Connexion
Abonnez-vous

Mots de passe : on vous aide à choisir le gestionnaire qu’il vous faut

Choix des uns, arguments des autres

Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut

Le 06 octobre 2016 à 15h00

Ces dernières semaines, nous avons analysé certains gestionnaires de mots de passe parmi les plus utilisés. Nous vous proposons maintenant un point global, en les comparant selon les critères qui peuvent vous aider dans votre choix.

D’abord, pourquoi utiliser un gestionnaire de mots de passe ? Il ne s’agit évidemment pas d’une obligation. En fait, l’immense majorité des utilisateurs s’en passe. Il permet cependant de répondre à des problématiques qui peuvent paraître simples, mais qui surchargent rapidement de responsabilité toute personne désireuse de faire attention à la sécurité de ses comptes en ligne.

Un mot de passe est confronté globalement à deux problèmes majeurs : son degré de force et sa réutilisation (voir notre analyse). Une bonne sécurité en dépend. Un bon mot de passe est long, complexe, n’utilise pas de séquence évidente (mots du dictionnaire, dates, noms, etc.) et pioche dans les majuscules, minuscules, chiffres et caractères spéciaux. Quant à la réutilisation, elle favorise le piratage en série des comptes : si des pirates trouvent votre mot de passe, ils pourront s’en servir sur d’autres services.

Créer un mot de passe fort pour chaque site devient vite éprouvant. C’est ici que les gestionnaires entrent en piste, d’autant que beaucoup proposent une intégration directe dans le navigateur. L’utilisateur peut générer des mots de passe forts de manière aléatoire, en un clic, une extension le connectant automatiquement quand il revient sur le site.

Quant à choisir le gestionnaire qu’il vous faut, disons-le tout de suite : il s’agit d’une question de besoins. La majorité font un bon travail, mais se distinguent par des qualités et des défauts plus ou moins marqués. Les quatre que nous avons analysés sont loin d’être les seuls disponibles sur le marché (n'hésistez d'ailleurs pas à partager vos découvertes dans les commentaires).

Mais ils fournissent un échantillon représentatif des points que nous allons aborder : l’interface et l’ergonomie, la génération et la gestion des mots de passe, le modèle économique, les fonctions supplémentaires ou encore le degré d’intégration aux systèmes d'exploitation et aux autres applications.

Interface et prise en main : des critères pas si optionnels

L’interface, l’ergonomie, la facilité de prise en main ont longtemps été les parents pauvres de la conception logicielle. Ce sont pourtant ces réalisations qui déterminent l’efficacité d’utilisation, qui font qu’un utilisateur pourra utiliser aisément une solution. La « courbe d’apprentissage » d’une application peut faire toute la différence.

C’est encore plus vrai dans un domaine qui, par nature, peut en rebuter plus d’un. Autant le dire : gérer ses mots de passe ne fait rêver personne. Il ne s’agit pas ici d’un jeu ou même de n’importe quel autre logiciel qui revêtirait un aspect ludique. Pour de nombreux utilisateurs, un mot de passe est pénible à générer et à retenir. Réduire les frictions lors de l’apprentissage a donc du sens.

Dans le cas des gestionnaires, les solutions étudiées passent par à peu près toutes les écoles. L’une se détache cependant du lot : Dashlane. Comme nous l’avions indiqué dans notre article, les concepteurs français du logiciel ont apporté un soin particulier à la conception de l’interface, ce qui rejaillit de plusieurs manières, et pas uniquement sur la simplicité d’utilisation.

dashlanelastpass

En fait, en termes de prise en main, Dashlane et LastPass sont relativement proches, tant les fonctions centrales sont les mêmes et servies par une disposition semblable. Là où Dashlane se détache vraiment, c’est sur sa manière de propulser en avant certaines informations. Le panneau ouvert par défaut dans le logiciel est un bilan de sécurité aux signalétiques claires : du vert quand tout va bien, du jaune quand une situation est à inspecter, du rouge quand il y a un danger.

On pourrait s’étendre longuement sur l’ergonomie et l’expérience utilisateur, mais Dashlane réussit un tour de force qui n’existe pas chez les solutions concurrentes : donner « envie » de changer ses mots de passe. Pour chaque identifiant dangereux ainsi remplacé par les bons soins du gestionnaire, l’utilisateur peut voir un score de sécurité augmenter, sous forme de pourcentage. Un aspect ludique, justement, quand tant d’autres solutions hurlent à l’utilisateur que la sécurité est une affaire sérieuse. Elle l’est, assurément, mais elle n’a pas besoin d’être rébarbative pour autant.

Attention tout de même : en termes d’interface, il existe une bonne part de subjectivité. Chacun a son idée de ce que doit être une interface idéale, surtout quand des solutions sont proches, comme Dashlane et LastPass. 1Password, pour les utilisateurs de Mac, peut ainsi être préféré parce qu’il ressemble largement plus à un logiciel macOS classique, en respectant les canons posés par Apple. KeePass, au contraire, pourrait convenir à ceux qui aiment des conceptions plus « old school » et détestent qu’on les prenne trop par la main.

1passwordkeepass

Génération et sécurité des mots de passe : le cœur de métier

Si l’interface peut faire débat, la génération des mots de passe est un point central. Il s’agit même de la fonctionnalité principale qu’on attend d’un gestionnaire, avec son enregistrement pour être consulté en cas de besoin.

Ici, aucun logiciel ne pèche vraiment. Tous proposent par défaut une longueur de mot de passe allant de 8 à 12 caractères, piochant au moins dans les majuscules, minuscules et les chiffres. Tous proposent d’ajouter des caractères spéciaux et des options plus ou moins fines. L’une des plus courantes, non recommandée mais pouvant être utile, permet de rendre le mot de passe prononçable, ce qui fait inévitablement chuter son niveau de protection.

