Follow

Bonjour @CaisseEpargne !
Est-ce que vous pourriez virer ce f****** de clavier virtuel et remettre un vrai clavier standard ?
C’est une catastrophe en terme de sécu
Contre un hypothétique keylogger/malware (ahahahaha, nope…), j’ai la réalité de la personne juste derrière mon épaule qui voit parfaitement mon code secret…

@aeris La société générale fait pareil malheureusement. :-/

Ça permettra aussi d’utiliser un gestionnaire de mots de passe décent par là même…
Ah oui, et puis du coup remplacez aussi vos mots de passe^W digicode à 5 chiffres (=17 bits de sécu, ahahahaha, nope) par un vrai mot de passe du genre « >_Q5Jw(k=S=^5q$/_x^MHz(x@a8FwIs3@S<Q'I,%2r[XWm[(Y%DP}Rrj~piABy3u » (oui, mes (vrais) mots de passe ressemblent à ça)
Merci pour notre sécurité…

@aeris Oui, enfin… un mot de passe dont tu es certains de ne jamais te rappeler, donc que tu vas stocker dans un gestionnaire de mots de passe, tout ça centralisé sur un seul point…
Je suis pas certain que ce soit si sécuritaire.
Mais tu as raison, c'est chiant ce clavier à la con.
LCL fait la même chose d'ailleurs.

@gegeweb On sait centraliser proprement les choses à ce niveau.
Le mieux, en local + git avec GPG, type browser-pass + password-store
En plus Michu compatible, le cloud avec du 0 knowledge, type LastPass

@aeris Perso j'utilise Passman, sur mon NextCloud.
Mais… si mon NextCloud est corrompus… Bref…

@gegeweb Passman étant en point-à-point, la compromission du NextCloud ne change rien à la sécurité de tes mots de passe. Ils ne quittent jamais ta machine locale en clair, et la sécu globale du système est donc uniquement réduit à la robustesse de ta phrase de passe de déverrouillage.

@aeris
Et s'il n'y avait qu'eux...
Faut que je (re)vérifie, maiy il y a peu, au crédit mutuel, seul les 8 premiers caractères du mot de passe sont pris en compte lors de sa création, les autres, poubelles !

@aeris C'est quoi un gestionnaire de mots de passe décent, pour toi?

@Monolecte LastPass, 1Password, Bitwarden…
Ou mieux, browserpass + password-store !

@aeris Je n'arrive pas à me décider à en installer un. Je ne sais pas assez de choses à ce sujet.

@Monolecte @aeris Bitwarden un des paswdManager OpenSource est multi-client sync et pas mal de petits trucs sympa (entre autre NEO sur iOS)
Et il y a aussi un mode ligne de commande :)

@teslawf @Monolecte Keepass est incapable de gérer de la synchro multi-device. Donc juste nope.

@Monolecte @teslawf Ben si tu as un wallet sur une unique machine et sans navigateur web, pourquoi pas…
Si tu veux une extension fiable ou que tu es multi-devices, juste tu passes à autre chose.

@aeris @Monolecte @teslawf Pour sync la base keepass, j'utilise le gestionnaire de fichiers de keybase, et keepassxc sur linux. Ça marche assez bien, sauf pour android

@T3hty @Monolecte @teslawf Quand je parle synchro, je parle merge/conflit surtout. Échanger des fichiers bruts, on sait faire depuis 1970.
Savoir intégrer sur le device X le mot de passe modifié sur Y sans perdre ce qui a été changé sur X depuis, keepass ne sait pas faire.

@T3hty @Monolecte @teslawf Et du coup soit tu te limites à toujours faire une synchro avant chaque modification (hint : c’est impossible, au moins cas de l’accès offline), soit tu risques à tout moment un conflit dans la db et de faire de la merde…

@aeris @T3hty @Monolecte j'ai jamais 2 machines qui ont besoin de keepass en même temps, donc la synchro du fichier sur nextcloud me va très bien.

@teslawf @aeris @Monolecte Me semblais que justement Keepass gérait le cas de conflit entre plusieurs modification. Après comme il est paramétré pour sauvegarder dès qu'il verrouille la base, et un verrouillage automatique au bout de 3 minutes, je n'ai jamais eu de problèmes

@T3hty @teslawf @Monolecte Je ne vois pas comment il peut faire sachant que c’est un unique fichier binaire et que donc pour le transférer sur un autre PC, ça sera tout au rien, il n’y a pas de possibilité de sauvegarde incrémentale…

@aeris @teslawf @Monolecte Justement, avec Keybase, c'est le même fichier. Et pour l'écriture concurrente dans ce fichier, keepass utilise des transactions

@teslawf @T3hty @Monolecte Tu n’as pas besoin d’avoir un accès simultané pour que ça merde.
Tu es en vadrouille sur lappy, ta banque te demande de changer de pass. Tu oublies de push/resync une fois rentré à localhost. Tu ajoutes un autre site sur desktop. Fail…

@aeris @teslawf @T3hty @Monolecte C'est pour ça que pour moi c'est dans la synchro automatique de nextcloud.

@R1Rail @teslawf @T3hty @Monolecte Ce qui ne fonctionne que si tu as du résal… Et pas 2 clients ouverts en même temps… Etc.
Bref, pas utilisable par Mr Michu.

@R1Rail @aeris @T3hty @Monolecte voilà, pas de possibilité d'oublier, ça synchro tout seul

@teslawf @R1Rail @T3hty @Monolecte Ça synchro tout seul. Mais au niveau FS. Qui peut conduire à PLEIN de merde au niveau keepass.
Si tu fais ça, tu dois avoir en permanence conscience que le truc tourne et que tu ne dois pas faire n’importe quoi. Tu dois t’interdire certains trucs pourtant naïf quand tu veux utiliser un gestionnaire de mot de passe en 2018.

@teslawf @R1Rail @T3hty @Monolecte En l’état, synchro keepass(X) = risque de corruption de la base de données, conduisant au mieux à la perte des X dernières modifications effectuées sur le device Y, au pire à la perte intégrale de la base.
Dans tous les cas, inutilisable…

@aeris @teslawf @T3hty @Monolecte

Bon mais maintenant
1) il n'est pas question de passer par un service de stockage je dois être le seul à avoir accès à la base, et pas question de "créer un compte" où que ce soit. Ça fous à la poubelle Lastpass, 1Password et bitwarden.
2) Dois marcher sur Android, windowqs linux et FreeBSD : ça fous à la poubelle passwordstore.

Je reste avec keepass...

@R1Rail @teslawf @T3hty @Monolecte LastPass n’a aucun accès à tes données. C’est du 0knowledge, tes mots de passe ne quittent jamais ton PC non chiffrés. Recommandé par Snowden.

@aeris @R1Rail @T3hty @Monolecte le Vault est casse-couilles, bugué, nécessite les cookies tiers, j'en ai vite eu marre.

@R1Rail @teslawf @T3hty @Monolecte Techniquement parlant, passwordstore fonctionne partout où fonctionne GPG. Donc ça doit passer partout, manque juste les applis.

@aeris @teslawf @T3hty @Monolecte soft non maintenu qui commence par te parkler arcanes git voir la doc de git-cloine, n'utiliser que des "bare reporsitories".

Réservé aux devs qui utilisent git tous les jours, pas pour moi.

@aeris @R1Rail @teslawf @T3hty @Monolecte Même si gpg fonctionne sur MS-Windows ou Android, c'est moi qui ne suis pas prêt à l'y utiliser !

@ThTh @R1Rail @teslawf @T3hty @Monolecte Ici pour du chiffrement de fichier, ça fait parfaitement le job.
C’est juste pour le mail que c’est l’enfer comme pas possible à cause de la nécessité de s’échanger des clefs…

@aeris @teslawf @T3hty @Monolecte

D'ov l'idée d'avoir le fichier svr le nvage perso et alors pas de synchro, c'est le mesme fichier qvi est vtilisé partovt. Non ?

@Lovis_IX @aeris @teslawf @Monolecte c'est le cas de keybase, qui est une syncro de répertoire, ça évite d'avoir à héberger un cloud

@T3hty @aeris @teslawf @Monolecte

Il favt bien accéder av répertoire en qvestion depvis tovs les périphériqves concernés, il doit donc y avoir vn partage qvelqve part non ?

@Lovis_IX @teslawf @T3hty @Monolecte Ça peut aussi poser plein de problème si les 2 systèmes y écrivent en même temps…

@aeris @teslawf @T3hty @Monolecte jamais eu de soucis sur mes synchro de db keepass .. jamais tenté de modif la même entrée sur plusieurs babasse mais je vois peu de cas pratiques qui ont besoin de ça

@Spyou @teslawf @T3hty @Monolecte Même sans parler de modifier la même entrée.
Il suffit de modifier *une* entrée sur 2 périphériques pour que la synchro perde l’une ou l’autre des modifs.
Parce que la synchro va synchro l’ensemble du gros fichier de DB sur le filesystem…

@Spyou @teslawf @T3hty @Monolecte
Si tu tu modifies le site A sur le device A, et le site B sur B, alors ta synchro va soit conduire à l’ancien A et le nouveau B (si A récupère la modif de B) soit le nouveau A et l’ancien B (si B récupère la modif de A), mais jamais le nouveau A *ET* le nouveau B (il faudrait que la synchro se fasse au niveau des entrées keepass pour ça).

@aeris @Spyou @teslawf @Monolecte pas sous keepass. Si tu syncro les deux fichiers, tu auras les deux entrées correctes (que ça soit sur le même fichier, ou syncro explicite de deux fichiers)

@T3hty @Spyou @teslawf @Monolecte Je ne vois pas comment c’est possible.
Owncloud/whatever ne sait *PAS* ce que contient le fichier.
Si pour une raison ou une autre, tu n’as *PAS* fait la synchro sur B alors qu’il y a une modif en attente en provenance de A, alors B va créer un fichier A'≠A, ne contenant *PAS* la modif A. Et la synchro va se faire.
Et lorsque A va du coup faire la synchro, il va récupérer A', contenant la modif B mais *PAS* la modif A…

@T3hty @Spyou @teslawf @Monolecte Cas typique que je n’ai que trop connu : fichier keepass sur mon desktop et mon lappy.
Modifs faites sur mon desktop, synchros régulières, pas de souci.
Démarrage de mon lappy chez un client, sans réels accès réseau (en tout cas, la synchro tu oublies). Modification de 2 ou 3 entrées keepass.
Arrivée à la maison, nettoyage du lappy, la synchro se fait… Et l’intégralité de toutes les modifications antérieures au dernier démarrage du lappy est perdue !!!

@T3hty @Spyou @teslawf @Monolecte
En fait tu es typiquement dans le cas d’un merge commit git.
Ton desktop et ton lappy connaissent A…E.
Ton desktop ajoute E…M, ton lappy fait lui E…M'. Et donc sans merge (logiciel donc, et pas FS), soit tu finiras avec A…E…M, soit avec A…E…M', mais dans tous les cas, tu perdra une des 2 branches…

Soit la synchro au niveau FS conduit

@T3hty @Spyou @teslawf @Monolecte En tout cas, la PR est toujours en cours niveau KeepassX, et tant que la synchro se fera uniquement au niveau FS, il y aura de toute façon toujours le problème (synchro de l’intégralité d’un des 2 fichiers, sans tenir compte des modifs apparus dans l’autre)

@aeris @Spyou @teslawf @Monolecte quand je parles syncro, c'est la syncro interne à keepass, la syncro sur un *cloud n'est qu'un écrasement de fichiers

@aeris @T3hty @Spyou @Monolecte c'est pas la peine de se battre. Chacun a son usage et l'outil qui correspond. J'accède très peu au fichier avec mon laptop, donc c'est pas un problème pour moi.

@teslawf @T3hty @Spyou @Monolecte Ça dépend beaucoup des usages oui.
Mais mettre dans les mains d’un utilisateur standard un outil qui ne gère pas ce cas d’usage, c’est du suicide pur et simple.

@aeris @teslawf @Monolecte

Pourquoi ne pas considérer séparément la question de la synchro et celle de la qualité intrinsèque du gestionnaire ?

@cedesguin @aeris @teslawf Il y a de bons articles didactiques pour faire un choix éclairé?

@cedesguin @teslawf @Monolecte Parce que dans les 2 cas Keepass ne fait plus du tout le poids ?

Sign in to participate in the conversation
Mastodon

PARCE QUE C’EST MON INSTANCE !