owncloud et les appels webdav (ou rest pour dropbox) nĂ©cessaires Ă sa petite dance de synchro, câest juste mort đ
@aeris @Spyou @teslawf @Monolecte Il est possible de passer en paramĂštres des triggers les identifiants, et keepass fait du webdav, et pour dropbox il existe un plugin
@aeris @Spyou @teslawf @Monolecte quand je parles syncro, c'est la syncro interne à keepass, la syncro sur un *cloud n'est qu'un écrasement de fichiers
@aeris @T3hty @Spyou @Monolecte c'est pas la peine de se battre. Chacun a son usage et l'outil qui correspond. J'accĂšde trĂšs peu au fichier avec mon laptop, donc c'est pas un problĂšme pour moi.
@teslawf @T3hty @Spyou @Monolecte Ăa dĂ©pend beaucoup des usages oui.
Mais mettre dans les mains dâun utilisateur standard un outil qui ne gĂšre pas ce cas dâusage, câest du suicide pur et simple.
@aeris @teslawf @T3hty @Monolecte C'est pour ça que pour moi c'est dans la synchro automatique de nextcloud.