On aurait aimé – et cet avis est général – que les mots de passe créés par défaut soient plus longs, par exemple 16 caractères. Les spéciaux devraient être cochés également. Notez tout de même que modifier les réglages du générateur permet de les retenir pour les prochaines créations de mots de passe, ce qui évite d’avoir à refaire la manipulation. Par ailleurs, les choix par défaut sont là pour des questions de compatibilité, même si le nombre de sites limitant drastiquement le nombre de caractères a beaucoup baissé. Plutôt que de devoir augmenter manuellement la taille du mot, on aurait aimé devoir la diminuer ponctuellement pour un vieux site récalcitrant.

Dans ce domaine néanmoins, un logiciel permet d’aller plus loin que les autres : KeePass. Les options de configuration sont plus nombreuses et – fonctionnalité unique – il permet d’ajouter de l’entropie aux mots de passe par des mouvements de souris au sein d’une zone prévue à cet effet. Il permet aussi de dériver un nouveau mot de passe à partir de l'actuel, en un clic, une fonction très pratique pour leur renouvellement.

lastpassdashlane

Bilans et alertes de sécurité : des informations proactives

Par bilan de sécurité, on entend un panneau dans lequel on retrouve une synthèse générale de la sécurité des mots de passe. Ce type d’information est pratique pour savoir d’un coup d’œil si des identifiants réclament une attention immédiate.

Sur les quatre solutions que nous avons testées, seules deux proposent cette fonctionnalité : Dashlane et LastPass. Le premier prend la tête dans ce domaine, pour les mêmes raisons que celles évoquées dans le chapitre sur l’interface : les informations sont claires et disponibles dès l’ouverture du client. Dans le cas de LastPass, il faut aller chercher spécifiquement le « Challenge sécurité », qui va ouvrir un onglet et lancer une analyse.

Les alertes de sécurité sont encore plus importantes. Il s’agit de notifications prévenant l’utilisateur que l’un des services pour lequel il possède des identifiants a été attaqué, occasionnant une fuite de données. Ces alertes permettent d’attirer immédiatement l’attention sur la mesure à prendre, qui sera de toute façon toujours la même : changer le mot de passe.

1Password, Dashlane et LastPass proposent tous les trois cette fonctionnalité, seul KeePass faisant l’impasse. Un écart qui n’est pas étonnant, puisque les trois premiers sont liés à un compte, permettant à l’éditeur correspondant d’envoyer une notification. KeePass, solution « statique », est centrée sur la gestion locale des mots de passe et n’est pas lié à un service quelconque.

lastpassdashlane

Gestion du mot de passe maître : pas de solution miracle en cas de perte

Tous les gestionnaires ont pour mission essentielle de stocker les mots de passe en vue de leur réutilisation plus tard. Cette fonctionnalité est protégée par un mot de passe central qui doit être particulièrement fort. En théorie, il doit s’agir du seul qu’il faut vraiment retenir puisque les autres peuvent être consultés à l’envi.

La gestion de ce mot de passe principal est cruciale. Toutes les solutions permettent de le changer, à condition d’avoir l’ancien. On notera une exception : KeePass. Le mot de passe maître peut être modifié autant de fois que nécessaire, sans demander l’ancien. Cependant, on peut verrouiller l’interface à n’importe quel moment par la combinaison Ctrl + L ou définir dans les options un verrouillage automatique au bout d’un temps donné (une fonction que l’on retrouve partout ailleurs).

Une règle est valable dans tous les cas : il ne faut jamais perdre le mot de passe maître. Il n’existe pas de fonction de récupération, même si des logiciels comme Dashlane permettent de définir des indices en cas de souci. Mais que ce soit pour ce dernier ou les autres, le mot de passe n’est connu que de l’utilisateur. Dashlane, LastPass et 1Password, qui fonctionnent pourtant sur la base de comptes synchronisés, indiquent tous qu’il n’est jamais stocké sur leurs serveurs.

Notez que plusieurs gestionnaires peuvent ou doivent fonctionner avec un fichier spécifique. Pour KeePass, le choix appartient à l'utilisateur. Pour 1Password, il s'agit d'une étape obligatoire. Ce fichier est réclamé notamment pour toute opération sur le mot de passe maître. Attention donc à ne pas l'égarer (il est lui-même chiffré).

L'intégration dans le quotidien

Il s’agit d’un point crucial, mais sur lequel tout le monde n’a pas les mêmes attentes. On parle surtout ici de l’intégration dans le navigateur, mais elle peut aller plus loin, particulièrement sur les applications mobiles.

1Password, Dashlane, LassPass proposent tous les trois des extensions pour s’intégrer dans le navigateur. Chrome et Firefox sont toujours supportés puisqu’il s’agit des deux les plus courants. Internet Explorer ne propose pas d’architecture pour des extensions, et Edge n’est pour l’instant compatible qu’avec LastPass. Pour KeePass, il faut passer par sa liste d'extensions.

Le fonctionnement de l’extension est à peu près toujours le même. On retrouve la génération des mots de passe quand c’est nécessaire : soit manuellement, soit automatiquement quand elle détecte un formulaire d’inscription. En cas de retour sur un site web dont le gestionnaire possède les identifiants, l’extension pourra les pré-remplir. Si plusieurs comptes sont disponibles, le dernier compte est proposé automatiquement, avec une petite case permettant de basculer de l’un vers l’autre. Évidemment, dans le cas d’une machine partagée, on procèdera avec prudence.

1password

Notez qu’un gestionnaire de mots de passe peut retenir des données n’ayant aucun rapport avec des sites web. L’extension est là pour se charger de cette partie, mais que se passe-t-il pour de simples logiciels par exemple ? Pas de miracle ici, il faudra copier-coller les caractères depuis le gestionnaire vers le champ idoine.

Sur les plateformes mobiles, la situation est très variable. Les applications possèdent en général un navigateur intégré qui permet d’ouvrir des sessions contrôlées. Certaines d’entre elles, notamment 1Password, possèdent des accords spécifiques entre éditeurs, ce qui permet aux applications correspondantes d’aller puiser directement des données. Mais ces cas restent sporadiques.

Fonctionnalités supplémentaires : chacun verra midi à sa porte

Les fonctionnalités supplémentaires peuvent faire la différence entre une solution et une autre. Le cœur des gestionnaires est en effet à peu près toujours le même, à l’exception de KeePass qui fonctionne davantage comme une base de données chiffrées.

On retrouve pourtant souvent les mêmes points : gestion des notes, cartes de visite, cartes bancaires, permis de conduire, codes Wi-Fi, pièces d’identité, assurances, clés SSH et ainsi de suite. L’affichage est à chaque fois adapté pour présenter au mieux les informations. Cependant, même dans ces fonctions, il existe de petites différences qui peuvent faire pencher la balance. Pour les données tierces, 1Password et LastPass peuvent ainsi stocker des pièces jointes, pratique par exemple quand on veut accompagner une carte d’identité d’une photo de cette dernière. Dashlane et KeePass, eux, ne le peuvent pas.

Toujours à l’exception de KeePass, ils proposent tous également des fonctions de partage. On peut ainsi mettre à disposition des mots de passe voire des dossiers complets en contenant plusieurs. Dans ce domaine, 1Password nous semble prendre l’avantage par la précision avec laquelle on peut définir les droits. L’éditeur propose d’ailleurs une offre spécifique, chaque membre de la famille pouvant obtenir un compte et un espace de stockage, l’administrateur de la famille définissant ensuite qui a le droit à quoi.

Dashlane et LastPass proposent pour leur part un contact d’urgence, qui aura accès sous certaines conditions aux mots de passe. Cette fonctionnalité peut se révéler pratique dans le cas d’un accident et de la nécessité d’obtenir certaines informations verrouillées. Là encore, c’est à l’utilisateur de décider comment ses données seront transmises, et à qui.

Modèle économique : la multiplication des abonnements

Ici, les situations sont très variables. KeePass est entièrement gratuit. C’est un projet open source que l’on récupère simplement depuis le site officiel, qu’on installe et dont on se sert tel quel. Ses extensions et applications tierces ne dépendent cependant pas des développeurs principaux.

Sur les solutions avec synchronisation en ligne testées, la plus accessible actuellement est LastPass, pour deux raisons. D’une part, tant qu’on se sert d’ordinateurs, la synchronisation gratuite des informations se fait sans limite de machines. Il n’y a qu’au passage sur une plateforme mobile qu’il faut basculer sur la formule Premium payante, disponible pour 12 dollars par an. Le nombre de smartphones et tablettes est illimité.

Dashlane est nettement plus onéreux, et également plus strict dans son modèle. L’utilisation n’est ainsi gratuite que si vous l’utilisez sur un seul ordinateur. Si vous souhaitez une synchronisation avec un autre appareil, fixe ou mobile, le compte Premium devient obligatoire, sans limitation dans le nombre. Mais Dashlane réclame tout de même 39,95 euros par an, ce qui en fait actuellement la solution grand public la plus chère.

Quant à 1Password, il fonctionne sur une base de tout ou rien. L’abonnement est disponible à 2,99 euros par mois et ouvre l’accès à toutes les applications pour l’ensemble des plateformes, sans limite sur le nombre d’appareils. Si l’utilisateur ne paye pas, il ne peut pas se servir de ce gestionnaire.

Là encore, la sélection est réduite, mais on retrouve souvent une séparation nette entre les solutions payantes proposant une synchronisation intégrée et les gratuites qui laissent l’utilisateur se « débrouiller ». La synchronisation peut se faire via des solutions tierces comme Dropbox et OneDrive, qui stockent alors le fichier chiffré contenant tous les mots de passe.

On notera tout de même que la plupart des solutions payantes recourent désormais à un abonnement. C’est à la fois une solution souple et pratique, dans la mesure où on peut l’arrêter quand on le souhaite et où elle permet des services supplémentaires. Cependant, il existe une vraie multiplication des abonnements dans tous les domaines, ce qui peut poser un problème évident à l’utilisateur qui en paye déjà un trop grand nombre.

Verdict : il faut définir ses priorités avant de décider

Le choix d’un gestionnaire n’est pas chose aisée. On pourrait continuer à lister dans le détail de nombreuses fonctionnalités, mais ce serait perdre de vue que dans la plupart des cas, les attributs sont presque toujours les mêmes.

Au risque d’enfoncer une porte ouverte, le gestionnaire doit répondre à vos attentes. Vos besoins doivent donc clairement être identifiés, et ce sont ces critères qui vous orienteront vers l’une ou l’autre de ces solutions. Il est cependant possible d’en mettre certaines au premier plan, en fonction des priorités.

Si vous souhaitez par exemple un gestionnaire qui soit simple d’utilisation et vous prenne autant que possible par la main, Dashlane semble être un bon compris. L’interface est claire et plaisante, tout en ayant le mérite de catapulter devant les yeux de l’utilisateurs les informations de synthèse sur la sécurité générale des mots de passe. Il s’agit cependant de la solution la plus chère.

Si vous utilisez avant tout un environnement Apple comprenant des Mac, des iPhone et des iPad, 1Password sera sans doute davantage taillé pour vous. Le gestionnaire profite d’une excellente intégration dans macOS et iOS, proposant même pour ce dernier divers liens avec des applications tierces, comme nous l’avions indiqué il y a quelques semaines.

