Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :
l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)
aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien
tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)
après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?
Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)
Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).
C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.
Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire).
Donc, aucun avantage à Spectre.
Par contre des inconvénients, on peut en lister beaucoup…
Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/
Eh bien, c’est même pas si vrai que ça en plus je trouve…
Si tu veux changer de mdp sur un site, tu va devoir incrémenter un “compteur” (-c 2, -c 3, …) lors de la génération du mdp.
Si un site n’accepte pas le “format” des mdp générés par Spectre, il faut lui en spécifier un nouveau en argument (-t …).
Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça
Même si cela paraît être plus sécurisé qu’un gestionnaire de mot de passe, cela n’est pas le cas.
Un gestionnaire de mot de passe implique de respect deux critères de sécurité :
ce que je possède avec le coffre fort numérique
ce que je sais avec le mot de passe du coffre fort
La fuite d’un des deux éléments ne met pas en péril la confidentialité des données contrairement à l’usage du protocole spectre ou la possession du mot de passe suffit à mettre en péril les secrets.
De plus, la compromission d’un mot de passe généré par spectre peut mettre en péril l’entièreté des mots de passe chiffrée avec la clé maitresse car la personne peut bruteforcer la clé maitresse en jouant le protocole spectre en offline. Ce qui lui permet de débloquer les mots de passe de tous les autres logins chiffrés avec elle.
Sur le papier ça a l’air cool, mais plusieurs points qui vont vraiment me freiner à utiliser un truc du genre :
l’apk android n’est plus maintenue depuis 2 ans, et pas publiée sur le playstore (t’a même du fournir un lien de webarchive)
aucun audit de sécu, du coup on ne sait pas s’il serait par exemple possible d’arriver à deviner le “Master password” à partir de plusieurs couples “username/ndd/password” … quand on s’amuse avec la crypto comme ça, c’est hyper cool, mais ça demande vérification extérieure, et la: rien
tu te retrouve bloqué sur ce gestionnaire de mdp, impossible de switcher pour un autre (ou très, très compliqué)
après avoir lu le “technical paper”, quid du changement de mot de passe pour un compte d’un site ? je n’ai pas testé le gestionnaire, mais ça n’a pas l’air possible de changer de mot de passe… quelle est la procédure en cas de leak d’une bdd ?
Commentaires super intéressants, ça fait plaisir, merci @BarbossHack !
En effet, bien que j’utilise cet outil depuis depuis +2 ans maintenant il est décevant de voir la faible maintenance du projet.
Il est cependant possible d’utiliser leur algorithme open-source sur d’autres projets (ex : https://github.com/bkueng/qMasterPassword)
Je ne suis pas du tout un expert en cryptographie, pour le moment, je me dis qu’entre stocker mes mots de passe sur un logiciel (local ou remote) et utiliser un générateur open-source comme Spectre j’ai fait mon choix :)
Je viens de trouver des informations supplémentaires intéressantes sur Hacker News : https://news.ycombinator.com/item?id=9788597
Je pense justement que c’est une fausse bonne sécurité, le fait de générer les mots de passes comme le fait Spectre. En fait après réflexion, je n’y vois même aucun avantage, que des inconvénients (ceux que j’ai cité, mais aussi ceux présentés sur Hacker News).
C’est toujours intéressant de faire une analyse de risque au plus proche du réel pour voir les différences.
Par exemple, tu dis préférer générer tes mdp que les stocker en local. Quel est le risque d’un vault local ? Qu’un malware sur ton PC récupère tes mdp. Mais alors ce malware est déjà installé sur ton PC, avec un keylogger pour récupérer le master password de ton vault local (pour récupérer les mdp qui sont dedans). Quel avantage apporte Spectre ? Le keylogger arrivera aussi à enregistrer le master password de Spectre et donc dériver l’ensemble de tes mdp. (il pourra aussi récupérer ton presse-papier, ton clavier (keylogger), ton historique bash, … tout, quelque-soit le gestionnaire). Donc, aucun avantage à Spectre.
Par contre des inconvénients, on peut en lister beaucoup…
Le sujet est super intéressant, ça me donne des bonnes idées pour d’autres projets, mais jamais je ne m’autoriserais à utiliser ce gestionnaire :-/
Un des avantages est quand même le fait que tu ne peux pas perdre de base de données de mot de passe. Pas de fichiers à backup.
Mais tous les désavantages ne font pas le poids à mon goût…
Eh bien, c’est même pas si vrai que ça en plus je trouve…
Donc ça fait des paramètres dont il faut se souvenir pour pouvoir retrouver ses mdp, il faut les stocker quelquepart (sinon ça devient ingérable), donc pas si “stateless” que ça
Pareil, fausse bonne idée. J’ ai longtemps utilisé un système similaire implanté moi même (sur Nokia n9).
A la longue, c’est ingérable, sans parler des sites Franco-Français qui t’impose un MDP, ceux avec une durée de vie de 3 mois.
Il faut retenir le type de génération et le compteur.
Ah oui trucmuche.com c’était 112 ou 113 le compteur ….
Et donc j’utilise passwordstore.org … Sync git via ssh sur une machine a moi.
Merci pour le partage concernant pass… amazing! (git, gpg) :D
Même si cela paraît être plus sécurisé qu’un gestionnaire de mot de passe, cela n’est pas le cas.
Un gestionnaire de mot de passe implique de respect deux critères de sécurité :
La fuite d’un des deux éléments ne met pas en péril la confidentialité des données contrairement à l’usage du protocole spectre ou la possession du mot de passe suffit à mettre en péril les secrets.
De plus, la compromission d’un mot de passe généré par spectre peut mettre en péril l’entièreté des mots de passe chiffrée avec la clé maitresse car la personne peut bruteforcer la clé maitresse en jouant le protocole spectre en offline. Ce qui lui permet de débloquer les mots de passe de tous les autres logins chiffrés avec elle.