web-dev-qa-db-fra.com

Existe-t-il un bon moyen de stocker des informations d'identification en dehors d'un gestionnaire de mots de passe?

De nombreux utilisateurs de mon entreprise utilisent leurs agendas pour noter leur mot de passe et leurs noms d'utilisateur, ou des feuilles Excel avec un mot de passe protégé. J'hésite à installer un logiciel de gestion des mots de passe après avoir lu les recommandations/commentaires à leur sujet. Existe-t-il une autre solution sécurisée et conviviale pour stocker les mots de passe?

47
Hajar Qh

Installez un gestionnaire de mots de passe. Un bon gestionnaire de mots de passe est bien meilleur que tout ce que vous pouvez faire par vous-même.

Ils sont des logiciels créés par des professionnels de la sécurité, suivent des règles de développement strictes et sont testés par beaucoup de gens et attaqués par beaucoup de gens. Ils ont plus de chances de protéger vos mots de passe que tout ce qui a été inventé par l'utilisateur moyen, même supérieur à la moyenne.

110
ThoriumBR

Vous faites probablement référence aux récents articles sur les failles des gestionnaires de mots de passe.

Son juste là dans les titres, les gestionnaires de mots de passe ont des défauts et vous devriez toujours en utiliser un parce qu'ils sont plus sécurisés que ce que font beaucoup de gens, comme garder les mots de passe dans Excel, les envoyer par courrier électronique, les coller dans le chat où ils seront enregistrés par tout le monde ...

Tous les logiciels ont des défauts. Les gestionnaires de mots de passe, et les logiciels de sécurité en général, sont soumis à des normes plus élevées que les logiciels courants. Les défauts dont parlent ces articles dans les gestionnaires de mots de passe ne sont pas des erreurs de débutant, mais des compromis à risque.

1Password a un article sur le dernier défaut ainsi que ne discussion approfondie sur leurs forums . Ce n'est pas une erreur car c'est la conséquence d'un compromis pour éviter d'autres pires problèmes de mémoire. Le plus important est que votre ordinateur doit déjà être compromis et que vous avez récemment tapé votre mot de passe principal. Comme jpgoldberg de 1Password l'a mis ...

... nous devons considérer que pour permettre une attaque, l'attaquant doit

  1. Être en mesure de lire la mémoire du processus 1Password lorsque 1Password est verrouillé
  2. Ne pas être en mesure de lire la mémoire du processus 1Password lorsque 1Password est déverrouillé.

Le numéro 1 exige que l'attaquant ait déjà sérieusement compromis l'appareil. Le numéro 2 signifie que l'attaquant (qui a sérieusement compromis votre appareil) n'a ce contrôle qu'à des moments étrangement limités.

Si votre ordinateur est déjà si compromis, un attaquant peut lire la mémoire du processus de 1Password, il n'a pas besoin de cet exploit. Ils peuvent simplement attendre que 1Password se déverrouille.

Et si votre ordinateur est compromis, conserver vos mots de passe dans une feuille de calcul Excel ne vous offre aucune protection.


Les gestionnaires de mots de passe peuvent ajouter d'autres éléments à votre sécurité.

  • Partagez et gérez vos mots de passe entre tous vos appareils, y compris les appareils mobiles.
  • Partagez et gérez les mots de passe et les informations d'identification avec des collègues.
  • Stockez plus que de simples mots de passe en toute sécurité.
    • Clés et mots de passe GPG et SSH
    • Mot de passe unique générateurs
    • Clés de récupération
    • Questions de sécurité
    • Clés API
    • Remarques
    • Cartes de crédit (sans doute mieux que de les enregistrer sur des sites Web)
    • Comptes bancaires
    • Adhésion
    • Licences logicielles
  • Vous informer des mots de passe non sécurisés
    • Mots de passe réutilisés
    • Failles de mot de passe
  • Générez des mots de passe sécurisés
  • Mots de passe à remplissage automatique (évite d'être surfé sur l'épaule )
  • Enregistrer automatiquement de nouveaux comptes
  • Protection contre les ransomwares (si elle stocke votre coffre-fort ailleurs)

Ceux-ci évitent les mauvaises pratiques telles que la réutilisation de mots de passe, l'utilisation de mots de passe faibles, le partage par e-mail ou chat ou un document partagé, leur écriture (que ce soit sur papier ou dans un fichier) et la poursuite de l'utilisation de mots de passe violés.

62
Schwern

L'endroit le plus sûr pour stocker un mot de passe est nulle part. Il doit s'agir d'un jeton sécurisé qui n'existe que dans la mémoire du titulaire. Malheureusement, beaucoup utilisent un mot de passe trop simple et peu sûr, afin de le rendre plus facile à mémoriser. En revanche, les mots de passe plus sécurisés sont plus difficiles à retenir (pour la plupart des gens).

Si vous ne pouvez pas compter sur votre mémoire, vous devez absolument utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe empêchent même l'accès physique de compromettre vos mots de passe. Un petit livre de mots de passe physique ne vaut que la serrure de votre porte, ce qui est beaucoup moins sûr qu'un mot de passe principal pour un gestionnaire de mots de passe stocké uniquement dans votre mémoire.