LastPass apparaîtra comme un choix plus évident à ceux qui utilisent tout en ensemble d’appareils divers, formant un parc hétérogène. C’est la solution la plus polyvalente dans la mesure où on la retrouve sur pratiquement toutes les plateformes existantes. En outre, sa version gratuite peut être utilisée sur plusieurs ordinateurs en mode synchronisé. Le tarif assez « doux » de son abonnement (12 dollars par an) est également un argument.

Enfin, KeePass nous apparaît comme indétrônable sur le terrain de la sécurité « pure ». Davantage réservé à ceux qui connaissent déjà bien l’informatique et souhaitent en maîtriser tous les aspects, il permet d’aller plus loin que la concurrence. Il ne faut pas oublier non plus qu’il s’agit d’une solution open source et qu’il est le seul gestionnaire officiellement recommandé par l’ANSSI, qui a d’ailleurs certifié une de ses anciennes versions comme sûre. KeePass pourra en outre plaire pour son absence de compte et de synchronisation, assurant ainsi que les données ne transitent jamais par un tiers si vous ne le souhaitez pas. Quant à son interface parfois jugée trop austère, des solutions tierces comme KeeWeb devraient trouver preneur, même si on perd évidemment la certification au passage.

Notre dossier sur la gestion des mots de passe :

Commentaires (59)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Parce que les mots de passes à retenir ne sont pas forcément des mots de passes d’appli web. On peut avoir à stocker  des mots de passes de comptes de machines, des passphrases de clés ssh, des mots de passes de comptes ftp, irc etc… Et là clairement, il faut un gestionnaire de mot de passe plus polyvalent que celui de Firefox.

votre avatar

J’utilise maintenant 1Password depuis quelques temps, mais rien que de changer tous ses pwd sur tous les comptes qu’on peut avoir, histoire de faire un fresh start, c’est d’un chiant… Sans parler des sites (souvent administratifs) qui ont des solutions à la noix pour s’identifier.

M’enfin, aujourd’hui, je pense qu’il faut en passer par là, cela devient assez critique niveau attaques et il est temps de se blinder le plus possible.

votre avatar







JeanL a écrit :



Il manque une alternative au comparatif je trouve : un soft gratuit, illimité au niveau des appareils, quitte à faire des compromis sur les fonctionnalités.





C’est pas justement Keepass cette alternative gratuite et illimitée ?







JeanL a écrit :



Perso je suis en train de me tâter pour passer sous KeePass, mais je dois résoudre le problème de synchronisation d’abord…





J’utilise Keepass en ayant ma base sur Google Drive, partagée entre deux ordis et un smartphone. Je n’ai jamais eu de gros soucis de synchro, juste quelques bugs de google drive une fois ou deux.

Je pense que ça marcherai pareil avec n’importe quel autre cloud (Hubic, Dropbox, owncloud, etc.)


votre avatar

Une petite lacune sur 1Password, vous n’indiquez pas qu’on peut acheter une license sans abonnement. Alors ça réduit un tout petit peu les fonctionnalités (mais par exemple on peut synchroniser avec dropbox, et c’est tout ce que je lui demande), et certaines sont en in-app-purchase dans l’application, mais c’est possible, même si ils ne le mettent pas en avant sur leur page.



Regarder en bas de la page “pricing”:



“If company policies or regional restrictions force you to use a

cloud-free solution or you prefer to sync your data yourself, you can purchase a standalone license for both Mac and Windows. Pro Features for iOS and Android sold separately.”

votre avatar

Merci pour ce dossier.



Pour ceux qui lisent les commentaires et qui seraient interessés, l’article ne parle pas d’un gestionnaire plus qu’interessant (tant par son efficacité, ses features, et son prix), c’est SafeInCloud.



https://www.safe-in-cloud.com/en/



Je l’utilise depuis près de 6 mois, et j’en suis très content. Soft Windows + Mac. Appli iOS et Android (10 euros), et pas d’abonnement ! Donc en gros, on paye que l’application smartphone, et le prix est plus que correct (c’est one shot, on paye une fois et c’est fini).



Les mots de passe ne SONT PAS stockés sur un serveur de la société, c’est un gros plus selon moi. En fait, tous les mots de passe sont réunis dans un fichier chiffré en AES (+ mot de passe maitre) que l’utilisateur peut décider de mettre sur son DropBox, son Google Drive ou autre (il y a beaucoup de possibilités).



Génération de mot de passe (réglage fin de génération, comme la longueur, le type de caractères etc). Plugin pour les navigateurs (en un clic, le formulaire de connexion sur un site se rempli tout seul). Stockage de cartes bancaires et autres données sensibles. Plugin Chrome sur Android (via l’application) (dès que je suis sous Chrome dans Android, hop, une “notif” apparait, je clic, le formulaire se rempli aussi tout seul dans Chrome).



Bref, c’est bien fait, rien sur internet, les mots de passe ne sont pas stockés où on ne veut pas, et surtout : pas d’abonnement.

votre avatar







jul a écrit :



mais rien que de changer tous ses pwd sur tous les comptes qu’on peut avoir, histoire de faire un fresh start, c’est d’un chiant…





Cette étape est la pire !

Mais une fois faite, on est peinard. Et changer de mot de passe ensuite est d’une simplicité sans nom, puisqu’on s’en fout de devoir le retenir, il suffit de le générer et voilà !


votre avatar

“Mais Dashlane réclame tout de même 39,95 euros par mois”



C’est par an, pas par mois, heureusement !

votre avatar

A force de ces articles je me dis qu’il va vraiment falloir que je dispatche mes mot de passe, j’en ai 2 3 qui me servent pour les forum / et truc sans trop d’importance mais qui sont un peu partout les mêmes. des blaèze pour les mails et les sites genre amazon ou en 3 clic tu peux commander avec la CB enregistrée. Mais c’est vrai que le mot de passe “standard” étant tombé ca m’a obligé de le changer sur tout un tas de sites, et encore c’est ceux ou je suis actif j’ai du en oublier…

votre avatar

Le dossier sur Keepass il y a quelques semaines m’a fait sauter le pas et opter pour un gestionnaire de MDP. Avec les plugins pour navigateurs et la mise en place d’une synchro centralisé sur un serveur perso, c’est parfait pour du multi device et j’assume la sécurité de mon stockage en ligne. Après, je n’ai pas encore creusé pour faire la synchro avec le téléphone,, j’anticipe des problèmes avec les iDevices.

votre avatar

Merci pour ce dossier. :)



Il est vrai que de nos jours on à des MPD dans tous les sens et sur beaucoup de site.



J’ai tenté un mdp fixe + partie variable. Mais c’est chiant à gérer.



Du coup le gestionnaire de MDP se pose vraiment la question, surtout avec les sites qui tombent de temps en temps.

Le fait d’être averti qu’un site est piraté et qu’il faut changé le mdp c’est un gros plus.



Dans ce domaine, je suis un peut mamie du cantal. donc une solution pratique, simple est un gros plus.

Dashlane me semble mieux répondre à mes besoins.



Après 40€/ans, c’est pas trop dramatique pour un point aussi central. (Puis ça passera en frais d’entreprise <img data-src=" /> )



Je vais quand même regarder de nouveau 1password et LastPass au cas ou.







Par contre il y a une question qui est carrément occulté : comment ça se passe pour migrer d’un service à l’autre ?

votre avatar

LastPass est pour moi une solution efficace depuis plus de 4 ans.

&nbsp;

Je l’ai sur tous mes appareils (de windows à IOS). Ce n’est pas parfait, mais cela me simplifie la vie, et n’a jamais fait l’objet, à mon niveau, d’une quelconque inquiétude de sécurité.

Sur cette solution on accorde appareil par appareil les droits d’accès, ce qui est rassurant.



Effectivement, la migration d’un service à l’autre serait une étude intéressante.

votre avatar

Tres bon dossier, merci !

Il m’a aussi decide de basculer sur ces systemes.

votre avatar

Merci pour le dossier <img data-src=" />



&nbsp;J’utilise Keypass depuis quelque temps maintenant uniquement en local et sans plugins

Comme il fonctionne comme je le souhaite, je ne me vois pas changer :)



Je vais par contre regarder la synchro afin de pouvoir l’utiliser en dehors de chez moi



Et je crois que je vais commencer à l’utiliser au boulot parce que à force de multiplier les identifiants et les mots de passe de plus en plus compliqués, ça va devenir nécessaire … (et ça va aider aussi mes autres collègues pour les mêmes raisons)

votre avatar

Yep Merci!

Bon cela ne me fera pas bouger de mon keepass sur webdav (multi-post + android), mais un état des lieux régulier est toujours bon à prendre.

votre avatar

Petite question aux utilisateurs.



Ca apporte quoi de pouvoir enregistrer son permis, passeport et co ?



Merci :)

votre avatar

Pour l’instant, un mot de passe maître sur Firefox me suffit. Sachant que je l’ai sur mon téléphone, ça fait le taf.



Après question génération de MDP complexe, je peux le faire moi même pour les sites sensibles.



Perso, une application complètement multi-support (et navigateur), avec un principe de P2P pour partager les MDP entre les appareils, et éventuellement une indication sur l’utilisation récurrente d’un MDP serait parfait.

votre avatar

Je repose ma question vu que c’est passé inaperçu.



Quel est l’intérêt de pouvoir mette sa pièce d’identité et son passeport sur de tels logiciels ?

votre avatar

Merci pour ces articles très intéressant.



Cela m’a convaincu d’utiliser un gestionnaire de mot de passe.

votre avatar

le même que de ne pas stocker tes mots de passe dans un fichier mdp.txt : si on te vole ou pirate ton ordinateur on ne peut pas usurper ton identité puisque les images sont cryptées.



edit : le logiciel fait aussi “coffre fort” numérique.

votre avatar

J’ai oublié de préciser : “avec cloud”. KeePass oblige à se débrouiller par soi même pour la synchro et en fonction des appareils à synchroniser c’est plus ou moins facile. Encryptr est basé sur le cloud de SpiderOak et a des clients pour tous les principaux systèmes.



Maintenant KeePass j’ai testé sur mon PC sous windows et ça marche bien, par contre les clients pour iOS (j’ai un iPhone et un iPad) c’est un peu de la merde. La plupart ont pas l’air de synchroniser correctement avec Google Drive, et le seul qui a l’air à peu près correct est payant mais plein de bug dixit les commentaires.



Bref je cherche encore. Peut-être MiniKeePass avec Dropbox ? Ça me permettrait de dégager un produit Google de plus de mes appareils… <img data-src=" />

votre avatar

La partie qui m’intéresse le plus c’est l’intégration sur mobile.

Lastpass, dashlane etc, sur 1 ou plusieurs postes (laptop & fixe) ça fait bien le taf.



Par contre, là où j’ai plus de mal, c’est la partie mobile.

Est-ce que la complétion des champs d’aunthent fonctionne nativement sur des navigateurs mobile comme chrome par exemple ? (avec dashlane & lastpass par exemple).



Jusque là j’utilise chrome pour synchroniser les mots de passes, mais j’ai jamais compris pourquoi les infos sont pas partagées entre le browser sur PC et sur android…

votre avatar

ce que je trouve intéressant avec Keepass c’est justement que chacun met sa kdb ou il veut. du coup ça distribue les points sensibles et donc ça diminue le risque.

les soluces de stockage centralisé comme les autres citées ici ont juste une sacrée responsabilité: les mecs ont un coffre fort avec les bijoux de la couronne. C’est quand même vachement tentant… ^^



comme d’autres ici je stocke ça sur mon Drive avec le 2FA, du coup ça tourne plutôt bien niveau synchro.

votre avatar

J’utilise également Kasperskt Manager Key, il est disponible sous Windows & Android, gestion par mot de passe maitre, possibilité d’ajouter des cartes de crédit (oui ça évite de la sortie à tout bout de champ) un auto lock au bout d’un certain moment et surtout gratuit en plus j’utilise déjà kaspersky en tant qu’antivirus/firewall

votre avatar

Ah je comprends mieux.



Je n’ai plus d’iOs depuis longtemps maintenant donc je ne peux pas trop aider sur ce coup. Il est possible que Dropbox ou autre puissent mieux marcher que Google Drive par contre, donc à tester !

votre avatar







zip a écrit :



le même que de ne pas stocker tes mots de passe dans un fichier mdp.txt : si on te vole ou pirate ton ordinateur on ne peut pas usurper ton identité puisque les images sont cryptées.



edit : le logiciel fait aussi “coffre fort” numérique.







Ah avec le terme de coffre fort numérique, je pige un peut mieux le concept.



En gros l’idée c’est d’avoir son image de la CNI (et autre) dans un autre endroit que sur Google drive car plus sécurisé ?

Enfin pour moi, c’est sur mon nas syno et c’est accessible sur le web avec quickconnect.

C’est peut être pas le plus secoure, mais dans ce domaine la, je suis plutôt mamie du cantal ^^





Bon dashlane ne stocke pas d’image, donc je vois pas trop ce qu’on stocke réellement de sa CNI





Bon à vrai dire, c’est pas spécialement un critère pour moi, mais si j’en voyais plus l’utilité ça pourrait me faire pencher la balance.


votre avatar

J’utilise passwordSafe avec dropbox perso

votre avatar

Enpass est à mes yeux le meilleur gestionnaire de mot de passe, 100% gratuit sur PC, une application payante sur mobile (une fois 10€ il me semble et c’est terminé, pas d’abonnement ou autre), nettoyage du presse papier selon un timer défini quand on copie des donné venant du gestionnaire. Il y a une extension dispo pour Mozilla, Chrome, etc…



Il n’a pas de création de compte c’est un mot de passe maitre et les données en local que l’on peut synchro avec son cloud préféré ou son serveur FTP. Il est open source et plutôt bien entretenu.



J’avais testé Dashlane à ses début quand il était totalement gratuit puis quand il est passé à payant, pas convaincu, 1Password, Robotform, Lasstpass, rien n’y fait il y avait toujours de trop grosse contrainte.



La au moins on est sur que les données sont pas sauvegardé sur un serveur distant ou quoi vu qu’il n’y a pas de compte. Tu perd ton mot de passe maitre c’est fini tu peux pas récupérer les données.



L’application Android bien que payante est plutôt pratique et permet même d’utiliser l’empreinte digital au lieu du mot de passe maitre ce qui est plutôt pratique en public.



Bref c’est vraiment un coup de coeur pour moi et je suis surpris qu’il ne soit pas plus connu que ça.

votre avatar

J’ai fais le test aujourd’hui avec dropbox et miniKeePass, ça fonctionne. Bon par contre j’ai l’impression qu’à chaque synchronisation côté PC il faut aller dans l’appli DropBox et envoyer la base à l’appli miniKeePass. Bref de l’UX à chier, mais ça marche. Limite faudrait que je code ma propre appli… lol

votre avatar

J’ai une amie qui à soulevé un point intéressant :



Et si l’ordi plante ?



Tu retrouve plus rien, et il faut faire le tour de tous les sites car on a rien de mémorisable.



Du coup ça rend la synchro “obligatoire”

votre avatar

Il existe des solutions comme SysPass pour heberger soi-même un service comme LastPass & Co.

votre avatar

Oui c’est dommage d’omettre la partie sans abonnement de 1Password qui permet quand même d’acquérir le soft avec la possibilité de ne pas synchronisé, ou de synchronisé au travers de Dropbox (voir OneDrive sur Windows). Sans oublier la possibilité de synchronisation maison avec NAS par exemple. Une correction est prévue sur ce point ?



L’achat est fait pour la version bureau, quelle que soit l’OS (Windows et Mac dans le même bundle).

Malgré le développement en cours de la version Windows avec encore deux trois trucs manquant, c’est clairement mon préféré.

&nbsp;

votre avatar

Sur Ubuntu, il y a une extension qui permet d’utiliser le gestionnaire de mot de passe de gnome pour sauvegarder ses mots de passe, qui sont alors déverrouillés à chaque ouverture de session. Je n’ai jamais été cherché plus loin mais question sauvegarde/export pérenne ça me suffit.

votre avatar

Bon je vais être chiant mais pour moi y a plusieurs points non abordés dans l’article qui sont critiques :




  • l’intégration d’un second facteur (si possible qui change toutes les 30s) en plus du mot de passe maitre

  • Le fait que certaines solution proposent un “One Time Password” à imprimer / sauvegarder si jamais tu pommes ton mot de passe maitre

  • La limitation possible du nombre de devices

  • Le fait qu’un device doit être autorisé ou pas avant de pouvoir l’utiliser (bon par mail mais quand même)

  • Le fait que la solution “nettoie” le presse papier

votre avatar

Il manque une alternative au comparatif je trouve : un soft gratuit, illimité au niveau des appareils, quitte à faire des compromis sur les fonctionnalités.



