Comment gérez-vous vos mots de passe?


59

De toute évidence, étant donné que nous sommes nombreux ici à être des administrateurs de système, nous avons beaucoup de mots de passe utilisés sur de nombreux systèmes et comptes. Certaines d'entre elles ont une faible priorité, d'autres pourraient causer de graves dommages à une entreprise si elles sont découvertes (vous n'aimez pas tout simplement le pouvoir?).

Des mots de passe simples et faciles à retenir ne sont tout simplement pas acceptables. La seule option est complexe, des mots de passe difficiles à mémoriser (et à saisir). Alors, qu'est-ce que vous utilisez pour garder une trace de vos mots de passe? Utilisez-vous un programme pour les chiffrer pour vous (nécessitant encore un autre mot de passe), ou faites-vous quelque chose de moins compliqué, comme un morceau de papier conservé sur vous, ou est-ce quelque part entre ces options?


Les mots de passe sont-ils vraiment inacceptables? -> xkcd.com/936
Michuelnik

Réponses:


63

KeePass est génial.


3
+1 pour Keepass. J'en ai une copie sur mon ordinateur portable et une copie synchronisée sur mon Android G1.
KPWINC

J'ai utilisé PassReminder pendant un certain temps, car il était utilisable sous Windows et Linux, mais le développement avait stagné. Je suis passé à KeePass et je possède la même base de données depuis plus de deux ans, sur des stations de travail Windows, Linux et Mac OS X.
jtimberman

Je dois noter que lors d'un travail précédent, nous utilisions une base de données KeePass partagée entre le personnel administratif qui stockait tous les mots de passe liés à l'infrastructure.
jtimberman

+1 pour Keepass, FOSS.
Josh Brower

1
KeePass + Dropbox = Synchronisation automatique des mots de passe.
Bonjour71

30

J'ai un moyen très simple de gérer les mots de passe:

Je n'aime pas les gestionnaires de mots de passe, mais j'aime bien la cryptographie. Je profite donc des hachages unidirectionnels (md5, sha1, etc.) et je génère des mots de passe à l'aide de ceux-ci.

Comment ça fonctionne?

Premièrement, je choisis un bon mot de passe long que je vais utiliser partout. Par exemple, qwerty (n'utilisez pas cela, juste un exemple). Maintenant, pour chaque site, votre mot de passe sera le md5 (ou sha1) de qwerty + nom du site. Par exemple:

$ echo “qwerty http://www.facebook.com” | md5
9d7d9b30592fd43dd6629ef5c12c6e9a

$ echo “qwerty http://www.twitter.com” | md5
cdf0e74e19836efb20f29120884b988d

Ainsi, mon mot de passe pour facebook est 9d7d9b30592fd43dd6629ef5c12c6e9a et pour twitter, cdf0e74e19836efb20f29120884b988d.

À la fois long et sécurisé. Si quelqu'un vole mon mot de passe Twitter, il n'a aucun moyen de revenir en arrière pour trouver les autres mots de passe. De plus, vous n'avez besoin d'aucun logiciel de mot de passe stocké (uniquement les fichiers binaires md5 / sha1, fournis par défaut sous Linux et faciles à trouver sous Windows).


6
Bon, schéma simple. Que faites-vous sur les sites qui ont limité leurs champs de mot de passe à moins de 32 octets, juste pour les tronquer?
pboin

1
c'est un schéma assez ingénieux! cool!
Sander Versluys

1
pwdhash < pwdhash.com > fait quelque chose de similaire et est disponible en tant que complément Firefox. Donc, si vous voulez simplement contrôler les mots de passe sur le Web, c'est l'idéal. Cela signifie également que vous pouvez utiliser n’importe quel PC car vous n’avez pas besoin de transporter votre base de données de mots de passe avec vous.
Chris J

13
Est-ce que cela ne laissera pas une traînée de commandes avec votre mot de passe en texte clair dans l'historique bash?
pufferfish

1
Vous pouvez faire en sorte que bash ignore les commandes en configurant HISTCONTROL, voir: commandlinefu.com/commands/view/1512/…
Matt V.

16

Password Safe a un cryptage solide et un générateur de mot de passe aléatoire. Les groupes de mots de passe sont ensuite distribués sous forme de fichiers cryptés en fonction de qui a besoin de quels mots de passe.


