Quand je parle de gestionnaire de mots de passe, j’ai toujours ce genre de commentaire :
« Oui, mais si tu stockes un mot de passe dans un gestionnaire de mots de passe et que tu chopes un malware, ça ne sert à rien ».
Bon… Oui, mais non, car si tu as la double authentification, ce n’est pas si grave non plus. Mais quand même.
Et ces gens rajoutent : « Le mieux pour ses mots de passe, c’est de les retenir dans son cerveau« .
Mouiiii. Mais ça a ses limites, car quand tu as plus de 300 comptes en ligne sur des services divers et variés, BON COURAGE. Et même le plus Rain Man d’entre-nous finirait par lâcher l’affaire et mettre le même mot de passe partout.
Alors que faire ? Et bien j’ai peut-être une solution pour réconcilier tout le monde et cette solution, c’est LessPass. Il s’agit d’une extension pour Chrome / Firefox, d’une application pour Android et même d’un client en ligne de commande qui vous permet de générer des mots de passe uniques pour chacun de vos sites préférés.
À la différence que ces mots de passe uniques ne sont pas stockés comme cela peut l’être avec Bitwarden ou encore le gestionnaire Keepass, mais simplement « retrouvables » au travers de LessPass grâce à une fonction dérivant un mot de passe en utilisant une combinaison de plusieurs paramètres comme l’URL du site, le nom d’utilisateur, un mot de passe maître que vous devez retenir (et qui pour le coup peut-être toujours lel même).
Alors évidemment, sur le papier c’est séduisant. Ça permet de se passer de gestionnaire de mot de passe, tout en ayant des mots de passe sécurisés et qu’on n’a pas besoin de retenir. Il suffit de « juste » de retenir le mot de passe maître.
Je mets le mot « juste » entre guillemets, car il faut aussi retenir la longueur que vous lui avez donnée, les options (majuscules, minuscules, chiffres, caractères spéciaux) et le n° de counter attribué. Si vous modifiez l’un de ces 3 paramètres, vous obtiendrez un mot de passe différent.
Le « counter », c’est tout simplement pour avoir un nouveau mot de passe pour le même site. Si vous avez besoin d’en changer, vous incrémentez simplement de 1.
LessPass utilise une fonction pure qui a comme caractéristique d’avoir une valeur de retour qui est toujours la même si on spécifie les mêmes arguments. Pour craquer votre mot de passe, il faudrait brute forcer votre mot de passe maitre, mais également, retrouver les paramètres d’entrée comme la longueur du mot de passe ou son n° de compteur. Pour générer le mot de passe, LessPass utilise l’algo PBKDF2 avec 100 000 itérations et la fonction de hash sha-256.
Toutefois, le développeur Guillaume Vincent y a pensé et propose une partie serveur que vous pouvez héberger vous-même et qui stockera uniquement les profils des sites que vous visitez. Les profils contenant uniquement les informations suivantes et aucun mot de passe :
{
"login": "VOTRE LOGIN",
"site": "URL DU SITE",
"lowercase": true,
"uppercase": true,
"symbols": true,
"numbers": true,
"counter": 1,
"length": 16
}
Si vous avez la flemme de déployer ça à partir du code source dispo sur Github, il y a une image Docker toute faite du backend de stockage ici.