Je poste à la rubrique problème même si j’ai déjà une alternative, mais je serais curieux d’avoir vos avis sur la démarche et sur
le niveau de sécurité de stockage des mots de passe dans la dernière version de Firefox.
En effet l’ANSSI recommande de ne pas stocker les mots de passe dans le navigateur et ce entre autre, par manque de
robustesse de l’algorithme de dérivation de la clé à partir du mot de passe principal.
La démarche :
Plutôt que de stocker les mots de passe dans le navigateur on peut utiliser un gestionnaire de mot de passe comme KeePass.
Personnellement j’ai plutôt opté pour l’association de pass, un gestionnaire de mot de passe pour *nix, en lignes de commande
(c’est mon côté « vieille école » d’Archlinuxien) et passff une extension pour Firefox qui permet d’accéder au coffre fort
de pass.
Pourquoi pass ? Parce-qu’il utilise gpg pour chiffrer le coffre fort et que j’ai déjà une clé gpg. Le chiffrement du coffre fort repose
sur des algorithmes plus robustes à condition d’avoir bien choisi ses réglages lors de la création de la clé ; passff c’est la cerise
sur le gâteau car ça permet de préremplir les champs login et password de la page web demandant l’authentification.
Pass est disponible dans les dépots officiels de votre distribution. Passff est disponible dans le catalogue de modules de Firefox.
Une fois ces deux composants installés, il faut ajouter à Firefox un petit script python qui permet de faire le lien entre l’extension
et pass via la commande suivante :
Code : Tout sélectionner
curl -sSL https://github.com/passff/passff-host/releases/download/1.0.2/install_host_app.sh | bash -s -- firefox
Cela ne s’applique qu’aux navigateurs. L’essai est aussi concluant sous Chromium mais il faut utilser l’extension browserpass.
Il est aussi important pour faciliter le remplissage automatique des champs que le contenu, le nom des fichiers et l’arborescence
du coffre fort respectent les règles suivantes :
Les fichiers (.gpg) contiennent, dans l’ordre et par ligne :
le mot de passe (obligatoirement),
le nom d’utilisateur (optionnellement),
l’adresse du site (optionnellement).
Si pour un même site, vous avez plusieurs comptes et mots de passe, utilisez un dossier pour ce site :
Password Store
├── domaine1.fr
├── domaine2.bzh
│ ├── login1
│ └── login2
Pour conclure :
Pass est un gestionnaire de mot de passe assez souple pour peu qu’on soit à l’aise avec la ligne de commande. Il existe
cependant une interface graphique pour gérer son coffre fort : qtpass.
Le projet est bien actif. Le fait que le chiffrement repose sur gpg est un vrai atout.
Un article un peu technique mais très intéressant montre les limites du gestionnaire de mot de passe de Firefox et Thunderbird.
Mozilla a-t-il amélioré son niveau sécurité depuis ?