Firefox et stockage des mots de passe

Venez nous en parler, c'est ici que l'on vous conseillera !
Avatar de l’utilisateur
juice
Messages : 211
Inscription : dim. 29 juin 2008, 10:06
Distribution : Archlinux
Niveau : Confirmé
Localisation : Oberentzen

Firefox et stockage des mots de passe

Message par juice » dim. 11 mars 2018, 20:11

Bonjour à tous.

Je poste à la rubrique problème même si j’ai déjà une alternative, mais je serais curieux d’avoir vos avis sur la démarche et sur
le niveau de sécurité de stockage des mots de passe dans la dernière version de Firefox.

En effet l’ANSSI recommande de ne pas stocker les mots de passe dans le navigateur et ce entre autre, par manque de
robustesse de l’algorithme de dérivation de la clé à partir du mot de passe principal.

La démarche :
Plutôt que de stocker les mots de passe dans le navigateur on peut utiliser un gestionnaire de mot de passe comme KeePass.
Personnellement j’ai plutôt opté pour l’association de pass, un gestionnaire de mot de passe pour *nix, en lignes de commande
(c’est mon côté « vieille école » d’Archlinuxien) et passff une extension pour Firefox qui permet d’accéder au coffre fort
de pass.

Pourquoi pass ? Parce-qu’il utilise gpg pour chiffrer le coffre fort et que j’ai déjà une clé gpg. Le chiffrement du coffre fort repose
sur des algorithmes plus robustes à condition d’avoir bien choisi ses réglages lors de la création de la clé ; passff c’est la cerise
sur le gâteau car ça permet de préremplir les champs login et password de la page web demandant l’authentification.

Pass est disponible dans les dépots officiels de votre distribution. Passff est disponible dans le catalogue de modules de Firefox.

Une fois ces deux composants installés, il faut ajouter à Firefox un petit script python qui permet de faire le lien entre l’extension
et pass via la commande suivante :

Code : Tout sélectionner

curl -sSL https://github.com/passff/passff-host/releases/download/1.0.2/install_host_app.sh | bash -s -- firefox
Les limites :
Cela ne s’applique qu’aux navigateurs. L’essai est aussi concluant sous Chromium mais il faut utilser l’extension browserpass.
Il est aussi important pour faciliter le remplissage automatique des champs que le contenu, le nom des fichiers et l’arborescence
du coffre fort respectent les règles suivantes :

Les fichiers (.gpg) contiennent, dans l’ordre et par ligne :
le mot de passe (obligatoirement),
le nom d’utilisateur (optionnellement),
l’adresse du site (optionnellement).

Si pour un même site, vous avez plusieurs comptes et mots de passe, utilisez un dossier pour ce site :

Password Store
├── domaine1.fr
├── domaine2.bzh
│   ├── login1
│   └── login2

Pour conclure :
Pass est un gestionnaire de mot de passe assez souple pour peu qu’on soit à l’aise avec la ligne de commande. Il existe
cependant une interface graphique pour gérer son coffre fort : qtpass.

Le projet est bien actif. Le fait que le chiffrement repose sur gpg est un vrai atout.

Un article un peu technique mais très intéressant montre les limites du gestionnaire de mot de passe de Firefox et Thunderbird.
Mozilla a-t-il amélioré son niveau sécurité depuis ?

Avatar de l’utilisateur
renaud
Messages : 55
Inscription : mer. 11 juin 2008, 11:06
Distribution : Ubuntu & Debian
Niveau : Padawan ad vitam aeternam
Localisation : ILLZACH
Contact :

Re: Firefox et stockage des mots de passe

Message par renaud » dim. 11 mars 2018, 20:49

Salut JC,

merci pour ce post très intéressant.

La question de l'actualité de la méthode de chiffrement du gestionnaire de mots de passe est intéressante. Je n'ai pas le temps de la creuser en ce moment mais je suis très intéressé par la réponse. Si quelqu'un a la réponse, merci de partager ;-)

J'utilise en partie le gestionnaire de mots de passe de FF et Thunderbird mais aussi keepassx.
En théorie, Keepass permet de faire du remplissage de formulaires mais je n'y suis pas encore arrivé...

Bref, à creuser !

Renaud

Avatar de l’utilisateur
juice
Messages : 211
Inscription : dim. 29 juin 2008, 10:06
Distribution : Archlinux
Niveau : Confirmé
Localisation : Oberentzen

Re: Firefox et stockage des mots de passe

Message par juice » dim. 11 mars 2018, 23:21

De la démo qui avait était faite à Wintzenheim, il fallait pour remplir automatiquement les champs « nom d’utilisateur » et « mot de passe » faire
un Ctrl+V lorsqu’on était dans la page web en ayant au préalable sélectionné l’entrée de mot de passe voulue dans KeePass. Sur KeePassX,
l’auto-type ne fonctionne que sur GNU/Linux.

Peut-être trouveras-tu ton bonheur ici

Répondre