Perso j’utilise Encryptr, édité par SpiderOak. Autant d’appareils que vous voulez, supporte les environnements mac, windows, linux et android, et entièrement gratuit. Deux problèmes seulement pour moi (mais je m’en accommode) :




  • Il est présenté comme zero-knowledge alors que ce n’est pas vrai (la clef privée est stockée chiffrée sur leurs serveurs. Ça vous protègera probablement des pirates, mais pas de l’entreprise elle-même qui peut modifier son code pour affaiblir le chiffrement de votre clef et la rendre récupérable par un tiers, genre la NSA).

  • Il n’y a pas de plug-ins pour les navigateurs, vous devez aller dans l’appli et double cliquer/tapper sur le login puis mdp pour les copier/coller manuellement.



    Bref si ça intéresse des gens. Perso je suis en train de me tâter pour passer sous KeePass, mais je dois résoudre le problème de synchronisation d’abord…

votre avatar

MERCI pour ces dossiers ! C’est du beau travail: de belles analyses comparatives qui se concluent par un bel article :) C’est vraiment ça qui me donne envie de renouveler d’année en année (4 ans déjà, je crois) mon abonnement !



Pour revenir sur le sujet, je reste et je resterai sur une base KeePass synchronisée sur mon téléphone via Synology CloudStation. On reste sur une solution open-source et gratuite jusqu’au bout. Pas d’options payantes, pas d’abonnement, pas d’inquiétude de service qui ferme,…



Certes l’intégration dans le navigateur est moyenne (surtout Keefox sur Ubuntu) mais elle est fonctionnelle. L’application KeePassDroid est, je trouve, bien gaulée: c’est ce qui me faisait le plus peur :)



Merci encore.

votre avatar
votre avatar

Bonjour !



C’est un excellent boulot de l’équipe de NextINpact.

Cependant, j’utilise Enpass sur Windows 10 (desktop et mobile) ainsi que sur iOS 10.

Pourquoi ne pas avoir au moins cité ce gestionnaire, excellent au quotidien, lors de votre investigation au sujet de ces solutions ?

votre avatar

Je me suis toujours demandé pourquoi ne pas utiliser directement Firefox avec Firefox Sync ? Dispo sur tous les OS, dont android



Quelqu’un a une idée ?

votre avatar

Super article, bravo!

Par contre, pour Keepass, je pense que vous avez fait une erreur: on peut attacher&nbsp;des pièces jointes (Edit entry -&gt; Advanced -&gt; File attachments).

votre avatar

Pour ce qui est de la syncro, j’utilise une option que je considère comme suffisant : le keepass est sur mon Google Drive, tout coup tout les appareils peuvent synchroniser le fichier.

J’ai renforcé la sécurité en mettant un mot de passe bien plus compliqué qu’auparavant, et je le change de temps en temps.

J’ai aussi une clef de chiffrement en plus du mdp, mais elle n’est pas synchro (je lai mis sur tout mes appareils)

votre avatar

Au taff, comme personnellement avec ma femme, j’utilise LastPass qui a l’énorme avantage de pouvoir partager des dossiers de mot de passe avec un autre utilisateur LastPass. Par exemple un dossier “commun” ou un par client regroupe l’intégralité des accès FTP, clés SSH où login web, synchronisé en temps réel avec toute la Team. C’est le bonheur.

Avant on avait KeepassX, en mode fichier chiffré localement et une seule personne pouvait l’éditer à la fois…

votre avatar

Il me semble que tous ces services te permettent d’exporter ta base dans un format genre CSV ou XML, que tu pourras fournir à ton nouveau gestionnaire.

Par exemple, KeePass te permet d’importer une base provenant d’une 40aine de gestionnaires concurrents (dont LastPass, 1Password, Dashlane cités plus haut). Idem pour les payants, au moins les poids-lourds.

Peut-être que ça peut merder au niveau des pièces jointes par exemple, ça reste à voir <img data-src=" />

votre avatar

Pour les linuxien et android, n’hésitez pas à aller faire un tour du côté de pass. C’est du bête bash, qui peut s’interfacer super facilement avec n’importe quoi. Perso, c’est un raccourcis clavier et dmenu qui me permettre de récupérer les mdp. Sous le capot, c’est une simple arborescence de fichiers chiffrés en gpg. Du coup au boulot c’est clé gpg partagé par les membres de l’équipe et dépôt git pour synchroniser. C’est simple, fiable, rapide et pas stocké sur des serveurs américain.

votre avatar







milouse1664 a écrit :



Pour les linuxien et android, n’hésitez pas à aller faire un tour du côté de pass. C’est du bête bash, qui peut s’interfacer super facilement avec n’importe quoi. Perso, c’est un raccourcis clavier et dmenu qui me permettre de récupérer les mdp. Sous le capot, c’est une simple arborescence de fichiers chiffrés en gpg. Du coup au boulot c’est clé gpg partagé par les membres de l’équipe et dépôt git pour synchroniser. C’est simple, fiable, rapide et pas stocké sur des serveurs américain.





Pour un milieu professionnel, le fait que les mots de passe sortent chez un tiers ne me plait pas du tout. C’est quand même compliqué à justifier d’un point de vue risque.


votre avatar







ben57338 a écrit :



Pour un milieu professionnel, le fait que les mots de passe sortent chez un tiers ne me plait pas du tout. C’est quand même compliqué à justifier d’un point de vue risque.





Son dépôt peut être hébergé chez eux ou bien chez un Ovh par exemple, sur un serveur privé. Rien de surprenant, surtout pour des dev.


votre avatar

Bon, je ne sais pas si ça va intéresser grand monde par ici, mais j’utilise pass, avec l’extension Firefox associée.

Avantages :




  • Utilise GPG pour la sécurité. C’est fiable

  • Disponible en ligne de commande, quand on n’a qu’une seule connexion ssh de fiable

  • Synchronisation par git



    Inconvénients :

  • Pas très facile à mettre en place.

  • Utilise GPG. C’est compliqué :)

votre avatar







linkin623 a écrit :



Son dépôt peut être hébergé chez eux ou bien chez un Ovh par exemple, sur un serveur privé. Rien de surprenant, surtout pour des dev.





Pardon je ne parlais pas de sa solution mais des solutions&nbsp; proposées par nextinpact ( à part keepass) qui reposent sur des services externes


votre avatar

Oui ça avait été très vite corrigé&nbsp;<img data-src=" />

votre avatar

Moi j’utilise Enpass depuis des années. Surprenant qu’il n’ait pas été mentionné dans ce papier.

votre avatar

L’article m’a fait réutiliser Dashlane. J’avais participé à la bêta et ils avaient offert la synchronisation à vie contre un paiement unique de 40€. J’avais arrêté de l’utiliser car, il y a 3 ans, je ne le trouvais pas assez ergonomique. Je le réutilise maintenant en complément de 1Password dont je n’utilise que La version iOS. En 3 ans, Dashlane a fait beaucoup de progrès.

votre avatar

Pour ma part, j’ai Keepass avec le kdb sur Dropbox avec mdp+fichier, pour tout ce qui n’est pas Web (et un peu de Web en backup) et LastPass parce que facilement intégrable partout, dont smartphone. Ensuite, on prend l’habitude de mettre des mdp de 18 car. (sauf pour les sites bidons, souvent français, qui ne prennent pas plus de 8).

votre avatar

Et sinon pas un mot sur PasswordStore, une solution totalement open source basée sur git et gpg, facile à mettre en place et déjà compatible avec beaucoup de clients ;)

votre avatar

perso j’ai le kaspersky manager key ;)

votre avatar

&nbsp;Perso, j’utilise une solution payante Roboform que j’utilise bien longtemps. Dommage qu’il ne peut toujours être utilisé avec edge

votre avatar

ni sur 200 000 autres gestionnaires de mot de passe. Un dossier de ce genre est déjà assez long et lourd à mettre en place, on ne peut pas tout intégrer. Cela n’empêche pas de revenir sur d’autres solutions par la suite.

votre avatar

Si pour une raison x ou y ton PC corrompt ta base de donnée, ta synchro va gentiment écraser les versions valides de la base sur les autres machines et tu as tout perdu. sauvegarde != synchronisation

Comme tu le soulignes, oui, une sauvegarde sérieuse de la base de donnée est cruciale pour tous les logiciels qui la stockent en local. Comme pour toute donnée importante en fait, gestionnaire de mot de passe ou pas. Dommage que NXI ne mette pas ce point plus en valeur.

votre avatar

Pour ma part (utilisateur Lastpass + Yubikey depuis 5 ans), j’utilise les informations du permis par exemple lorsque je cherche des infos sur des comparateurs d’assurance. Au lieu de me bouger le cul pour prendre mon permis et ma carte grise j’ai tout sous la main. Même raisonnement pour la CNI. Bon après c’est parce-que je suis une grosse feignasse&nbsp;<img data-src=" />



Franchement je vois pas d’autres usages ^_^

votre avatar







Zerdligham a écrit :



Si pour une raison x ou y ton PC corrompt ta base de donnée, ta synchro va gentiment écraser les versions valides de la base sur les autres machines et tu as tout perdu. sauvegarde != synchronisation

Comme tu le soulignes, oui, une sauvegarde sérieuse de la base de donnée est cruciale pour tous les logiciels qui la stockent en local. Comme pour toute donnée importante en fait, gestionnaire de mot de passe ou pas. Dommage que NXI ne mette pas ce point plus en valeur.







C’est bien ce qu’il me semble. Et perso je trouve que c’est assez important comme détail.

Après j’ai un NAS, donc je peux faire une copie de ma base la dessus. Mais peut-on seulement faire une synchro de la base de donnée de dashlane par exemple ?









ExoDarkness a écrit :



Pour ma part (utilisateur Lastpass + Yubikey depuis 5 ans), j’utilise les informations du permis par exemple lorsque je cherche des infos sur des comparateurs d’assurance. Au lieu de me bouger le cul pour prendre mon permis et ma carte grise j’ai tout sous la main. Même raisonnement pour la CNI. Bon après c’est parce-que je suis une grosse feignasse <img data-src=" />



Franchement je vois pas d’autres usages ^_^





Comme j’ai un petit appartement, j’ai tout à porté de main. Plus simple <img data-src=" />



sinon pas de réel usage en fait. ^^


votre avatar







A-snowboard a écrit :



Comme j’ai un petit appartement, j’ai tout à porté de main. Plus simple <img data-src=" />



sinon pas de réel usage en fait. ^^





J’ai un 58 M²&nbsp;<img data-src=" />&nbsp;je me sent encore plus feignant maintenant&nbsp;<img data-src=" />

&nbsp;Non mais ça sert aussi quand tu perd tes papiers et que t’a besoin d’infos en attendant qu’ils soient refait =)


Mots de passe : on vous aide à choisir le gestionnaire qu’il vous faut

  • Interface et prise en main : des critères pas si optionnels

  • Génération et sécurité des mots de passe : le cœur de métier

  • Bilans et alertes de sécurité : des informations proactives

  • Gestion du mot de passe maître : pas de solution miracle en cas de perte

  • L'intégration dans le quotidien

  • Fonctionnalités supplémentaires : chacun verra midi à sa porte

  • Modèle économique : la multiplication des abonnements

  • Verdict : il faut définir ses priorités avant de décider

Fermer