Quantcast
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

LessPass – Le gestionnaire de mot de passe qui ne stocke rien

Quand je parle de gestionnaire de mots de passe, j’ai toujours ce genre de commentaire :

« Oui, mais si tu stockes un mot de passe dans un gestionnaire de mots de passe et que tu chopes un malware, ça ne sert à rien ».

Bon… Oui, mais non, car si tu as la double authentification, ce n’est pas si grave non plus. Mais quand même.

Et ces gens rajoutent : « Le mieux pour ses mots de passe, c’est de les retenir dans son cerveau« .

Mouiiii. Mais ça a ses limites, car quand tu as plus de 300 comptes en ligne sur des services divers et variés, BON COURAGE. Et même le plus Rain Man d’entre-nous finirait par lâcher l’affaire et mettre le même mot de passe partout.

Alors que faire ? Et bien j’ai peut-être une solution pour réconcilier tout le monde et cette solution, c’est LessPass. Il s’agit d’une extension pour Chrome / Firefox, d’une application pour Android et même d’un client en ligne de commande qui vous permet de générer des mots de passe uniques pour chacun de vos sites préférés.

À la différence que ces mots de passe uniques ne sont pas stockés comme cela peut l’être avec Bitwarden ou encore le gestionnaire Keepass, mais simplement « retrouvables » au travers de LessPass grâce à une fonction dérivant un mot de passe en utilisant une combinaison de plusieurs paramètres comme l’URL du site, le nom d’utilisateur, un mot de passe maître que vous devez retenir (et qui pour le coup peut-être toujours lel même).

Alors évidemment, sur le papier c’est séduisant. Ça permet de se passer de gestionnaire de mot de passe, tout en ayant des mots de passe sécurisés et qu’on n’a pas besoin de retenir. Il suffit de « juste » de retenir le mot de passe maître.

Je mets le mot « juste » entre guillemets, car il faut aussi retenir la longueur que vous lui avez donnée, les options (majuscules, minuscules, chiffres, caractères spéciaux) et le n° de counter attribué. Si vous modifiez l’un de ces 3 paramètres, vous obtiendrez un mot de passe différent.

Le « counter », c’est tout simplement pour avoir un nouveau mot de passe pour le même site. Si vous avez besoin d’en changer, vous incrémentez simplement de 1.

LessPass utilise une fonction pure qui a comme caractéristique d’avoir une valeur de retour qui est toujours la même si on spécifie les mêmes arguments. Pour craquer votre mot de passe, il faudrait brute forcer votre mot de passe maitre, mais également, retrouver les paramètres d’entrée comme la longueur du mot de passe ou son n° de compteur. Pour générer le mot de passe, LessPass utilise l’algo PBKDF2 avec 100 000 itérations et la fonction de hash sha-256.

Toutefois, le développeur Guillaume Vincent y a pensé et propose une partie serveur que vous pouvez héberger vous-même et qui stockera uniquement les profils des sites que vous visitez. Les profils contenant uniquement les informations suivantes et aucun mot de passe :

{
    "login": "VOTRE LOGIN",
    "site": "URL DU SITE",
    "lowercase": true,
    "uppercase": true,
    "symbols": true,
    "numbers": true,
    "counter": 1,
    "length": 16
}

Si vous avez la flemme de déployer ça à partir du code source dispo sur Github, il y a une image Docker toute faite du backend de stockage ici.

Tutoriel Lesspass


D’autres gestionnaires de mots de passe open source :

On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +



Un korbenaute trouve son nouveau job via Laou et ça c’est cool

— Article sponsorisé par Laou (mais basé sur des faits réels) —

Salut les amis, vous vous souvenez de mes articles concernant le service Laou ? Et bien j’ai appris récemment qu’au moins un de mes lecteurs (les meilleurs lecteurs du monde à la base donc ils ont un bonus en charisme) a trouvé un nouveau travail grâce à ça. Et ça fait vraiment, mais alors vraiment, plaisir.

Lorsqu’un de mes tutos permet de débloquer une situation ou que je fais découvrir un nouveau site, ça fait zizir et j’ai l’impression d’avoir été utile de manière concrète. Mais si quelqu’un trouve un travail grâce à une de mes infos c’est forcément encore mieux. Parce que l’impact sur la vie de la personne en question est beaucoup plus grand. D’ailleurs, aider les gens à trouver un emploi a toujours été une de mes envies, raison pour laquelle j’ai lancé RemixJobs dès 2010 (longtemps site de référence pour le recrutement web et informatique). Et si ce dernier vient de mourir de sa belle mort, il est possible que je vous réserve l’une ou l’autre surprise sur le sujet bientôt.

Laou recherche d'emploi dans le numérique

Tout ça pour en revenir à Laou. Pour les nouveaux venus je rappelle qu’il s’agit d’une plateforme de recrutement spécialisée dans l’IT en région. Si vous voulez découvrir le travail en province et/ou quitter le stress de la capitale, Laou vous aidera non seulement à trouver un nouvel emploi sur mesure, mais prendra aussi un tas de « soucis » à sa charge : vous trouver un logement, trouver un boulot à votre conjoint, gérer le déménagement, vous faire découvrir votre ville d’adoption … Et cerise sur le gâteau tous les frais sont à la charge de votre futur employeur.

Maintenant la partie la plus cool de l’histoire. Elle concerne Steven, développeur fullstack de 25 ans.

Sans trop entrer dans des détails perso, Steven est originaire du sud de la France et était monté à Paris pour se faire une expérience pro. Il n’y arrive pas vraiment et a un peu de mal à s’y faire un cercle d’amis. Du coup il se dit que Laou pourrait être une option et qu’il va essayer de trouver son boulot rêvé : gameplay developper dans le secteur du jeu vidéo. Sans succès dans un premier temps, car sans expérience c’est tout de suite plus compliqué.

Quitter Paris en 2020 avec Laou

En discutant un peu avec Charlotte, la personne en charge de son dossier, il se rend compte qu’il est plus important pour lui de quitter Paris et d’avoir un cadre de vie adapté que de trouver l’intitulé de boulot exact qu’il recherche. Il est prêt à faire ses classes avant. Et là BAM tout décolle, il reçoit plusieurs propositions dans diverses régions de l’hexagone.

Après plusieurs échanges et un suivi, régulier Laou lui paie une nuit d’hôtel pour lui permettre de rencontrer ce qui sera son futur employeur, be-ys. En plus c’est situé à Clermont-Ferrand #AuvergneRepresent. Juste pour vous situer un peu le dévouement de Laou, le train de Steven est arrivé avec 3 heures de retard à Clermont, et pour s’assurer que tout se passerait bien pour lui, Charlotte était à la gare, de nuit, juste pour l’accueillir. C’est ça le service Laou, du sur mesure et de la flexibilité.

Service Settlesweet

Une fois le contrat signé c’est au tour de Settlesweet de prendre le relais. Settlesweet est le partenaire de Laou pour tout ce qui se touche à la recherche de logement, ce sont eux qui prennent en charge cet aspect de A à Z. Le principe est simple : leur algorithme va analyser une quinzaine de sites d’annonces selon vos critères personnalisés afin de vous trouver le logement le plus adapté à vos envies.

Ensuite, un Home Matcher dédié à votre recherche se chargera de prendre rendez-vous pour les visites et de déposer vos candidatures, le tout en vous tournant les pouces. Settlesweet est entièrement gratuit pour les déménagements dans le cadre d’un nouvel emploi ou d’une mutation. 

Au final il se sera passé quelques mois entre la lecture de mon article et son premier jour de travail. Ce qui est plutôt pas mal, surtout en considérant la pandémie qui a retardé beaucoup de choses. J’espère que Steven lira cet article et qu’il n’hésitera pas à nous partager avec ses mots la manière dont il a vécu tout le processus, ça ferait plaisir !


On fête la rentrée avec NordVPN ! [Bon plan] -68%

-68% 3,3€/mois durant 2 ans

Protection en un clic, fonctionnalité Kill Switch, masquage de votre adresse IP, prise en charge des partages de fichiers en p2p, protection contre les malwares et les pubs, streaming sans interruption, test de fuite DNS et même possibilité de coupler l’outil avec l’anonymat de The Onion Router … sont quelques-unes des autres options disponibles.

À noter que cet été l’outil a passé avec succès l’audit d’une société indépendante (PricewaterhouseCoopers) concernant leur politique de non-conservation de registre d’activité, validant que NordVPN ne conservait pas l’activité de ses utilisateurs sur le web.

De plus une licence NordVPN vous permet de protéger jusqu’à 6 appareils et cela, quelle que soit la plateforme sur laquelle ces derniers tournent (android où iOS, Windows, Linux ou macOS, android TV).

En Savoir +


Réponses notables

  1. Bonjour,

    Toujours intéressant ces gestionnaires de mots de passe. J’utilise moi-même Lastpass et je fais actuellement des essais avec KeePassXC.
    Pour autant cette nouvelle méthode, même si elle est intéressante par son concept, me pose tout de même ces questions:

    • la gestion des mots de passe est faite à travers le site LessPass. Quid de sa sécurité et de son code (OpenSource?).
    • si le service venait à fermer, comment retrouver ses mots de passe sans connaitre l’algorithme de génération ?
    • et est-il possible d’exporter des comptes pour utiliser un autre gestionnaire ou au moins le dupliquer par sécurité ? (actuellement, mon compte Lastpass est sauvegardé en local sur mon PC avec KeePassXC

    Si quelqu’un a la réponse … Merci d’avance.

  2. Bonjour,
    C’est super ton idée d’écrire sur un feuille de papier… surtout quand à titre pro tu as entre 500 et 1000 mots de passe, comment vas tu faire pour vérifier que le nouveau mot de passe que tu vas créer sera bien différent des XXXX autres ??? :grinning: Non il faut reconnaitre qu’un système auto hébergé open source comme Bitwarden c’est quand même super utile. Bon pour le particulier qu’i n’a que trois ou quatre mots de passe le répertoire papier c’est une solution. Le soucis c’est que si tu paumes le répertoire en ville… tu vas donner 100% de tes accès à celui qui va les trouver :rofl:
    Sur ce bonne journée.

Continuer la discussion sur Korben Communauté

2 commentaires supplémentaires dans les réponses

Participants