8
owacoder

Sûr! Voici un schéma qui ne sera pas compromis très souvent, s'il est exécuté parfaitement [1]:

  1. Gardez une liste des sites pour lesquels vous avez des mots de passe. Mettez-le dans un endroit suffisamment sécurisé. [2]

  2. Gardez une liste de mots de passe. Gardez-le plié dans votre portefeuille. Soyez vigilant lorsque vous l'ouvrez lorsque vous ouvrez votre portefeuille ou lorsque vous utilisez un mot de passe à partir de celui-ci. Détruisez les mots de passe que vous avez mémorisés.

  3. Si votre portefeuille est perdu ou volé, profitez de l'énorme mal de tête de changer tous vos mots de passe.

Donc, à peu près ce que fait un gestionnaire de mots de passe de base - mémorisation, mappage vers des sites et confidentialité. C'est juste beaucoup plus de travail que d'utiliser un gestionnaire de mots de passe. Si vous faites des erreurs, cela devient beaucoup moins sûr que d'utiliser un gestionnaire de mots de passe. Compte tenu de la faillibilité humaine, un gestionnaire de mots de passe est peut-être mieux?

[1]: Le principal Ding contre ce schéma est que vous finirez par ne plus vous entraîner à le faire, et ce sera un énorme gâchis lorsque vous devrez réellement changer de mot de passe.

[2]: "suffisamment sécurisé" variera considérablement en fonction de vos besoins. Êtes-vous une personne ennuyeuse qui enregistre ses références bancaires? Un coffre-fort dans votre sous-sol est probablement parfait. Vous cachez-vous à la NSA? Honnêtement, ce schéma n'est probablement pas suffisant.

Le chiffrement dans les documents Microsoft Office est assez bon et sécurisé à toutes fins utiles, tant que vous n'ouvrez pas le document et que vous n'avez pas de certificat de sécurité poussé par un administrateur informatique.

Il offre des points faibles

https://docs.Microsoft.com/en-us/deployoffice/security/remove-or-reset-file-passwords-in-office

Auparavant, si le créateur d'origine d'un mot de passe de fichier avait oublié le mot de passe ou quitté l'organisation, le fichier était devenu irrécupérable. En utilisant Office 2016 et une clé d'entiercement, qui est générée à partir du magasin de certificats de clé privée de votre entreprise ou organisation, un administrateur informatique peut "déverrouiller" le fichier pour un utilisateur, puis laisser le fichier sans protection par mot de passe ou attribuer un nouveau mot de passe à le fichier. Vous, l'administrateur informatique, êtes le détenteur de la clé d'entiercement générée à partir du magasin de certificats de clé privée de votre entreprise ou organisation. Vous pouvez transmettre en mode silencieux les informations de clé publique aux ordinateurs clients une fois via un paramètre de clé de Registre que vous pouvez créer manuellement ou vous pouvez le créer via un script de stratégie de groupe. Lorsqu'un utilisateur crée ultérieurement un fichier Word, Excel ou PowerPoint protégé par mot de passe, cette clé publique est incluse dans l'en-tête du fichier. Plus tard, un professionnel de l'informatique peut utiliser l'outil Office DocRecrypt pour supprimer le mot de passe qui est joint au fichier, puis, éventuellement, protéger le fichier en utilisant un nouveau mot de passe. Pour ce faire, l'IT pro doit disposer de tous les éléments suivants:

Le responsable informatique ou une personne ayant accès aux certificats racine peut décrypter tous les documents. Donc, si un attaquant malveillant pouvait y accéder, il pourrait décrypter tous les documents protégés par mot de passe.

Il y a le problème secondaire des fichiers temporaires Microsoft Office. Au moment où le fichier est ouvert dans Microsoft Office et le mot de passe correct est entré, Microsoft Office crée un fichier temporaire qui affiche le contenu. Quiconque accède à ce fichier peut simplement le sélectionner et voir le contenu dans le volet d'aperçu de l'Explorateur Windows tant que quelqu'un l'a ouvert.

Dans la plupart des réseaux Windows, il est possible de simplement parcourir le PC d'un collègue et de regarder les documents sur son PC ou tout partage sur lequel ils peuvent avoir ces documents.

Donc, en soi, cela peut sembler sûr à première vue, mais en bas, quelqu'un n'a qu'à infecter un poste de travail avec un programme qui attend que tous les documents cryptés auxquels il a accès soient ouverts, puis il suffit de lire le contenu du temp fichier. Et la plupart des gens laisseront ce document de mot de passe ouvert en arrière-plan une fois ouvert.

La plupart des gestionnaires de mots de passe ont des protections en place pour décrypter uniquement lorsque cela est nécessaire, puis stocker le mot de passe pendant un court instant dans le presse-papiers avant de l'écraser, minimisant ainsi l'exposition possible du mot de passe.

En comparaison, les gestionnaires de mots de passe offrent plus de sécurité.

3
Tschallacka

Je recommande toujours vivement d'utiliser un gestionnaire de mots de passe. Si cela est impossible et que toutes les conditions suivantes sont remplies:

  • Les gens peuvent choisir leurs propres mots de passe.
  • Personne n'a à partager ses mots de passe.
    • (Les fichiers Excel protégés rendent cela peu probable.)

... alors vous pourriez suggérer un Password Card à garder dans leur portefeuille.

Sheneir sur Notez votre mot de passe :

Jesper Johansson de Microsoft a exhorté les gens à noter leurs mots de passe.

C'est un bon conseil, et je le dis depuis des années.

Simplement, les gens ne peuvent plus se souvenir des mots de passe suffisamment bien pour se défendre de manière fiable contre les attaques par dictionnaire, et sont beaucoup plus sûrs s'ils choisissent un mot de passe trop compliqué à retenir, puis l'écrivent. Nous sommes tous bons pour sécuriser de petits morceaux de papier. Je recommande aux gens d'écrire leur mot de passe sur un petit morceau de papier et de le conserver avec leurs autres petits morceaux de papier précieux: dans leur portefeuille.

2
Billal Begueradj

Votre seule solution est de sélectionner des mots de passe difficiles à briser mais faciles à retenir, vous n'avez donc pas besoin de les écrire n'importe où!

Mais sérieusement, vous pouvez peut-être demander à votre support informatique d'installer un serveur de gestion des mots de passe pour toute votre entreprise, alors vous n'avez pas besoin d'en installer un sur votre machine.

1
Paris

Une feuille de calcul chiffrée avec un mot de passe (par exemple dans Excel 2016) utilisera par défaut " ECMA-376 Document Encryption " qui utilise le chiffrement AES-256 bits. À condition que le mot de passe ne soit pas un mot du dictionnaire, il ne serait ni meilleur ni pire que tout autre gestionnaire de mots de passe du point de vue du risque de données.

La feuille de calcul serait conforme à la norme FIPS-140-2 et vous respecteriez la majorité des lois de chiffrement si la clé ou le lecteur devait être effacé avec la méthodologie d'effacement sécurisé comme indiqué dans NIST 800-88.

Pour un utilisateur gérant quelques mots de passe, je ne vois pas de problème à court terme avec Excel et un mot de passe, ni un problème juridique.

À long terme , une solution de coffre-fort de mot de passe qui permet la rotation de check-in/check-out, comme CyberArk ou Thycotic serait beaucoup mieux avec la journalisation et d'autres capacités. Quelque chose d'autre à regarder gratuitement et simplement est Buttercup .

1
opsecwin

Beaucoup recommandent des gestionnaires de mots de passe. Je ne suis pas en désaccord, c'est en effet un bon conseil, mais il y a une autre possibilité.

Il est assez faisable de leur permettre d'enregistrer des informations sur où trouver le mot de passe sans affaiblir considérablement l'intégrité du mot de passe - pour la plupart des vecteurs d'attaque. Demandez à chacun d'apporter un livre personnel (pensez: Alice au pays des merveilles ou quelque chose), qui sont conservés ensemble dans une seule étagère et faites de chaque mot de passe une combinaison de 3-4 mots du livre. Vous pouvez ensuite écrire où vous voulez le numéro de page, le numéro de ligne et le numéro de mot de ces mots. Oui, la recherche de mot de passe sera plus lente mais cela augmentera la sécurité de vos mots de passe contre les tentatives de force brute, cela garantira qu'un accès physique au bureau est nécessaire, ainsi qu'un who's-book-is-qui brisera le code en plus à l'accès électronique à leur mot de passe "stocké". Il s'agit d'une énorme amélioration par rapport au stockage des mots de passe en texte brut dans un fichier sur le poste de travail - qui ne nécessite qu'une seule tentative de phishing réussie pour fonctionner.

En prime, les mots de passe sont plus sûrs et plus faciles à mémoriser. xkcd obligatoire

Mais, encore une fois, s'ils ne peuvent pas être dérangés de ne pas écrire de mots de passe dans un fichier Excel - il peut être difficile de mettre en place une procédure lourde comme celle-ci. YMMV.

0
Stian Yttervik

Je suis d'accord avec les autres réponses qu'un gestionnaire de mots de passe est plus sécurisé que les méthodes personnalisées. Notez également que les feuilles de calcul Excel protégées peuvent être compromises facilement qu'un gestionnaire de mots de passe.

Cela dit, si vous avez décidé de ne pas utiliser de gestionnaire de mots de passe, vous pouvez utiliser l'approche suivante

  1. Avoir deux fichiers Excel protégés par mot de passe.
  2. Utilisez des mots de passe différents pour chaque Excel.
  3. Stockez la liste des noms d'utilisateurs, des services, etc ... dans une seule feuille et attribuez un numéro/test unique (par exemple: A001 pour Adobe, S001 pour Stack Overflow, etc ...) pour chaque enregistrement.
  4. Stockez le numéro unique et le mot de passe correspondant dans un autre Excel.
0
Kolappan N