L’un des moyens les plus simples de rester en sécurité en ligne est de pratiquer une bonne hygiène des mots de passe. Pour chaque service et site que vous utilisez, vous devez vous assurer que vous utilisez un mot de passe différent qui contient une combinaison de chiffres et de caractères spéciaux et n’est basé sur aucun mot du dictionnaire.
Dans la mesure du possible, vous devez le sauvegarder avec une authentification robuste à deux facteurs.
La principale raison pour laquelle les gens réutilisent probablement les mêmes mots de passe faibles est qu’il est difficile de se souvenir de mots de passe différents et complexes. C’est pour cette raison qu’il existe un marché florissant pour les gestionnaires de mots de passe, avec des entreprises comme LastPass, LogMeOnce et DashLane toutes florissantes. Les consommateurs sont de plus en plus conscients de la façon dont les gestionnaires de mots de passe peuvent les protéger en ligne.
Mais que se passe-t-il si vous voulez un gestionnaire de mots de passe open source pour Linux, Mac et Windows ? Eh bien, vous avez de la chance. Pass est gratuit, basé sur des normes de cryptage robustes et très facile à utiliser.
Les fondamentaux de la passe
Pass est un gestionnaire de mots de passe simple basé sur la ligne de commande. Ce qui le rend unique, c’est que les mots de passe sont stockés dans des fichiers cryptés GPG. Il s’agit du nom de fichier du site Web ou de la ressource qui a besoin du mot de passe. Ceux-ci sont ensuite organisés dans une arborescence hiérarchique située sous~/.password-store.
Cette philosophie simpliste est bénéfique pour les utilisateurs, car elle signifie que les mots de passe peuvent être manipulés à l’aide d’outils de commande Linux standard. Vous pouvez, par exemple, récupérer votre mot de passe et le rediriger vers un autre utilitaire Linux. Étant donné que les mots de passe sont des fichiers plats, vous pouvez les déplacer d’un ordinateur à l’autre simplement en les transférant. Cela le rend super portable.
Pass est même capable de stocker temporairement les mots de passe dans le presse-papiers, et les modifications peuvent être suivies à l’aide du système de gestion des versions Git.
Pour l’obtenir, dites simplement à votre gestionnaire de paquets d’installer Pass. Sur Ubuntu ou Debian, exécutez
sudo apt-get install pass.
Sur Fedora, c’est
sudo yum install pass
(Je l’installe sur mon Mac, alors j’ai tapé passe d’installation de brassage.)
Une fois qu’il est installé, vous pouvez commencer à constituer votre collection de mots de passe.
Il convient de souligner que Pass ne spécifie aucun type d’exigences sur les données qu’il stocke. Bien que le nom suggère qu’il ne s’agit que d’un gestionnaire de mots de passe, il ne dicte aucun type de schéma particulier. C’est juste un fichier texte plat. Cela signifie que vous pouvez stocker n’importe quoi, des codes PIN aux métadonnées. Même des poèmes.
Comment utiliser le laissez-passer
Lorsque vous installez Pass pour la première fois, votre magasin de mots de passe sera vide et une configuration devra être effectuée avant de pouvoir commencer à l’utiliser.
Heureusement, Pass gère cela pour vous. Exécutez simplement :
pass init
Cela crée les dossiers dans lesquels vos mots de passe seront créés. Pour que cela fonctionne, le texte entre guillemets doit être votre identifiant de clé privée GPG.
Si vous n’en avez pas déjà un, vous devrez en créer un. Pour ce faire, exécutez
gpg --gen-key
…et suivez les instructions. Ils sont assez simples. Pour tester que votre mot de passe a été créé avec succès, exécutez :
gpg --list-keys
Si tout se passe bien, vous verrez quelque chose comme ça lorsque vous exécuterez Pass.
Vous pouvez maintenant commencer à remplir le pass avec des informations. Cela suit une convention très simple.
Pour insérer un mot de passe, exécutez simplement pass insert Servicetype/ServiceName.Donc, si vous ajoutiez votre compte de messagerie personnel, vous exécuteriez :
pass insert email/personal
… puis suivez les instructions de l’invite du terminal.
Exécuter à nouveau Pass vous montrera la hiérarchie de votre collection de mots de passe. Ici, vous verrez que ma collection de mots de passe est de plus en plus grande.
Si vous voulez voir un mot de passe, vous devrez exécuter quelque chose comme :
pass social/twitter
Vous serez invité à saisir votre mot de passe GPG. Veuillez noter que mon vrai mot de passe Twitter n’est pas “mot de passe”.
Vous pouvez également copier les mots de passe dans le presse-papiers. Si je voulais copier mon mot de passe Twitter dans le presse-papiers, j’utiliserais :
pass -c social/twitter
Pour des raisons de sécurité, Pass le supprimera après 45 minutes pour éviter qu’ils ne tombent entre de mauvaises mains.
Pass peut également générer des mots de passe forts à l’aide de l’utilitaire pwgen. Si je voulais générer moi-même un mot de passe de 30 caractères pour LinkedIn, je lancerais :
pass generate social/linkedin 30
Si vous souhaitez supprimer un mot de passe, il vous suffit d’exécuter l’équivalent de
pass rm social/twitter
Il convient de souligner que les gestionnaires de mots de passe ne sont sécurisés que par les personnes qui les utilisent. Pour obtenir des conseils utiles sur la façon de les utiliser efficacement, consultez cet article de Dann Albright.
Migrer pour passer d’autres services
Si vous utilisez déjà un autre gestionnaire de mots de passe, mais que vous êtes tenté par Pass, vous serez ravi d’apprendre que la communauté Pass a écrit un certain nombre de scripts pour porter les mots de passe. Ceux-ci sont principalement écrits en Ruby, mais aussi en Python, Perl et Shell. Ils peuvent migrer les mots de passe des services suivants :
- 1Mot de passe
- KeepassX
- Keepass2
- Figaro
- Dernier passage
- Lorsque
- Révélation
- Gorille
- PWSafe
- KWallet
- Roboform
Pour les télécharger, visitez le site Web du Pass et faites défiler jusqu’en bas.
Il convient également de souligner que si vous ne souhaitez pas utiliser Pass sur la ligne de commande, la communauté a créé un certain nombre d’interfaces GUI pour cela. Le plus beau est GoPass, qui est écrit dans le langage de programmation Go de Google. Cela ne peut être utilisé que pour afficher les mots de passe, et non pour les supprimer ou les insérer.
Il y en a aussi un écrit en Python, appelé Pext. Cela se connecte à un certain nombre de services Linux, y compris Pass, et vous permet de rechercher facilement des éléments.
Comment sécuriser vos mots de passe sous Linux ?
Utilisez-vous Pass, ou y a-t-il un autre service que vous préférez utiliser ? Je veux en entendre parler. Laissez-moi un commentaire ci-dessous, et nous discuterons.