Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

LessPass – Le gestionnaire de mot de passe qui ne stocke rien

Quand je parle de gestionnaire de mots de passe, j’ai toujours ce genre de commentaire :

« Oui, mais si tu stockes un mot de passe dans un gestionnaire de mots de passe et que tu chopes un malware, ça ne sert à rien ».

Bon… Oui, mais non, car si tu as la double authentification, ce n’est pas si grave non plus. Mais quand même.

Et ces gens rajoutent : « Le mieux pour ses mots de passe, c’est de les retenir dans son cerveau« .

Mouiiii. Mais ça a ses limites, car quand tu as plus de 300 comptes en ligne sur des services divers et variés, BON COURAGE. Et même le plus Rain Man d’entre-nous finirait par lâcher l’affaire et mettre le même mot de passe partout.

Alors que faire ? Et bien j’ai peut-être une solution pour réconcilier tout le monde et cette solution, c’est LessPass. Il s’agit d’une extension pour Chrome / Firefox, d’une application pour Android et même d’un client en ligne de commande qui vous permet de générer des mots de passe uniques pour chacun de vos sites préférés.

À la différence que ces mots de passe uniques ne sont pas stockés comme cela peut l’être avec Bitwarden ou encore le gestionnaire Keepass, mais simplement « retrouvables » au travers de LessPass grâce à une fonction dérivant un mot de passe en utilisant une combinaison de plusieurs paramètres comme l’URL du site, le nom d’utilisateur, un mot de passe maître que vous devez retenir (et qui pour le coup peut-être toujours lel même).

Alors évidemment, sur le papier c’est séduisant. Ça permet de se passer de gestionnaire de mot de passe, tout en ayant des mots de passe sécurisés et qu’on n’a pas besoin de retenir. Il suffit de « juste » de retenir le mot de passe maître.

Je mets le mot « juste » entre guillemets, car il faut aussi retenir la longueur que vous lui avez donnée, les options (majuscules, minuscules, chiffres, caractères spéciaux) et le n° de counter attribué. Si vous modifiez l’un de ces 3 paramètres, vous obtiendrez un mot de passe différent.

Le « counter », c’est tout simplement pour avoir un nouveau mot de passe pour le même site. Si vous avez besoin d’en changer, vous incrémentez simplement de 1.

LessPass utilise une fonction pure qui a comme caractéristique d’avoir une valeur de retour qui est toujours la même si on spécifie les mêmes arguments. Pour craquer votre mot de passe, il faudrait brute forcer votre mot de passe maitre, mais également, retrouver les paramètres d’entrée comme la longueur du mot de passe ou son n° de compteur. Pour générer le mot de passe, LessPass utilise l’algo PBKDF2 avec 100 000 itérations et la fonction de hash sha-256.

Toutefois, le développeur Guillaume Vincent y a pensé et propose une partie serveur que vous pouvez héberger vous-même et qui stockera uniquement les profils des sites que vous visitez. Les profils contenant uniquement les informations suivantes et aucun mot de passe :

{
    "login": "VOTRE LOGIN",
    "site": "URL DU SITE",
    "lowercase": true,
    "uppercase": true,
    "symbols": true,
    "numbers": true,
    "counter": 1,
    "length": 16
}

Si vous avez la flemme de déployer ça à partir du code source dispo sur Github, il y a une image Docker toute faite du backend de stockage ici.

Tutoriel Lesspass


D’autres gestionnaires de mots de passe open source :


Réponses notables

  1. Bonjour,

    Toujours intéressant ces gestionnaires de mots de passe. J’utilise moi-même Lastpass et je fais actuellement des essais avec KeePassXC.
    Pour autant cette nouvelle méthode, même si elle est intéressante par son concept, me pose tout de même ces questions:

    • la gestion des mots de passe est faite à travers le site LessPass. Quid de sa sécurité et de son code (OpenSource?).
    • si le service venait à fermer, comment retrouver ses mots de passe sans connaitre l’algorithme de génération ?
    • et est-il possible d’exporter des comptes pour utiliser un autre gestionnaire ou au moins le dupliquer par sécurité ? (actuellement, mon compte Lastpass est sauvegardé en local sur mon PC avec KeePassXC

    Si quelqu’un a la réponse … Merci d’avance.

  2. Bonjour,
    C’est super ton idée d’écrire sur un feuille de papier… surtout quand à titre pro tu as entre 500 et 1000 mots de passe, comment vas tu faire pour vérifier que le nouveau mot de passe que tu vas créer sera bien différent des XXXX autres ??? :grinning: Non il faut reconnaitre qu’un système auto hébergé open source comme Bitwarden c’est quand même super utile. Bon pour le particulier qu’i n’a que trois ou quatre mots de passe le répertoire papier c’est une solution. Le soucis c’est que si tu paumes le répertoire en ville… tu vas donner 100% de tes accès à celui qui va les trouver :rofl:
    Sur ce bonne journée.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants