Firefox et stockage des mots de passe

Venez nous en parler, c'est ici que l'on vous conseillera !

Firefox et stockage des mots de passe

Messagede juice » Dim 11 Mar 2018, 20:11

Bonjour à tous.

Je poste à la rubrique problème même si j’ai déjà une alternative, mais je serais curieux d’avoir vos avis sur la démarche et sur
le niveau de sécurité de stockage des mots de passe dans la dernière version de Firefox.

En effet l’ANSSI recommande de ne pas stocker les mots de passe dans le navigateur et ce entre autre, par manque de
robustesse de l’algorithme de dérivation de la clé à partir du mot de passe principal.

La démarche :
Plutôt que de stocker les mots de passe dans le navigateur on peut utiliser un gestionnaire de mot de passe comme KeePass.
Personnellement j’ai plutôt opté pour l’association de pass, un gestionnaire de mot de passe pour *nix, en lignes de commande
(c’est mon côté « vieille école » d’Archlinuxien) et passff une extension pour Firefox qui permet d’accéder au coffre fort
de pass.

Pourquoi pass ? Parce-qu’il utilise gpg pour chiffrer le coffre fort et que j’ai déjà une clé gpg. Le chiffrement du coffre fort repose
sur des algorithmes plus robustes à condition d’avoir bien choisi ses réglages lors de la création de la clé ; passff c’est la cerise
sur le gâteau car ça permet de préremplir les champs login et password de la page web demandant l’authentification.

Pass est disponible dans les dépots officiels de votre distribution. Passff est disponible dans le catalogue de modules de Firefox.

Une fois ces deux composants installés, il faut ajouter à Firefox un petit script python qui permet de faire le lien entre l’extension
et pass via la commande suivante :

Code: Select All Code
curl -sSL https://github.com/passff/passff-host/releases/download/1.0.1/install_host_app.sh | bash -s -- firefox


Les limites :
Cela ne s’applique qu’aux navigateurs. L’essai est aussi concluant sous Chromium mais il faut utilser l’extension browserpass.
Il est aussi important pour faciliter le remplissage automatique des champs que le contenu, le nom des fichiers et l’arborescence
du coffre fort respectent les règles suivantes :

Les fichiers (.gpg) contiennent, dans l’ordre et par ligne :
le mot de passe (obligatoirement),
le nom d’utilisateur (optionnellement),
l’adresse du site (optionnellement).

Si pour un même site, vous avez plusieurs comptes et mots de passe, utilisez un dossier pour ce site :

Password Store
├── domaine1.fr
├── domaine2.bzh
│   ├── login1
│   └── login2

Pour conclure :
Pass est un gestionnaire de mot de passe assez souple pour peu qu’on soit à l’aise avec la ligne de commande. Il existe
cependant une interface graphique pour gérer son coffre fort : qtpass.

Le projet est bien actif. Le fait que le chiffrement repose sur gpg est un vrai atout.

Un article un peu technique mais très intéressant montre les limites du gestionnaire de mot de passe de Firefox et Thunderbird.
Mozilla a-t-il amélioré son niveau sécurité depuis ?
juice
 
Messages: 200
Inscription: Dim 29 Juin 2008, 10:06
Localisation: Oberentzen
Distribution: Archlinux
Niveau: à bulle ?

Re: Firefox et stockage des mots de passe

Messagede renaud » Dim 11 Mar 2018, 20:49

Salut JC,

merci pour ce post très intéressant.

La question de l'actualité de la méthode de chiffrement du gestionnaire de mots de passe est intéressante. Je n'ai pas le temps de la creuser en ce moment mais je suis très intéressé par la réponse. Si quelqu'un a la réponse, merci de partager ;-)

J'utilise en partie le gestionnaire de mots de passe de FF et Thunderbird mais aussi keepassx.
En théorie, Keepass permet de faire du remplissage de formulaires mais je n'y suis pas encore arrivé...

Bref, à creuser !

Renaud
Avatar de l’utilisateur
renaud
 
Messages: 53
Inscription: Mer 11 Juin 2008, 11:06
Localisation: ILLZACH
Distribution: Ubuntu & Debian
Niveau: Padawan ad vitam aeternam

Re: Firefox et stockage des mots de passe

Messagede juice » Dim 11 Mar 2018, 23:21

De la démo qui avait était faite à Wintzenheim, il fallait pour remplir automatiquement les champs « nom d’utilisateur » et « mot de passe » faire
un Ctrl+V lorsqu’on était dans la page web en ayant au préalable sélectionné l’entrée de mot de passe voulue dans KeePass. Sur KeePassX,
l’auto-type ne fonctionne que sur GNU/Linux.

Peut-être trouveras-tu ton bonheur ici
juice
 
Messages: 200
Inscription: Dim 29 Juin 2008, 10:06
Localisation: Oberentzen
Distribution: Archlinux
Niveau: à bulle ?


Retourner vers Un problème ?

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités