Depuis des années, je cherche LA solution qui me permette de générer mes mots de passe efficacement et de manière sécurisé tout en restant simple et rapide.
Après des jours de tâtonnement et d’essais, ma solution est enfin en prod depuis quelques semaines et j’ai pris deux jours pour tout documenter et vous permettre de mettre en œuvre cette solution.
Choisir un gestionnaire de mot de passe gratuit et sécurisé (encore mieux certifié ANSSI)
Permettre de partager une modification de mot de passe instantanément sur tous mes appareils, smartphone inclus, éviter les réplications de fichiers
Ne pas utiliser les solutions propriétaires (non open source) qui pourraient héberger mes données quelque part dans le monde
Ne pas avoir un mot de passe d’ouverture super fort de 30 caractères spéciaux à taper 5 fois par jour
Sécuriser l’ouverture de la base de données via une Yubikey unique sur tous les appareils
Si la Yubikey est perdue ou cassée, avoir une solution de secours
Que l’utilisateur dans le navigateur n’est aucun login ou mot de passe à saisir et encore mieux, que la double authentification à base de TOTP (mot de passe à usage unique basé sur le temps) soient calculés et complétés sur le même principe.
Que les nouveaux login/mot de passe soient ajoutés dans la base facilement et les mises à jour détectées et corrigées dans la base.
Cette discussion restera ouverte et servira de support aux discussions, questions, retours d’expérience pour ceux qui souhaitent s’y intéresser.
Evidemment, je reste attentif et à l’écoute de vos idées, amélioratoins ou demandes d’aide.
perso je me suis posé à peu près les même questions dernièrement, sans la problématique Yubikey.
mon choix depuis plus d’un mois c’est porté sur un fork de bitwarden : vaultwarden
avec auto-hébergement, donc mes infos ne trainent pas n’importe où, mais bien chez moi
J’ai donc sur un de mes serveur un docker qui tourne avec l’ensemble des infos, sur mon browser une extension bitwarden qui est connecté en direct sur mon serveur perso à mon compte, et pareil sur mon mobile que j’ai choisi de déverrouiller avec mon empreinte.
Les compte/mdp sont donc synchro en temps réel
Ma femme a également un compte qui lui est propre.
Et on peut décider de se partager des infos => le login/mdp du compte EDF, Free, PajeEmploi & co … sont accessible à nos 2 comptes.
Si un mdp est modifié pas besoin d’envoyer un sms à ma chère et tendre, en le mettant à jour sur mon compte, le sien sera automatiquement à jour également.
Je m’étais aussi posé ce genre de questions et je m’étais arrêté à bitwarden en mettant mon mouchoir sur le fait que ces données seraient stockées sur leurs serveurs. Merci @tomitomas d’avoir évoqué vaultwarden et ta configuration, je vais voir comment monter tout ça chez moi
Merci aussi à @sigalou d’avoir initié cette discussion
Pareil, je suis sur bitwarden (pour la famille, c’est déjà ca d’avoir réussi à les convaincre d’utiliser un gestionnaire de mot de passe ) et vaultwarden
un retour la dessus:
dangereux ca d’avoir le même outils pour totp et les mots de passe => comment tu fais pour déverrouiller ton gestionnaire de mot de passe (protégé par totp) si tu as perdu tout les autres moyen de générer un totp et qu’il faut se logger dans le gestionnaire de mot de passe pour récupérer le totp?
Donc risque de perte de données.
Pour ma part, mes sauvegardes importantes sont sur mon nas qui est synchronisé automatiquement toutes les nuits avec celui de ma copine, chez elle.
Eric
mon docker est sauvegardé toutes les semaines => snapshot promox, en local sur proxmox
cette sauvegarde est elle meme enregistrée sur un disk sauvegarde de mon NAS (toujours chez moi, mais sur une autre machine donc)
et mes disk NAS sont répliqués sur le NAS de mon père
Il faut quand même monter un proxy nginx + certificat si je lis bien.
En tant que non informaticien ma solution est très proche de celle de sigalou.
Keepass2droid + KeepassXC pour mon pc, avec hébergement du fichier sur Google Drive. Synchro régulièrement sur le pc avec rclone.
C’était ma première idée, mais ouvrir un lien entre mon ordi portable (ou smartphone), pas forcement depuis chez moi vers un serveur autohébergé, ça m’a bloqué. Moins je pointe vers chez moi et mieux je me porte. C’est pour cette raison que j’avais écarté cette option qui semble au top !
Pour les sauvegardes de nas (et copie de tout ce qui est important dessus), j’utilise amazon glacier perso
Ca me coûte 1,8$ par mois environ pour je ne sais plus combien de centaines de giga (le prix est en fonction de l’utilisation), bref rien du tout
Mais c’est du cloud… y a que ca de vrai
) et vaultwarden
