Intéressant car apparemment ouvert et partie serveur hébergeable.

Aujourd'hui j'utilise password-store (stockage chiffré avec PGP sur un repo git privé non hébergé chez moi)

Si on enregistre ses mots de passe avec le navigateur chrome/chromium sans utiliser de phrase secrète, et que l'on ouvre une session Google (je ne parle même pas de la feature de connexion google au sein du navigateur) ceux ci sont enregistrés "en clair" chez Google.

https://passwords.google.com/
https://www.google.com/settings/chrome/sync

"""
Script to manage passwords in an encrypted file using gpg.
"""

Exemple avec mon test (j'ai stocké 2 mots de passe pour les users kikoo et test)
"""
$ cat pwd.sh.safe
-----BEGIN PGP MESSAGE-----
Version: GnuPG v1

jA0EAwMC8eXkNufOzUxgyXS5OXNDpddtB1EnKl9p3u7dHPS2+pEMufjge2T8bW+5
s+yuv+4nOGNkjNhzUW5uc0CCGpad3f8i/JWdr9Sm+XyoSKElR0rSCLi+dHbd1fnu
dPE17gwVWxcgyhiRgIlwkKxy0T/0/OLqZiZ8y1vugxVp2WuI8Q==
=aspR
-----END PGP MESSAGE-----

$ ./pwd.sh
Read, write, or delete a password? (r/w/d, default: r) r
Username to read? (default: all)
Enter password to unlock pwd.sh.safe: **
Qd4tq1aj1TnZxGmml7XQy5qvPSIZyb2f/X27JLvT kikoo
hN+aRF4BsUgXFD9kxkFED7bQjhmDgWttmRAlLqeK test
Done

"""
On préfèrera peut-être une solution plus complète, en terme de fonctionalités et clients, comme pass (http://www.passwordstore.org/).

Un article qui explique les capacités du nouvel outil de Hashicorp: Vault.
Il s'agit d'un coffre-fort pour stocker des "secrets" de manière chiffrée sur disque (ou sur consul). C'est bien sûr attaquable via une API.

Un des trucs qui m'a marqué c'est le "dynamic SQL credentials".
"""
With dynamic SQL credentials, every application that needs database access is generated a new SQL user. For systems such as PostgreSQL, Vault even sets the VALID UNTIL field so PostgreSQL itself will revoke the user automatically.
"""
Classe, non?

Prise en main rapide de l'outil: https://www.vaultproject.io/#/demo/0

Hashicorp est l'auteur de Vagrant, Packer, Serf, Consul, et Terraform.
J'utilise Consul en prod, Vagrant pour quelques tests. Peut-être bientôt Terraform pour la partie provisionning à la place de salt-cloud. Des beaux outils open-source.

$ su
# cat /data/misc/wifi/wpa_supplicant.conf

inspiré par http://xkcd.com/936/

PS: en français: http://tools.aldarone.fr/password/ via http://tools.aldarone.fr/share/?FHw6mA

Enter the user name Admin with password zabbix to log in as a Zabbix superuser.

faut qu'on migre sur ça au taff
marre de keepass

y'a aussi un client android dispo sur f-droid: https://github.com/zeapo/Android-Password-Store

"""
KeePassC is a password manager fully compatible to KeePass v.1.x and KeePassX. That is, your password database is fully encrypted with AES.
KeePassC is written in Python 3 and comes with a curses-interface. It is completely controlled with the keyboard.
"""
code: https://github.com/raymontag/keepassc

ça permet, par exemple, d'ouvir la base de données keepass directement sur un serveur (qui ne dispose pas d'environnement graphique).

via http://jasonwryan.com/blog/2014/08/02/password/

Cette appli permet d'accéder à sa base de données keepassdroid via un tag nfc.
On peut y adjoindre un mot de passe.
On se retrouve avec une authentification à 2 facteurs: - ce que je possede (la clé sous forme nfc) - ce que je sais (le mot de passe).
Il suffit d'approcher le tag nfc (préalablement configuré avec l'appli). Ce dernier lance automatiquement keepassnfc qui lui méme lance keepassdroid si l'authentification est OK.
Dispo sur Fdroid.

webapp libre permettant de gérer une base de données de mots de passe de manière collaborative.
c'est une alternative utile à keepass, en particulier pour les entreprises car j'aurais plus idée de mettre ce truc sur un intranet plutôt qu'internet (question de sécurité)

De bonnes pratiques pour générer un mot de passe sécurisé et différent pour chaque site.
j'utilise une variante assez similaire: http://forum.pcinpact.com/topic/157193-bien-gerer-ses-mots-de-passe/

• 2 caractères relatifs au site ou au service. très prédictif...
• 2 caractères mot de passe = non prédictif, change suivant la criticité ou l'environnement. Par exemple, pour le travail j'utilise quelque chose différent que pour le perso. Pour google j'utilise un identfiant différent aussi car jusqu'alors gmail était mon adresse mail principale, donc hyper critique.
• premières lettres d'une passphrase
  Le tout mélangé avec des caractères spéciaux/l33t, ça fait un mdp d'environ 100bits que j'arrive à retenir sans problème.
  Mon keepass me sert pour stocker les mots pour lesquels je n'applique pas ce schéma. Exemple: mot de passe SSH (>200bits), etc.

De plus le nombre de caractères max est de 8 pour le password.

C'est triste.