← retour à la liste des articles

Pass : The Standard Unix Password Manager

Publié le 05/07/2020, dernière modification le 05/07/2020Temps de lecture : 10 min.
image

Image honteusement volée sur Internet.

Pourquoi utiliser un gestionnaire de mots de passe ?

Vous vous dites peut-être : "je n'ai pas besoin d'un gestionnaire de mots de passe, j'ai une bonne mémoire". Si c'est le cas, vous avez tort.

Beaucoup de gens savent maintenant qu'il faut utiliser un mot de passe compliqué, et pas simplement un mot au hasard, le nom de son chien, ou pire quelque chose du genre "1234" ou "azerty". Nous allons imaginer que vous faites partie de ces gens éclairés, qui savent qu'une attaque par dictionnaire permettrait de percer un tel mot de passe en quelques secondes, ou minutes dans le meilleur des cas.

Vous utilisez donc un mot de passe compliqué, avec des minuscules et majuscules, des chiffres, d'une longueur d'au moins 8 caractères, voir même avec des caractères spéciaux. C'est très bien. Mais si vous mettez ce même mot de passe compliqué sur tous vos comptes sur Internet, ce mot de passe finira très probablement par être découvert ! Il suffit d'un site, d'un seul, qui stocke les mots de passe de ses utilisateurs en clair dans sa base de données pour que l'ensemble de vos comptes risquent d'être piratés, si le site en question l'est lui-même un jour (et si les développeurs n'ont pas pensé à chiffrer les mots de passe, il y a de fortes chances que le-dit site soit bourré de failles de sécurité).

Pour ceux qui douteraient de la probabilité qu'une telle "coincidence" se produise, je vous invite à faire un tour sur haveibeenpwned.com. Vous pourrez voir sur la page d'accueil les différents sites dont les comptes utilisateurs ont été piratés, et vous pourrez surtout tester si votre adresse mail ou votre mot de passe font partie de ces fuites.

Il est donc primordial de mettre un mot de passe différent sur chaque site sur lequel vous créez un compte. Et là, bonne mémoire ou pas, se passer d'un gestionnaire de mot de passe devient très compliqué.

Lequel choisir ? Celui de Google Chrome ?

Le gestionnaire de mots de passe de Google Chrome est à éviter. Quand vous utilisez ce dernier, vos mots de passe sont stockés en clair sur toutes les machines que vous connectez à votre compte Google, ils ne sont pas chiffrés.

À moins que votre disque dur soit entièrement chiffré (ce qui est très rare), n'importe qui qui parviendrait à mettre la main sur votre machine pourrait avoir accès très facilement à l'ensemble de vos mots de passe.

Pass : le gestionnaire de mots de passe pour barbus

Je parle bien sûr du surnom souvent donné aux fans de GNU/Linux, peu importe que vous ayez une barbe ou non.

Ce gestionnaire de mots de passe se veut très simple, et tente de suivre la philosophie Unix (chaque logiciel ne fait qu'une seule tâche mais la fait bien, et tout est fichier). Le principe ? Chaque mot de passe est stocké dans un fichier chiffré avec GPG (GNU Privacy Guard) / OpenPGP, qui porte le nom du service ou site auquel il correspond.

Les mots de passe sont donc stockés sur votre machine, mais chiffrés. Pour les déchiffrer on utilise un mot de passe maitre (il vous suffit donc de retenir UN SEUL mot de passe).

Pour synchroniser vos mots de passe entre différentes machines, git est utilisé.

Pour plus d'infos, je vous invite à consulter directement le site de Pass.

Je ferais prochaiement un article pour expliquer la mise en place de Pass, et surtout comment synchroniser les mots de passe entre différentes machines.