Re: [FRsAG] Système de gestion des pass multi-utilisateurs

[Guillaume Friloux]

Bonjour, je pense que vous n avez juste pas compris son besoin : 
centraliser les mots de passes (et non centraliser l auth), en ayant un 
mot de passe "maitre" permettant d acceder aux mots de passes stockes.

On 10/05/2013 16:25, Emmanuel Thierry wrote:
Le 10 mai 2013 à 16:13, Julien Escario <esca...@azylog.net> a écrit :

Le 10/05/2013 15:53, Emmanuel Thierry a écrit :
OpenLDAP c'est du SSHA en général, donc du hash salté. Le salt est encodé dans 
le contenu du pass stocké. En gros un mot de passe est stocké sous cette forme: 
 salt . sha(salt . pass)
Donc d'une part à aucun moment tu ne stockes le mot de passe en clair, tu ne 
peux pas non plus le reverser du fait de la construction, enfin c'est très 
chaud à brute-forcer puisque le salt est unique pour chaque mot de passe (pas 
d'attaque par dictionnaire possible). Le mot de passe ne passe en clair 
qu'entre le client et le serveur (une connexion TLS et c'est fini ! :) )
OK, merci pour l'explication. Je suis un peu light sur ldap. Par contre, 
d'après ce que tu dis, je peux authentifier avec LDAP mais pas stocker du 
password de manière sécurisée.

Ah non, au contraire, c'est le plus sécurisé. c'est du hachage donc un alto non 
réversible. Lorsque tu vérifies le mot de passe, tu prends le mot de passe 
plaintext que l'utilisateur te donne, tu le hashes, et tu vérifies que le 
résultat est bien celui que t'as stocké. En gros tu n'as aucune méthode pour 
retrouver le mot de passe original à partir d'un SSHA, ça ne peut se faire que 
par brute-force (avec les clusters qui vont bien).


Sinon autre solution: authentification par clé SSH ou certificat (ce qui 
revient à peu près au même). Tu trouveras peu de choses aussi robuste !
On mets déjà de la clé et/ou certificat chaque fois qu'on peut mais sur de 
l'appli web, c'est quand même vite limité.

Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double 
authentification (clé sur support USB + password), base stockée cryptée sur 
notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà 
plutôt solide.
Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs 
lui même crypté et mettre ça au coffre. Après, ca va finir par être de la 
parano non ?
Bah le truc c'est que quelqu'un chope la clé et il a accès aux mots de passe. 
Le bon stockage de mot de passe ne doit idéalement pas être réversible. :)

Cordialement
Emmanuel Thierry

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


<<attachment: guillaume_friloux.vcf>>_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/