Passbolt sux, on change ?

Bon après avoir galéré comme pas possible avec passbolt c’est au tour de @debnet de galérer.

On change ?

Je propose : un simple .kdbx qu’on se partage disons sur le repo infra ?

Qui dit mieux ?

+1 pour moi. J’aime les choses simples, comme Herta.

C’est le plus simple. Faudra avoir un mot de pass maitre un peu sioux :smiley: .

Sinon y’as pass https://www.passwordstore.org/ mais qui est linux only et demande des clef gpg.

J’utilise pas mal https://bitwarden.com/ mais la maintenance du service opensource (même si c’est du docker) doit être chiante.

Pour Bitwarden, je crois que le serveur n’est pas libre (cette info, pour moi, date d’un moment) mais il y a une implémentation fait en Rust :

+1 pour passwordstore

J’aime bien l’approche de passwordstore, je pense que je comprend bien comment le partage fonctionne (lister les id de clef pour lesquels ils faut chiffer chaque mot de passe dans ~/.password-store/.gpg-id), par contre je ne comprend pas du tout comment gérer les “groupes”, typiquement si quelqu’un veut utiliser pass pour lui, pour l’AFPy, et pour son Job, comment il fait ?

Aussi, pour ajouter quelqu’un “à l’équipe”, après l’avour ajouté au .gpg-id, faut-il pass edit tous les mots de passe pour les chiffer à nouveau avec sa clef ajoutée?

Il faut refaire un pass init

Tu réponds à quelle question ?

oups pardon.

Pour la première, pour avoir son pass a lui et celui de l’afpy, suffit de changer la variable PASSWORD_STORE_DIR

et donc le pass init c’est dans le cas ou tu rajoutés une clé

Pour géré plusieurs groupes tu fait un dossier par groupe chaque dossier peut avoir son propre set de clef gpg : Using pass in a team. The “standard unix password manager”… | by David | Medium

Alors, on teste quoi ?
  • On reste sur passbolt
  • Keepassx
  • passwordstore
  • autre (commentez !)
  • Je veux juste voir le résultat du sondage

0 votant

Suite à notre dernière réunion de bureau, on s’était dit que ce serait bien d’avoir un petit récapitulatif des solutions possibles. D’après les propositions dans ce fil et ce qu’on peut trouver en ligne, voici une liste d’outils libres avec certains avantages et inconvénients. Il y en a bien sûr d’autres, mais c’est au moins un début :slight_smile:.

pass (passwordstore.org)

Outil basé sur la philosophie Unix, avec une grande envie de simplicité. Interface en ligne de commande, mais avec des tonnes de clients (dont des plugins pour les navigateurs, des versions graphiques pour les principaux OS, des applis mobiles…). Conçu pour versionner les mots de passe avec git (et donc les partager). Plein de fonctionnalités : génération de mots de passe, complétion pour différents shells, copie dans le presse-papier, groupes de mots de passe…

Je vote personnellement pour ça !

Bitwarden

Un service de stockage de mots de passe en ligne. Plein de clients libres pour toutes les plateformes. Grande base d’utilisatrices et d’utilisateurs. Possibilité de stocker les mots de passe soi-même avec un serveur non officiel, mais le service officiel met beaucoup en avant son propre service d’hébergement (payant quand on est plus de 2). Support payant si on utilise le service officiel.

KeepassXC

Client lourd (QT) pour stocker des mots de passe dans un fichier unique partageable (kdbx). Le format est facilement partageable mais difficilement versionnable (un seul fichier). Il peut être lu par beaucoup d’autres clients.

PSONO

Logiciel et service en ligne hébergeant des mots de passe. Possibilité d’installer le serveur soi-même (édition communauté libre et entreprise propriétaire, image Docker fournie) ou d’utiliser le service payant. Interface en ligne. Extensions pour Chrome et Firefox.

1 « J'aime »

Le projet Enough a rencontré la même problématique et a choisi Psono. Un retour d’expérience est disponible. Les playbooks ansible d’installation de Psono via Docker du projet Enough sont disponibles ici.

Mise à jour sur l’import pass :

  • [✓] Repo crée sur github.
  • [✓] Mots de passes importés depuis passbolt.
  • [✓] Organisation crée avec tout le comité directeur sur Github.
  • [✓] Organisation “comité directeur” est admin du repo “pass”.
  • [ ] Signer les mots de passe pour ceux qui need.

J’attend vos clefs publiques :slight_smile:

TL;DR: J'ai changé ma clef, #mylife.

Moi j’en ai profité pour faire une rotation de ma clef privée (elle n’avait jamais été signée par personne alors je ne perd rien, et, bien que sa passephrasse était absurdement compliquée, elle était présente sur un laptop non chiffré volé à $DAYJOB, alors ça me gênait de l’utiliser). La nouvelle est sur une machine airgap, parce que pourquoi pas.

J’ai donc signé mon ancienne clef avec la nouvelle et la nouvelle avec l’ancienne, pour bien les lier, et j’ai révoqué l’ancienne.

Pour ceux qui connaissaient mon ancienne clef (personne quoi ?), elle est (signée par la nouvelle), et la nouvelle est (signée par l’ancienne).

Par contre les keyserveurs ne semblent pas en pleine forme :

gpg: sending key 0x46EBCD72F08E6717 to x-hkp://pool.sks-keyservers.net
gpg: keyserver send failed: No keyserver available
gpg: keyserver send failed: No keyserver available
gpg: sending key 0xB4696EEC921B800C to hkp://pgp.mit.edu
gpg: sending key 0xB4696EEC921B800C to hkp://wwwkeys.ch.pgp.net
gpg: keyserver send failed: Network is down
gpg: keyserver send failed: Network is down

c’est moi où bien ?

Bon j’ai pas encore trouvé comment on peut chiffrer certains mots de passe pour certaines personnes et d’autres pour d’autres, si qqun a la doc, ou veut le faire, je prend.

J’attend vos clefs publiques :slight_smile:

Voilà pour moi : https://pgp.mit.edu/pks/lookup?op=vindex&search=0x26B3BE93086F3EE8 (2048R/086F3EE8)

Ma clé publique est disponible sur la plupart des concentrateurs avec mon adresse personnelle, mais je peux vous la redonner ici si vous en avez besoin :

https://keys.openpgp.org/vks/v1/by-fingerprint/95F6A7DE2DAA06BD7AC4920314778F7F564782B9

J’ai testé le système, ça fonctionne bien, c’est rapide et simple, adopté pour ma part. :wink: