Nous avons des mots de passe pour différents services et comptes partagés (email, CMS, etc.) qui sont aujourd’hui essentiellement transmis par des services de messagerie divers (dans la mesure du possible par l’intermédiaire d’un service de stockage temporaire de mots de passe du type de pwpush.com, mais je doute que cette recommandation soit vraiment suivie par tout les membres… exposant alors les messageries piratées au vol de mots de passe) ce qui n’est pas une pratique idéale en matière de sécurité.
D’autre part il n’y a pas vraiment de vue centralisée sur la circulation de ces mots de passe. Du point de vue de la sécurité (plus que de la question de confiance), il faudrait par exemple changer le mot de passe quand quelqu’un n’utilise plus un compte partagé donné pour limiter le risque d’une négligence. Mais encore faut-il savoir qu’il/elle l’avait.
Une idée pourrait être l’hébergement d’une base de données de mots de passe sous forme de fichier généré et utilisable par le logiciel multiplateforme KeepassXC, mais:
cela implique la familiarisation de chacun des membres avec cet outil, ce qui n’est pas facile.
cela ne permet pas le partage individualisé de mot de passe sans recours à un service tiers. On partage la base ou rien. On peut imaginer diviser la base en plusieurs bases (par groupe d’utilisateurs par exemple), mais cela peut devenir complexe à gérer à tous points de vue.
Une autre idée serait l’intégration au Framaspace d’une application de gestion des mots de passe partagés.
Par exemple:
Je n’ai pas d’expérience avec ces dernières, ni d’opinion sur leur « solidité », mais elles semblent maintenues depuis longtemps et bien documentées.
Qu’en pensez-vous?
Des associations adeptes du Framaspace auraient-elles déjà des retours d’expérience sur cette fonctionnalité, peut-être exercée d’une autre manière que celles évoquées ci-dessus?
Bonjour Comite, j’ai utilisé Passwords pour un asso, notamment des mots de passe de boites mails génériques que nous étions plusieurs à consulter.
Avec Passwords, on voit facilement qui a accès; Quand une personne partait, on changeait le mot de passe (c’était l’ocaz) et on retirait le droit à la personne. Tous les utilisateurs de la boite concernée, n’y accédant plus, allait chercher le nouveau mot de passe et c’était repartit. J’avais même proposé d’utiliser les plugins de navigateurs qui remplissent tout seul les champs. Mais peu de monde avait accroché, Jean-luc
Si le user qui a partagé le mdp est supprimé, le mdp n’est plus mis à jour entre les users à qui il a été partagé (et je crois qu’on ne peut plus l’éditer, on doit le dupliquer pour le modifier, mais des mdp résiduels restent chez les autres user…)
Ayant essayé la démo de l’alternative Passman, l’interface de cette dernière paraît un peu moins ergonomique au premier coup d’oeil, mais le premier point de @Cyp y est possible.
Dans Passman, l’utilisateur est invité à créer un ou plusieurs coffres protégés par un mot de passe de son choix, dans lequel il peut ajouter des mots de passe. Il peut ensuite partager individuellement les mots de passe à d’autres utilisateurs de l’instance, à un groupe d’utilisateurs, ou encore via la génération d’une URL qui peut être envoyée à une personne externe (avec des options permettant par exemple de donner au lien une durée de validité limitée). Par contre je n’ai pas l’impression qu’il soit possible de partager l’ensemble du coffre, ni de créer des dossiers au sein du coffre que l’on pourrait pargager ensuite.
EDIT2:
Ayant trouvé la démo de Passwords, je note que si l’interface me paraît plus « intégrée » à Nextcloud (et donc facile à utiliser pour qui utilise déjà l’explorateur de fichiers). Password permet de choisir si l’on souhaite ou non activer le chiffrement de bout en bout (comme Passman, si ce n’est que ce dernier ne laisse pas le choix à ce propos), avec donc un mot de passe supplémentaire à ajouter. Le chiffrement de bout en bout implique je suppose que les administrateurs (admin Framasoft ou admin de l’asso, voire un pirate éventuel ayant obtenu un accès admin au serveur) n’aient pas accès aux mots de passe de l’utilisateur.
A titre bénévole, j’ai accompagné plusieurs associations dont je suis membre à la prise en main du gestionnaire de mots de passe Vaultwarden (version libre de Bitwarden). Certes, il n’est pas lié à Framaspace, mais je trouve son utilisation très facile, même pour des utilisateur⋅ices pas très à l’aise avec le numérique.
Si vous avez la compétence technique en interne, vous pouvez auto-héberger cette application sur votre serveur (il y a énormément de tutoriels à disposition). Si non, vous pouvez passer par des hébergeurs du collectif CHATONS qui proposent ce type de services. Nous, on a sollicité https://libretic.fr/ pour cela et on est très satisfait⋅es du service.
Merci pour la suggestion. J’ai déjà entendu parler en effet de Vaultwarden, néanmoins sur le plan de la commodité d’usage, tant pour les utilisateurs (qui n’auraient pas à se familiariser avec encore un outil, d’autant que dans notre cas on ne parle que d’une dizaine de mots de passe) que pour les administrateurs (surtout à terme si le partage par groupe devenait possible), je verrai un grand intérêt à voir cette fonctionnalité centralisée dans le Nextcloud de l’association.
Enfin, dans un contexte financier pas très faste pour l’association, je doute fortement du fait de parvenir à engager des dépenses supplémentaires pour la gestion des mots de passe (en l’attente d’un prochain piratage, je crains qu’il n’y ait guère que moi qui m’inquiète du partage « tous azimuts »).