Gestion centralisée de mots de passe
|
01-10-2015, 11h03
(Modification du message : 02-10-2015, 12h22 par Booster2ooo.)
Message : #1
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
Gestion centralisée de mots de passe
Bonjour les n-pers,
Une question me taraude depuis quelques temps, question qui vous sera peut-être familière. En effet, au travail, on rencontre souvent la problématique des mots de passes. "C'est quoi déjà le mot de passe pour tel service?" est une question récurrente. S'en suit des échanges par oral, IM ou email. Ces deux derniers cas (les plus fréquents, je dois l'avouer) me semblent être une très mauvaise pratique vu le peu de sécurité qu'ils prodiguent. J'ai donc en tête de développer un outil qui permettrait d'éviter de perdre du temps à rechercher un mot de passe et le sécuriser en évitant de le communiquer des des canaux faibles. J'aimerais centraliser les mots de passes, chiffrés, sur un(des?) serveur(s) qui ne seraient accessible que par certains utilisateurs selon leurs droits/groupes. Par contre, le concept me semble quand même risqué. Si quelqu'un pénètre le serveur, bingo, harvest time, il a accès à tous nos serveurs/services, scénario catastrophe. Quelle serait, selon vous, la meilleure méthodologie à mettre en place et sécurisé un tel service ? Quels seraient vos conseils ? Ou de manière général, quelle serait votre solution face à ce problème de mots de passes ? Merci d'avance pour votre aide ou votre point de vue. PS: j'ai ouvert un topic sur irclogs pour ceux qui veulent suivre ce qui s'est dit sur IRC |
|
01-10-2015, 18h03
(Modification du message : 01-10-2015, 18h03 par Commodor.)
Message : #2
|
|
Commodor
Ho ! Dodgson ! Messages : 64 Sujets : 9 Points: 36 Inscription : Nov 2011 |
RE: Gestion centralisée de mots de passes
Je répondrai plus en détails en rentrant du boulot car j'ai bossé sur ce genre de service En attendant tu peux regarder du coté de l'échange de secret de shamir et/ou les séquestres
Hahaha you didn't say the magic word !
|
|
01-10-2015, 20h26
Message : #3
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: Gestion centralisée de mots de passes
Merci Commodor, j'attends ton insight avec impatience. Je me suis vaguement penché sur GPG cette après-midi mais je n'ai pas encore une idée claire sur l'archi que je pourrais monter avec.
|
|
02-10-2015, 00h01
Message : #4
|
|
Commodor
Ho ! Dodgson ! Messages : 64 Sujets : 9 Points: 36 Inscription : Nov 2011 |
RE: Gestion centralisée de mots de passes
Citation :Par contre, le concept me semble quand même risqué. Si quelqu'un pénètre le serveur, bingo, harvest time, il a accès à tous nos serveurs/services, scénario catastrophe. Bingo comme tu dis le problème de cette solution, c'est que cela crée un "single point of failure". Je pense qu'il faut voir le problème plus en amont. Chaque service à son mot de passe (bdd, root, etc). Partant de là, la sécurité est déjà faible. Un employé licencié aura toujours le mot de passe de différents services. Un administrateur menacé avec une arme divulguera le mot de passe (bon on est dans des cas extrêmes, mais sur certains serveurs (dns, banque) ce paramètre est à prendre en compte). Bon j'imagine que dans votre cas, il n'y pas de menaces externes ou internes (confiance en tes collègues). Pour revenir plus sur "l'outil", faudrait avant tout essayer d'éclaircir au maximum les contraintes. Au final les mots de passes pourraient tout simplement être contenues dans un fichier chiffré (la clé étant protégée par une passphrase) Si en plus c'est du ssh derrière ça peut faire l'affaire. Si tu es sur Linux tu peux jouer avec PAM et remplacer l'authentification du service ou du serveur par un compte LDAP par exemple quand c'est possible
Hahaha you didn't say the magic word !
