Aller au contenu

[Securité] My Pass Guard : Online Password Manager


Messages recommandés

Bonjour amis Inpactiens !

 

Je voudrais vous soumettre mon projet, afin d'avoir un avis tranché (sortez les sword !) sur ce dernier.

N'hésitez pas à être dure, franc, mais avec des arguments :)

 

Je vous présente donc : MyPassGuard !

logo_main.png

https://www.mypassguard.com

 

Généralité

My Pass Guard est venu d'un constat très simple : je boss énormement avec des outils tels que KeyPass afin de stocker la foultitude de mot de passe qui me servent au quotidien. Oui mais KeyPass, c'est du local ! Et quand je dois me connecter chez des client, dans un cybercafé, ou chez des amis, je n'ai pas forcemment ni l'installeur, ni mon fichier kdb dans la poche.

Pourquoi donc ne pas rendre tout cela en version Web accessible de n'importe où et de manière sécurisé ?

 

Vous allez me dire, oui mais ca existe déjà : Sticky Password, XKeypass, etc...

 

Sauf que tous ces outils ne proposent qu'un client lourd à installer sur son pc, chose que je voulais justement évité.

 

Aspect de sécurité global
 
"Quid de la sécurité des mes mots de passe vis à vis de l'administrateur du site ou même de pirates ?"
 
C'est une question somme toute légitime et qui mérite une attention particulière.
 
Lors de votre inscription, vous renseignez un mot de passe de connexion (jusque la que du classique). Mais ce mot de passe ne sert pas uniquement à vous authentifier. A chaque fois que vous rajouter un mot de passe sur mypassguard.com, ce dernier est chiffré grâce à un algorithme fort (Rijndael 256 pour les connaisseurs) et ne peux être décrypter UNIQUEMENT qu'avec votre mot de passe dit "maitre" (mot de passe de connexion).
 
De la sorte, lorsque vous vous êtes identifié sur le site et durant toute la session, vos mot de passe son déchiffrés à la volé grâce à ce fameux mot de passe "maitre".
 
Nous avons pris appui sur les méthodes des cerification Zero Knowledge. Cette dernière garantie que personne d'autre que l'utilisateur final ne puisse avoir accès aux informations en claire, ni dans la base ni ailleurs.
 
Améliorations V2
 
Et oui, c'est une V2 ! Et parmis les nouveautés pour ceux qui aurait connu la première version :
 
1. SSL de bout en bout.
 
Parce que la sécurité n'est pas une option, nous avons opté pour du SSL de bout en bout avec une connexion HTTPS.
 
2. Le Scoring
 
L'objectif premier du site est toujours de pouvoir stocker ces mots de passe, mais la nouveauté viens d'un algorithme complexe de scoring de chacun des mots de passe vis à vis de leur complexité.
 
Ce scoring intègre entre autre :
 
La vérification de la longueur du mot de passe par rapport aux bonnes pratiques
La vérification des types de caractères utilisés
La vérification de duplicats de mot de passe
La vérification d'utilisation de nom d'utilisateur ou de l'url du site dans le mot de passe
La vérification dans des listes de password leaké
Tous ces paramètres vont généré un score par mot de passe, qui viendra s'additionner à un score globale de sécurité.
 
3. Des guides de bonne pratique
 
D’expérience, les personnes ne sont pas encore assez "éduqués" aux bonnes pratique de création d'un mot de passe.
 
Même mot de passe utilisé sur l'ensemble des sites web, mot de passe trop commun (anniversaire, nom du chat...)
 
Ils ne comprennent ni l'utilité d'avoir un mot de passe fort, ni les méthodes pour retenir un bon mot de passe. Et pourtant, ces méthodes existent !
 
Pour le moment, 2 guides de bonne pratiques sont en ligne.
 
4. Une dashboard repensé
 
La dashboard a été optimisé afin d'avoir des informations claires et précise de l'état de ses mots de passe, mais aussi ergonomique afin que l'utilisation au quotidien soit simplifiée.
 
5. Une vraie homepage
 
Lors de la V1, il n'existait pas de homepage. L'index pointait vers la page de login, un petit bouton permettait de s'inscrire, mais les intentions et l'objectif du site n'était pas mis en avant.
 
Voila qui est résolu avec cette ébauche de homepage qui évoluera encore dans le temps.
 
6. Un chiffrement optimisé
 
Le chiffrement des informations utilisateur a été fortement durci.
 
Comme avant, les mots de passe sont entièrement chiffré avec une méthode dit "Zero Knowledge".
 
Petite nouveauté, les "username" le sont également afin de brouiller encore plus les pistes en cas d'attaque.
 
Aussi, il serait impossible de reverser ni le username, ni le mot de passe, pour quiconque mettrait la main sur la base de donnée.
 
Be safe :)
 
7. Du responsive, encore et toujours
 
Pour le moment, pas d'appli mobile. Cependant le site est entièrement responsive et fonctionne bien mieux que la V1 sur les smartphone et tablette.
 
Cela permet de pallier à l'absence d'application dédié.
 
Et pour la suite ?
 
La suite ne dépend que de vous ! Amis inpactiens, à vos claviers, nous avons besoin de votre aide pour avoir un retour sur le projet.
 
A titre d'information, le projet est utilisé depuis la V1 (plus d'un an) par toute l'équipe, de manière quotidienne. Nous ne pouvons plus nous en passer :)
 
Merci d'avor tout lu pour ceux qui en ont eu le courage :)
Et j'attends avec impatience vos retours/questions sur ce projet !
Lien vers le commentaire
Partager sur d’autres sites

  • 3 mois après...

Si j'ai bien compris, tout se passe depuis le site ? On copie-colle les mots de passe depuis une liste ou quelque chose du genre ? Car je ne vois pas qu'il est fait mention d'application ou d'extension.

 

Ensuite, j'imagine que le code source est propriétaire ? Pour ma part, difficile de faire confiance à une solution aussi sensible sur la base de promesses. Qui me dit qu'il n'y a pas de backdoor et que tout est vraiment chiffré comme il se doit ? Il y a eu un audit ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour amis Inpactiens !

Je voudrais vous soumettre mon projet, afin d'avoir un avis tranché (sortez les sword !) sur ce dernier.

N'hésitez pas à être dure, franc, mais avec des arguments :)

Je vous présente donc : MyPassGuard !

logo_main.png

Bhttps://www.mypassguard.com

 

Généralité

My Pass Guard est venu d'un constat très simple : je boss énormement avec des outils tels que KeyPass afin de stocker la foultitude de mot de passe qui me servent au quotidien. Oui mais KeyPass, c'est du local ! Et quand je dois me connecter chez des client, dans un cybercafé, ou chez des amis, je n'ai pas forcemment ni l'installeur, ni mon fichier kdb dans la poche.

Pourquoi donc ne pas rendre tout cela en version Web accessible de n'importe où et de manière sécurisé ?

 

Vous allez me dire, oui mais ca existe déjà : Sticky Password, XKeypass, etc...

Bonjour,

Je ne comprends pas très bien : Quelle est la différence avec Lastpass déjà existant (rien à installer) ?

Visiblement, tu n'as pas eu de succès dans les réponses, ce qui m'étonne :|

Lien vers le commentaire
Partager sur d’autres sites

Salut,

 

j'ai checké vite fait ton site , alors plusieurs chose déjà manquent

1 - Qui est l'auteur du soft/site  ?

2 - Quid des mentions legales

3 - une meilleur presentation du produit ?

 

Je ne souhaite pas te décourager hein , simple il existe déjà des manager qui font bien le job

 

http://www.roboform.com/

 

4 - Le gestionnaire de complexité me semble justement très complexe . En quoi un pourcentage permet de savoir si un password est secure ? Je te recommanderais de regarder le site https://howsecureismypassword.net/ . Il donnent une estimation  du temps nécessaire pour cracker un password.

Lien vers le commentaire
Partager sur d’autres sites

Voyons voir...
Stocker mes mots de passes sur un serveur ne m'appartenant pas, utilisant un code source ferme que je ne peux pas vérifier, donc je ne sais pas ce qui se passe réellement et je n'ai aucune garantie sur l'utilisation final de mes données personnel en dehors d'un texte qui, au final n'engage que moi (puisque qu'on ne sais pas ce qui se passe derrière).

 

J'avoue c'est tentant.

Lien vers le commentaire
Partager sur d’autres sites

Voyons voir...

Stocker mes mots de passes sur un serveur ne m'appartenant pas, utilisant un code source ferme que je ne peux pas vérifier, donc je ne sais pas ce qui se passe réellement et je n'ai aucune garantie sur l'utilisation final de mes données personnel en dehors d'un texte qui, au final n'engage que moi (puisque qu'on ne sais pas ce qui se passe derrière).

 

J'avoue c'est tentant.

Tellement d'accord...

Mais en même temps c'est la même situation pour le cloud, pas vrai ?

Lien vers le commentaire
Partager sur d’autres sites

Tellement d'accord...

Mais en même temps c'est la même situation pour le cloud, pas vrai ?

Alors oui et non pour le cloud.

Tout ce qui est Dropbox/iCloud/gDrive/oneDrive/AmazonDrive/TotoALaPlageDrive c'est le cas, on n'a aucune idée de ce qui se passe réellement. Autant dans le tas a la limite je ferais le plus confiance a iCloud puisqu'ils ne sont pas dans le business de la pub et que c'est payant donc différent model.

 

Ensuite tu la zone grise avec des trucs du style Bittorrent Sync qui sur le papier semble clean mais au code source ferme, c'est cependant la solution que j'utilise actuellement en attendant de passer a SyncThings.

 

Et enfin tu as le monde des gentils, des bisounours qui se roulent des pelles FOSS avec une ambiances musicale de Gabba bien gras sous creative-commons issue de Jamendo. (avec des stroboscopes évidements)

SyncThings (je me souviens plus de leur nouveau nom)

Mozilla Sync

OwnCloud

A peu prés tout ce qui est open-source et auto-hébergé.

je conçois que c'est pas a la porte de tout le monde et encore moins a celle de madame Michu mais bon si on a les outils, le reste ça peut s'apprendre. Et puis avec c'est pas comme si on risquait de se couper un doigt en coupant une planche.

 

Alors je met des barres a l'OP mais mention +1 pour l'utilisation de Piwik sur le site au lieu de Google Analytics. :yes:

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...