- Un gestionnaire de mots de passe sans coffre-fort (vault), qui génère à la volée toujours le même mot de passe en combinant un mot de passe maître + une chaîne realm
- Sur n’importe quel appareil, il suffit des mêmes entrées pour reproduire le même mot de passe, ce qui élimine d’emblée les problèmes de sauvegarde, de synchronisation et de confiance envers un tiers
- Prend en charge la génération de divers types de clés, non seulement de simples mots de passe, mais aussi de clés ECC/RSA, flux d’octets bruts et fichiers seed
- Pour les cas nécessitant une forte entropie, il est possible de créer un fichier seed chiffré afin de l’utiliser aussi pour générer des clés de haute sécurité (chiffré avec AES-256-GCM)
- Outil orienté CLI, qui permet, en combinant
-p, -r, -t, etc., de reproduire aussi bien des mots de passe de connexion basés sur des URL que des clés x25519 ou ed25519
- La sortie est fournie par défaut sur stdout, et peut être enregistrée dans un fichier avec l’option
-o
- Types de sortie pris en charge
pass : génération de mot de passe classiqueseed : génération de fichier seed chiffréraw : génération d’un flux aléatoire de 32 octetsec256, ec384, ec521 : génération de clés privées ECCrsa2048, rsa4096 : génération de clés privées RSAx25519, ed25519 : génération de clés ECC basées sur Curve25519
- Deux modes de fonctionnement
Simple mode : dérive un mot de passe à partir du seul mot de passe maître et de la chaîne realm
- Produit un résultat unique pour chaque combinaison, sans besoin de stockage séparé
- En contrepartie, le niveau de sécurité dépend de la robustesse du mot de passe maître
Seed file mode : utilise un fichier seed comme source d’entropie pour une sécurité accrue
- Le fichier seed est chiffré en AES-256-GCM, ce qui permet de le sauvegarder en toute sécurité sur un stockage externe (ex. : Google Drive, Dropbox)
- Le mot de passe maître sert uniquement à protéger le fichier seed
- Utilitaire CLI basé sur Go, installable avec la commande
go install github.com/cloudflare/gokey/cmd/gokey@latest
- Open source développé par Cloudflare
7 commentaires
https://pashword.app/
C’est très similaire à ça.
Ça semble être une très bonne idée, mais s’il existe une raison pour laquelle tous les autres services ont un stockage, ce n’est sans doute pas pour rien.
Même en l’utilisant, il faudrait de toute façon mémoriser des dizaines d’informations — qu’il s’agisse du nombre d’itérations ou de la clé — à chaque fois qu’un site demande de changer de mot de passe...
Si l’on considère qu’un mot de passe est aussi une forme de clé, alors avec une fonction de dérivation de clé bien utilisée, rien d’impossible.
pw = kdf(master_key, site_id, {salt})
Il suffit de décider si
site_idsera le domaine ou une valeur propre au site,et si c’est un de ces endroits pénibles qui obligent à le changer tous les mois, il suffit de modifier le
saltà chaque fois.Du coup, au final, il faut aussi stocker un salt pour chaque site, non ? haha
Donc, si le domaine change ou s’il y en a plusieurs à utiliser, ça ne conviendra pas...
Cette méthode est bien meilleure.
Mais elle est complètement sabotée par les sites qui imposent cette gestion absurde du genre mettre quelques caractères spéciaux et chiffres dans le mot de passe, le changer tous les 3 mois, etc.
En pratique, les véritables menaces pour la sécurité sont davantage provoquées par les responsables de sites qui ne comprennent même pas ce qu’est la sécurité.
Ah… je confirme : « en pratique, les vraies menaces pour la sécurité sont encore plus souvent causées par des concepteurs de sites qui ne comprennent même pas ce qu’est la sécurité ».
D’un coup, quelques mauvais souvenirs me reviennent en tête, snif