Quel crypto utilise Password Safe? J'ai parcouru tout le site et je ne l'ai pas encore trouvé.
Bob


Je trouve que Password Safe est un atout précieux, car je peux l'utiliser pour générer des mots de passe aléatoires chaque fois qu'il est temps de faire pivoter les mots de passe - chaque entrée de mot de passe peut être associée à des règles de complexité personnalisées; Si une application ou un site ne permet pas la ponctuation, je peux dire à PS de ne pas utiliser de symboles pour générer de nouveaux mots de passe. Pour une gestion plus étendue des mots de passe, nous avons CyberArk.
George Erhard

7

Nous conservons nos mots de passe imprimés, dans un classeur avec notre autre documentation réseau et dans notre salle de serveur physiquement sécurisée, à laquelle seules quelques personnes ont accès.

Je ne sais pas ce que les "vrais administrateurs système" en pensent, mais je pense que c'est une bonne solution pour nous. Je suis intéressé par les autres réponses à cette question.


Dans un emploi précédent (une installation informatique centrale d'une université), nous avions un petit cahier dans notre boîte à clés à l'intérieur de notre salle des machines, qui ne disposait évidemment que d'un nombre limité de personnes pouvant y accéder.
David Pashley

+1 parce que cela fonctionne et est la solution la plus simple ... si le portable est gardé sous clé dans un endroit sûr ...
cop1152

Également. Dossier de mots de passe stockés dans le coffre-fort, dans la salle des machines. Le mot de passe root principal n'était connu que de quelques personnes, puis mis dans une enveloppe scellée; accès sudo pour toute autre personne ayant besoin d’un accès privilégié.
CK.

Cela semble être une bonne solution low-tech. Je serais un peu préoccupé par les personnes comme le personnel de nettoyage, les techniciens de maintenance, etc., qui sont parfois autorisées à entrer dans la salle. N'oubliez pas de garder le classeur à l'abri d'eux.
Sleske

7

Nous avons un fichier texte crypté par PGP. Il est crypté sur chacune des clés de l'administrateur système. Nous utilisons un plugin vim pour faciliter la mise à jour.

Lors d'un travail précédent, nous avons utilisé un schéma similaire, mais nous avons utilisé un chiffrement symétrique car nous n'avions pas découvert le plugin (ou il n'existait pas encore) et personne n'avait passé le temps de comprendre le fonctionnement des clés privées.


+1 joli schéma, plus agréable de connaître le plugin :-).
Sleske

5

J'ai une mémoire photographique, je me souviens des mots de passe pour compresser les fichiers que j'ai créés dans les années 80 - pas vraiment aussi cool que vous pourriez le penser :)


Très belle solution. Je ne suis tout simplement pas très bon pour les autres: - /.
Sleske

Je semble aussi être capable de me souvenir de tous les mots de passe que j'ai jamais utilisés ... ce qui fonctionne très bien jusqu'à ce que vous en oubliez inévitablement un, comme je l'ai fait. C'était pour la signature de certificats Android - ce qui signifie que je ne pourrai plus jamais mettre à jour une application que j'ai écrite et qui est sur le marché Google Play. Bien sûr, je pourrais le signer avec un certificat différent, mais cela n'entraînera pas les utilisateurs existants.
Timothy Lee Russell

5

KeePassX est une alternative KeePass multi-plateforme. Une très belle interface graphique (Qt) et une fonctionnalité presque identique.

Ehtyar.

[edit] J'ai oublié de mentionner qu'il prend en charge les bases de données KeePass [/ edit]


5

J'utilise un programme appelé pwsafe sur mon bureau. Si j'ai besoin d'un mot de passe quelque part ailleurs, je SSH et l'utiliser.



2

Supposons que vous avez beaucoup de mots de passe (différents) pour divers services et équipements en ligne que vous possédez. Vous voudriez les stocker dans un fichier.

Ne laissez jamais votre fichier de mots de passe ouvert (comme non chiffré) sur vos machines / serveurs. Cela dit, ne le gardez pas crypté avec un fournisseur d’espace Web qui vous offre une prise en charge du cryptage - à moins que vous ne leur accordiez votre confiance.

Pour le stockage mobile de mots de passe, considérez les volumes TrueCrypt ou les fichiers que vous pouvez stocker à tout moment, comme vos clés USB ou même les pièces jointes à vos courriers électroniques. TrueCrypt est pris en charge sur presque toutes les plateformes et offre une très bonne sécurité lorsque vous décryptez les fichiers pour les afficher. Ensuite, vous devez simplement veiller à ne pas copier ou laisser le fichier sur un système (ou un dossier de fichiers supprimés).

Ah! et soyez sérieux avec votre génération de mot de passe :-)


2

Porte-clés. J'ai essayé 1password, mais keychain fait ce que j'ai besoin de faire, et j'aime la façon dont il fonctionne mieux.



1

Je garde mes mots de passe dans un fichier texte, donc c'est facile à consulter - je n'ai besoin d'aucune application. Je garde le fichier crypté avec une phrase secrète longue que je n'ai jamais notée. Je suppose qu'un de ces jours je devrais dire à ma femme ce que c'est ...

La version "de travail" du fichier est imprimée dans une petite police, de sorte à ce qu'elle tienne sur une seule feuille de papier et qu'elle soit pliée dans le petit carnet que je porte et que je garde comme mon portefeuille. En gros, je suis les conseils de Bruce Schneier et j'ai de bons mots de passe écrits dans un endroit sûr.

Notre plan «Et si un administrateur est touché par un bus», c’est que chacun de nous a son propre fichier de mot de passe crypté. Nous sommes assez peu nombreux et nous ne sommes pas tous assez bêtes pour laisser une liste imprimée traîner, alors ça marche bien.

Nous avons également un petit fichier dans les répertoires partagés que nous utilisons qui contient les mots de passe moins critiques auxquels nous nous référons tous.

Nous "générons" nos propres mots de passe complexes pour les utilisations les plus critiques: je choisis généralement une lettre ou un chiffre. Ensuite, le gars suivant en choisit un, puis moi (ou un autre gars), etc. Nous nous retrouvons avec des choses comme pl8u7ke qui ne sont pas trop difficiles à retenir si vous les utilisez presque tous les jours.


1

Pour les mots de passe personnels, j'utilise 1Password. Il dispose d'une excellente application (gratuite) pour iPhone / iPod Touch. J'ai donc mes mots de passe partout où je vais.


1

Vous devriez vérifier le Yubikey ( http://www.yubico.com/ ).

Il génère un mot de passe à utiliser pour un système d’authentification à deux facteurs, mais pour les applications non accessibles au réseau, il peut être configuré pour générer un mot de passe pseudo-aléatoire de 64 caractères (pour toutes fins utiles, indiscutable), ou vous pouvez définir le mot de passe vous-même.

Le mot de passe statique ou à usage unique est généré comme à partir d'un clavier, de sorte qu'il est disponible presque universellement. J'utilise le mien sous Linux, MacOS et Windows.

PS edit: Je joue avec mon propre Yubikey mais je n’ai aucun intérêt acquis; Je pense simplement que c'est un outil de mot de passe très pratique.


YubiKeys est génial, mais vous avez toujours besoin d'un serveur d'authentification et d'une application utile qui communique avec le serveur d'authentification pour lui faire faire quelque chose de valeur
Nathan Hartley


1

J'utilise 1Password de Agile Web Solutions. Il s'intègre de manière transparente à tous les navigateurs courants sur le Mac et, avec l'aide de Dropbox , je peux accéder à la même collection de mots de passe à partir de toutes mes machines.

Si vous avez besoin d'accéder à vos secrets depuis différentes plates-formes de système d'exploitation, KeypassX est un bon choix.


1

Si vous utilisez des systèmes OS X comme postes de travail clients, vous pouvez utiliser le programme Keychain Access pour gérer les mots de passe. Nous utilisons un fichier de trousseau dans un emplacement partagé accessible par les administrateurs système et le relions simplement à notre programme d’accès au trousseau.


1

Je recommanderais PasswordVault

Un groupe de notre service informatique l'utilise et aime vraiment les fonctionnalités qu'il a à offrir.

Les mots de passe sont toujours cryptés. Les utilisateurs individuels peuvent choisir les mots de passe à partager. Le meilleur de tous les logiciels est gratuit.

Quoi que vous décidiez d'utiliser, assurez-vous que le système d'exploitation est sécurisé et que les mots de passe sont cryptés.


1
Le lien ne devrait-il pas dire PasswordVault?
David Pashley

"Cette édition gratuite prend en charge jusqu'à 25 services et inclut une version d'essai de 30 jours d'auto-distribution (une fonctionnalité de l'édition professionnelle)." - semble assez limité.
Toto


1

Pour les mots de passe personnels, comme j'utilise plusieurs ordinateurs, j'aime bien le service en ligne gratuit Clipperz . Le chiffrement est effectué côté client et stocké à distance. Pour le travail, +1 pour Password Safe.


+1 pour Clipperz
elifiner

1

Dans la tête de plusieurs personnes. Les plus importants sont écrits sur de petits morceaux de papier, puis collés dans de petites enveloppes. Nous agrafons dans les enveloppes, il est donc évident que quelqu'un l'ouvre.


En outre, signez et datez sur la couture de l’enveloppe afin de vous assurer que personne n’a utilisé une nouvelle enveloppe.
Jay Bazuzi

0

Personnellement, j'utilise eWallet pour pouvoir synchroniser mon fichier de mots de passe sur mon téléphone. Cela coûte 30 $, mais j'en suis satisfait au fil des ans et le soutien a toujours été rapide et courtois.

En situation de travail, ma solution préférée est Portable KeePass ou similaire. L'exécutable et le fichier de mots de passe peuvent être placés sur une disquette ou une clé USB. Mot de passe principal inscrit à l'extérieur de la disquette / clé USB. Scellez-le dans une enveloppe, signez votre nom et la date sur le rabat, puis collez du ruban adhésif transparent sur la date et la signature. Mise à jour avec une nouvelle enveloppe tous les 6 mois environ (1).

L'enveloppe est ensuite placée dans un endroit sécurisé. De temps en temps, les enveloppes elles-mêmes doivent être inventoriées.


(1) Conservez éventuellement les anciennes enveloppes à des fins historiques. Sinon, les anciennes doivent être détruites.


0

J'utilise la méthode Diceware pour générer des mots de passe (afin qu'ils soient plus faciles à mémoriser que de véritables déchets aléatoires):

http://world.std.com/~reinhold/diceware.html

J'essaie d'utiliser des groupes de mots de passe pour accéder à différents types de systèmes, à la fois pour limiter le nombre de mots de passe dont je dois me souvenir à tout moment et pour limiter les dommages si l'un d'entre eux est compromis.

Ensuite, je les change régulièrement. La fréquence à laquelle vous les changez dépend de la rapidité avec laquelle vous pouvez vous entraîner à vous souvenir des nouveaux mots de passe.

Si vous en avez absolument besoin, vous pouvez conserver les résultats des jets de dés comme un coffre-fort ou un coffre-fort. Recréer les mots de passe à partir des rôles (il suffit de chercher dans la liste de mots) est une tâche suffisamment ennuyeuse pour dissuader d’oublier. Et le pire, c’est qu’une fois que vous avez lu les premiers mots, vous vous souvenez généralement du reste.


0

J'utilise apg et pwsafe sur mon serveur personnel. apg (Automated Password Generator) crée des mots de passe aléatoires en fonction de critères que vous pouvez définir, et pwsafe est simplement la version Linux en ligne de commande de Password Safe.

Je peux toujours SSH dans mon serveur pour obtenir mes mots de passe si nécessaire, bien que pour les sites à faible valeur que je n'enroule en utilisant le même mot de passe à plusieurs endroits.


0

Pour aider à me souvenir des mots de passe, j'estime qu'il est utile qu'ils soient prononçables afin que vous puissiez au moins les dire.

Je garde une liste de quelques mots de passe dont j'ai généralement besoin dans mon portefeuille. Pas sûr à 100% mais je pense qu'il est peu probable que cela cause des problèmes majeurs.

La liste principale de tous les mots de passe est conservée dans un coffre ignifuge.


0

Je viens d'avoir une feuille de calcul à Google Docs avec les données.


5
Je ne suis généralement pas du genre à frapper à SaaS, mais mettre vos mots de passe sur une plateforme externalisée semble tout à fait une mauvaise chose à faire.
Dan Carley


0

Dans un prev. Dans la vie, quand je devais "me souvenir" de 20 mots de passe différents pour des environnements variés, avec des règles de génération de mot de passe différentes pour chacun d’eux, j’utilisais Whisper32 . Cela a assez bien fait le travail.


0

Nous utilisons CyberArk, car nous avions besoin d’une solution conforme à la norme PCI (et nous avons également les besoins HIPPA), en plus de la quasi-totalité des systèmes clients. CyberArk ne me passionne pas, mais cela fonctionne.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.