Gestion centralisée de mots de passe

[otherflow]

Bonjour Booster2ooo,

La gestion des mots de passe est une source de réflexions qui n'as pas encore débouché, à ma connaissance, sur une solution 100% fiable dévoilé publiquement.

Je me permet de te répondre en faisant la synthèse des éléments qui ont été exposés sur IRC.

1. Les conteneurs de mots de passes

01/10/2015 10:47:44 | Aniem > il me semble que keepass permet de s'échanger des mots de passes

Comme la évoqué Aniem sur IRC, les solutions de conteneurs de mots de passes telle que keepass, un outils multi-plateforme, sont les solutions communément utilisées pour la gestion des mots de passe.

1.2. Les Inconvénients

01/10/2015 10:48:57 | Booster2ooo > Aniem > keepass je l'ai utilisé 1x, j'ai perdu mon fichier master key, db à la poubelle :'D

Par contre, le concept me semble quand même risqué. Si quelqu'un pénètre le serveur, bingo, harvest time, il a accès à tous nos serveurs/services, scénario catastrophe.

Bingo comme tu dis Tongue le problème de cette solution, c'est que cela crée un "single point of failure".

Mais comme tu l'as évoqué sur IRC et dans ta réponse à Commodor, un conteneur de mots de passe est soumis à la contrainte du mot de passe et/ou de la clé permettant de protéger les mots de passes stocké dans ce dernier. La perte, de ce ou ces derniers, rend l'ensemble des mots de passes inaccessibilités et la déduction ou le vole, de ce ou ces derniers, rends l'ensemble des mots de passes accessibles. Les éléments que sont la clé et le mots de passe sont de voûte de cette solution de gestion de mots de passe.

2. La stratégie d'expiration de mots de passes

1.2. L'automatisation du changements des mots de passes lors de l'expiration

01/10/2015 10:53:16  |   Aniem  > keepass sait gerer \o/
01/10/2015 10:53:15  |   GreenBlood  > 
01/10/2015 10:53:15  |   GreenBlood  > Booster2ooo: crontab => passwd => $RANDOM
01/10/2015 10:52:48  |   Booster2ooo  > le top du top, ce serait même que le système change les mots de passes tous les X temps

Comme il a été indirectement évoquée sur IRC par le trio Le trio Booster2ooo, GreenBlood et Aniem, une stratégie de gestion de mots de passe avancée se doit de prendre en considération l'expiration des mots de passes. Une solution rotation automatique des mots de passes est-elle envisageable ?

Comme l'a dis Aniem, le système de génération de mots de passe proposé par certain compteur de mots de passe, telle que keepass peut être un élément de départ.

3. La gestions de l'accès multi-utilisateurs

Dans un contexte multi-utilisateurs : entreprises, associations, groupes de travail, etc.... La question du partage d'accès au système de stockage de mot de passe entre plusieurs utilisateurs est une contrainte à prendre en considération. En effet durant leurs tache informatique, ces utilisateurs peuvent partager la même ressources et donc avoir besoin du même lots de mots de passe.

3.1. Le chiffrement asymétrique

01/10/2015 10:57:02 | GreenBlood > (et qui plus est de sécuriser le stockage des pw)
01/10/2015 10:56:46 | GreenBlood > ça permettrait de limiter qui accède à quoi
01/10/2015 10:56:39 | GreenBlood > Et que les mots de passe étaient chiffrés par les clés privées de chacune de ses clés
01/10/2015 10:56:21 | GreenBlood > Et sinon pour ta problématique, ça serait peut être un peu lourd mais si chaque personne avait une paire de clé

Dans un contexte multi-utilisateurs : entreprises, associations, groupes de travail, etc.... La question du partage d'accès au système de stockage de mot de passe entre plusieurs utilisateurs est une contrainte à prendre en considération. En effet durant leurs tache informatique, ces utilisateurs peuvent partager la même ressources et donc avoir besoin du même lots de mots de passe. GreenBlood, a évoqué la possibilité de sécurisation des échange des mots de passe par chiffrement à clé publique.

01/10/2015 10:57:32 | GreenBlood > Bah LastPass permet ça

GreenBlood a aussi évoqué la solution LastPast et la possibilité que ce projet offre en permettant ce type d'échange sécurisé.

01/10/2015 10:58:38 | Booster2ooo > j'ai pas trop confiance en les third parties alors encore moins quand il s'agit de données aussi sensibles ^^

Mais Booster2ooo a mis en avant le fait que ce type de solution induit une toute confiance pour les tiers auxquels les utilisateurs confient leurs mots de passes. En effet, ces solutions imposent de fournir à une entité extérieur des données de sécurité sensible.

3.2. Combinaison de chiffrement asymétrique et de chiffrement symétrique

01/10/2015 11:00:40 | Booster2ooo > mais de l'asym quand ils sont request qqch comme ca
01/10/2015 11:00:25 | Booster2ooo > je pensais à du symétrique pour la sérialisation des mdp, quand ils sont sauvés en dur

Puis Booster2ooo a fait l'ébauche d'une solution utilisant le chiffrement symétrique pour le stockage des mots de passe et le chiffrement asymétrique afin de permettre la mise à disposition des mots de passe lors d'une demande d'un utilisateur.

01/10/2015 11:04:17 | GreenBlood > Dans ma tête j'avais une archi à la GPG dans la tête tu vois
01/10/2015 11:02:23 | GreenBlood > tu peux l'ajouter à la "base"
01/10/2015 11:02:18 | GreenBlood > T'as sa clé publique à l'autre pignouf
01/10/2015 11:02:09 | GreenBlood > Pour lui partager

GreenBlood a complété l'idées de gestion sécurité du multi-accés par une solution de gestion de mots passe par chiffrement symétrique, en proposant une architecture liée une base de données contenant les clés publiques des utilisateurs, ces clés publiques permettant de sécurisé les échanges entre la zone de stockage sécurisée et les utilisateurs.

3.3 Etude critique des méthodes chiffrements évoquées

Le chiffrement asymétrique :

01/10/2015 11:13:10 | Booster2ooo > un mot de passe c'est très petit
01/10/2015 11:13:01 | Booster2ooo > la taille des données à chiffrer ici est vraiment irrelevent
01/10/2015 11:12:40 | GreenBlood > pas en sym/flux
01/10/2015 11:12:34 | GreenBlood > TsT: de toute façon, l'asymétrique on est limité dans la taille de données à chiffrer

Dans son étude critique du chiffrement asymétrique, GreenBlood à mis en avant la limitation quant à la taille des données chiffrées. Ce qui a permis à Booster2ooo de déterminer que la contrainte de taille d'un mot de passe n'était pas bloquante car ces derniers étant de petite taille.

Le chiffrement hybride basé sur PGP/GPG :

01/10/2015 11:15:17 | GreenBlood > et les utilisateurs ils ont qu'a utiliseur une passphrase (pour la clé privé) et pouf trotinette
01/10/2015 11:14:59 | TsT > tout comme le *ssl*
01/10/2015 11:14:46 | TsT > pgp/gpg ca repond a pas mal de problematique
01/10/2015 11:14:29 | GreenBlood > donc une archi pgp c'est plutôt adapté à sa problématique non ?

Le duo GreenBlood et TsT confirme qu'une architecture de basé sur PGP/GPG peut-être une solution intéressante pour une stratégie de gestion de mots de passe des utilisateurs.

Voici la synthèse de la conversation IRC du 10 Octobre 2015.

otherflow.