|
|
02-10-2015, 08h42
Message : #5
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: Gestion centralisée de mots de passes
Linux, c'est quoi ça ? :')
Plus sérieusement, on est sous environnement Windows mais je ne sais pas encore si le serveur qui aura la lourde tâche de garder nos pw sera Win ou Linux. Merci pour avoir partagé ton expérience, je reviendrai pas ici quand j'aurai une vue un peu plus complète de l'articulation du projet. |
|
05-10-2015, 18h35
Message : #6
|
|
otherflow
Newbie Messages : 20 Sujets : 2 Points: 18 Inscription : Aug 2014 |
RE: Gestion centralisée de mots de passe
Bonjour Booster2ooo,
La gestion des mots de passe est une source de réflexions qui n'as pas encore débouché, à ma connaissance, sur une solution 100% fiable dévoilé publiquement. Je me permet de te répondre en faisant la synthèse des éléments qui ont été exposés sur IRC. 1. Les conteneurs de mots de passes Aniem (IRC) a écrit :01/10/2015 10:47:44 | Aniem > il me semble que keepass permet de s'échanger des mots de passes Comme la évoqué Aniem sur IRC, les solutions de conteneurs de mots de passes telle que keepass, un outils multi-plateforme, sont les solutions communément utilisées pour la gestion des mots de passe. 1.2. Les Inconvénients Booster2ooo (IRC) a écrit :01/10/2015 10:48:57 | Booster2ooo > Aniem > keepass je l'ai utilisé 1x, j'ai perdu mon fichier master key, db à la poubelle :'D Booster2ooo (Forum) a écrit :Commodor (Forum) a écrit :Par contre, le concept me semble quand même risqué. Si quelqu'un pénètre le serveur, bingo, harvest time, il a accès à tous nos serveurs/services, scénario catastrophe.Bingo comme tu dis Tongue le problème de cette solution, c'est que cela crée un "single point of failure". Mais comme tu l'as évoqué sur IRC et dans ta réponse à Commodor, un conteneur de mots de passe est soumis à la contrainte du mot de passe et/ou de la clé permettant de protéger les mots de passes stocké dans ce dernier. La perte, de ce ou ces derniers, rend l'ensemble des mots de passes inaccessibilités et la déduction ou le vole, de ce ou ces derniers, rends l'ensemble des mots de passes accessibles. Les éléments que sont la clé et le mots de passe sont de voûte de cette solution de gestion de mots de passe. 2. La stratégie d'expiration de mots de passes 1.2. L'automatisation du changements des mots de passes lors de l'expiration Le trio Booster2ooo, GreenBlood et Aniem (IRC) a écrit :01/10/2015 10:53:16 | Aniem > keepass sait gerer \o/ Comme il a été indirectement évoquée sur IRC par le trio Le trio Booster2ooo, GreenBlood et Aniem, une stratégie de gestion de mots de passe avancée se doit de prendre en considération l'expiration des mots de passes. Une solution rotation automatique des mots de passes est-elle envisageable ? Comme l'a dis Aniem, le système de génération de mots de passe proposé par certain compteur de mots de passe, telle que keepass peut être un élément de départ. 3. La gestions de l'accès multi-utilisateurs Dans un contexte multi-utilisateurs : entreprises, associations, groupes de travail, etc.... La question du partage d'accès au système de stockage de mot de passe entre plusieurs utilisateurs est une contrainte à prendre en considération. En effet durant leurs tache informatique, ces utilisateurs peuvent partager la même ressources et donc avoir besoin du même lots de mots de passe. 3.1. Le chiffrement asymétrique GreenBlood (IRC) a écrit :01/10/2015 10:57:02 | GreenBlood > (et qui plus est de sécuriser le stockage des pw) Dans un contexte multi-utilisateurs : entreprises, associations, groupes de travail, etc.... La question du partage d'accès au système de stockage de mot de passe entre plusieurs utilisateurs est une contrainte à prendre en considération. En effet durant leurs tache informatique, ces utilisateurs peuvent partager la même ressources et donc avoir besoin du même lots de mots de passe. GreenBlood, a évoqué la possibilité de sécurisation des échange des mots de passe par chiffrement à clé publique. GreenBlood (IRC) a écrit :01/10/2015 10:57:32 | GreenBlood > Bah LastPass permet ça GreenBlood a aussi évoqué la solution LastPast et la possibilité que ce projet offre en permettant ce type d'échange sécurisé. Booster2ooo (IRC) a écrit :01/10/2015 10:58:38 | Booster2ooo > j'ai pas trop confiance en les third parties alors encore moins quand il s'agit de données aussi sensibles ^^ Mais Booster2ooo a mis en avant le fait que ce type de solution induit une toute confiance pour les tiers auxquels les utilisateurs confient leurs mots de passes. En effet, ces solutions imposent de fournir à une entité extérieur des données de sécurité sensible. 3.2. Combinaison de chiffrement asymétrique et de chiffrement symétrique Booster2ooo (IRC) a écrit :01/10/2015 11:00:40 | Booster2ooo > mais de l'asym quand ils sont request qqch comme ca Puis Booster2ooo a fait l'ébauche d'une solution utilisant le chiffrement symétrique pour le stockage des mots de passe et le chiffrement asymétrique afin de permettre la mise à disposition des mots de passe lors d'une demande d'un utilisateur. GreenBlood (IRC) a écrit :01/10/2015 11:04:17 | GreenBlood > Dans ma tête j'avais une archi à la GPG dans la tête tu vois GreenBlood a complété l'idées de gestion sécurité du multi-accés par une solution de gestion de mots passe par chiffrement symétrique, en proposant une architecture liée une base de données contenant les clés publiques des utilisateurs, ces clés publiques permettant de sécurisé les échanges entre la zone de stockage sécurisée et les utilisateurs. 3.3 Etude critique des méthodes chiffrements évoquées Le chiffrement asymétrique : Le duo GreenBlood et Booster2ooo a écrit :01/10/2015 11:13:10 | Booster2ooo > un mot de passe c'est très petit Dans son étude critique du chiffrement asymétrique, GreenBlood à mis en avant la limitation quant à la taille des données chiffrées. Ce qui a permis à Booster2ooo de déterminer que la contrainte de taille d'un mot de passe n'était pas bloquante car ces derniers étant de petite taille. Le chiffrement hybride basé sur PGP/GPG : Le duo GreenBlood et TsT (IRC) a écrit :01/10/2015 11:15:17 | GreenBlood > et les utilisateurs ils ont qu'a utiliseur une passphrase (pour la clé privé) et pouf trotinette Le duo GreenBlood et TsT confirme qu'une architecture de basé sur PGP/GPG peut-être une solution intéressante pour une stratégie de gestion de mots de passe des utilisateurs. Voici la synthèse de la conversation IRC du 10 Octobre 2015. otherflow. |
|
06-10-2015, 00h04
Message : #7
|
|
GreenBlood
Newbie Messages : 17 Sujets : 0 Points: 14 Inscription : Aug 2014 |
RE: Gestion centralisée de mots de passe
T'es un grand malade @otherflow mais c'est propre merci de cette synthèse
|
|
06-10-2015, 09h34
(Modification du message : 06-10-2015, 09h35 par Booster2ooo.)
Message : #8
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: Gestion centralisée de mots de passe
Merci beaucoup pour la synthèse otherflow.
Le problème auquel je fais face avec GPG, c'est pour la "bidirectionnalité" des échanges. En effet, SERVER possède X clés publiques et tous les X USERS possèdent une clé privée + passphrase. Ainsi, SERVER peut chiffrer un mot de passe avec la clé publique de l'USER_Alice et USER_Alice peut le déchiffrer avec sa private key + passphrase. Par contre, j'ai cru comprendre que ça devenait plus problématique si USER_Alice venait à devoir envoyer un mot de passe à SERVER de manière chiffrée avec la même pair de clés. D'après ce que j'ai cru comprendre, c'est possible mais déconseillé. Il faudrait donc prévoir une autre paire... Le duo MacYavel et Booster2ooo (IRC) a écrit :02/10/2015 12:06:55 | Booster2ooo > 11:39:10| <Windows> Dites, j'suis une douille mais est-ce que j'ai bien compris. Si A possède une clé publique, et B une clé privée. A peu chiffré un message que B déchiffre avec sa clé privée et sa passphrase, right ? |
|
06-10-2015, 12h44
Message : #9
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: Gestion centralisée de mots de passe
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
04-02-2016, 10h18
Message : #10
|
|
Booster2ooo
Contributeur Messages : 165 Sujets : 14 Points: 63 Inscription : Aug 2011 |
RE: Gestion centralisée de mots de passe
Je déterre le sujet (j'ai malheureusement pas eu (pris) le temps de continuer mes recherches dans le domaine), je suis tombé ce matins sur un article présentant un outils qui me semble correspondre à la problématique soulevée: http://www.sflvault.org/
www.sflvault.org a écrit :SFLvault is a Networked credentials store and authentication manager developed and maintained by Savoir-faire Linux. |
|
04-02-2016, 16h09
Message : #11
|
|
otherflow
Newbie Messages : 20 Sujets : 2 Points: 18 Inscription : Aug 2014 |
RE: Gestion centralisée de mots de passe
Salut,
Merci Booster2ooo, cette solution a l'air intéressante. A tester j'aurais envie de dire... otherflow |
|
04-10-2017, 13h48
Message : #12
|
|
sakiir
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de Messages : 411 Sujets : 51 Points: 34 Inscription : Sep 2012 |
RE: Gestion centralisée de mots de passe
Bonjour tout le monde !
Ayant discuté récemment sur IRC du sujet avec Booster, je me suis permis de remonter le sujet avec une possible solution (bien qu'elle ne soit pas particulièrement safe, ca reste une solution). Du coup, sans savoir qu'en 2015, Boost c'était lui aussi posé la question, j'ai eu l'idée de developper un tel projet. J'ai été un peu plus vite, sans beaucoup réfléchir au sujet, parceque je savais ce que je voulais des le depart: Un gestionnaire de mot de passe sans synchro, avec des clients web, mobile, CLI && anyway. Effectivement, pour un tel outils des problématiques de sécurité se posent ! J'ai commencé à dev, et j'ai une version beta qui fonctionne avec un example de client en python CLI. Je serai très content si vous jetiez un coup d'oeil cela permettra peu etre de relancer le sujet sérieusement ! Voici les depot Github de la CLI et de l'API: https://github.com/SakiiR/keehost https://github.com/SakiiR/keehost-cli |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
scripts & mots de passe en clair | gruik | 3 | 232 |
12-03-2014, 14h02 Dernier message: b0fh |
|
La sécurité des mots de passe | InstinctHack | 6 | 369 |
19-04-2013, 12h17 Dernier message: InstinctHack |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)