[Sécurite] Mot de passe du trousseau de clé et chiffrement ?

[Phyks]

Bonjour,

Mes partitions sont cryptées (LVM On LUKS) et j'utilise donc la connexion automatique pour gagner du temps au démarrage. Mais du coup, je dois rentrer le mot de passe du trousseau de clé pour déverrouiller les mots de passe stockés dans seahorse.

Est-il dangereux de mettre un mot de passe vide pour Seahorse afin de ne plus avoir de mot de passe à donner au démarrage ? En temps normal, cette pratique est déconseillée car les mots de passe sont alors stockés en clair sur le disque. Mais dans le cas d'un disque chiffré ?

Merci

[benjarobin]

Cela ne changeras rien au problème, la personne sera juste un peu plus embêté s'il n'a que le disque dur.
Donc oui c'est une énorme faille de sécurité de ne pas mettre de mot de passe sur le trousseau de clé

[Phyks]

S'il n'a que le disque dur, les données étant cryptées, il ne pourra rien récupérer (authentication par keyfile).

Après, qu'est-ce que le mot de passe au trousseau change exactement ? Cela permet de stocker les mots de passe dans un fichier protégé par un mot de passe principal et non un fichier en clair. Mais une fois le trousseau déverrouillé au démarrage, le fichier et les mots de passe sont accessibles pendant la session. Donc quelle différence entre mot de passe ou pas ?

[benjarobin]

Le trousseau s'il est bien configuré se verrouille automatiquement au bout d'un certain temps ou lors du verrouillage de la session
Sinon j'espère que ton keyfile est bien sur un disque externe

[Phyks]

Mon keyfile est stocké sur une clé USB, aucun problème de ce côté là

Pour le trousseau, je ne l'ai jamais vu se verrouiller automatiquement après un certain temps (en tout cas, je n'ai jamais eu à réentrer mon mot de passe pour le déverrouiller sur une session sans connexion automatique).

Pour le verrouillage de session, mot de passe au trousseau ou pas, il faut entrer le mot de passe de la session pour rouvrir la session ou redémarrer pour utiliser le PC...

Dans tous les cas, j'ai du mal à voir exactement à quel niveau se situe la faille de sécurité...

P.S. : Est-il possible d'utiliser un keyfile pour ouvrir automatiquement une session et/ou déverrouiller le trousseau de clé, ce qui résoudrait tout ?

[benjarobin]

Si tu verrouille ta session en partant (et qu'elle te demande bien ton mot de passe) et que tu déconnectes la clé USB (en partant) alors en effet tu es très bien protégé (on peut toujours faire mieux, mais je ne pense pas que ce soit nécessaire, c’est déjà très très bien sécurisé).
Désolé c'était une mauvaise compréhension de ma part

[Phyks]

Pour bien repréciser la situation :
- Mon PC portable a un disque chiffré et j'utilise une authentification par keyfile sur clé USB. Mon but serait de n'avoir à entrer aucun mot de passe (ie à utiliser la clé USB pour s'authentifier chaque fois que nécessaire).

Pour cela, j'ai activé la connexion automatique (pas de problèmes puisque de toutes façons il faut la clé USB pour démarrer). Mais, du coup, il faut que je rentre mon mot de passe pour déverrouiller le trousseau de clé.

Ma question est donc : puis-je supprimer le mot de passe du trousseau de clé sans risque ? (et accessoirement, le mot de passe principal Thunderbird, le mot de passe principal Firefox etc.)


P.S. : Chaque fois que je dois laisser l'ordi allumé quelque part, je verrouille la session et j'enlève la clé USB.

-----------------------------------------------------------------------------------------------------------------------------

A priori, les mots de passe étant stockés de façon chiffrée sur le disque, cela ne change rien qu'ils soient en clair ou non. Donc, mot de passe ou non pour le trousseau ? Je demande cela aussi vis à vis d'un programme qui pourrait chercher à récupérer des mots de passe (copie du fichier de mots de passe par exemple) ?

Merci

[FoolEcho]

Ma question est donc : puis-je supprimer le mot de passe du trousseau de clé sans risque ? (et accessoirement, le mot de passe principal Thunderbird, le mot de passe principal Firefox etc.)


P.S. : Chaque fois que je dois laisser l'ordi allumé quelque part, je verrouille la session et j'enlève la clé USB.

Dans ces conditions, je dirai oui (relire la réponse de benjarobin). Après, c'est une sécurité de plus, mais probablement paranoïaque ici.

[benjarobin]

Le problème qu'il reste et qui n'est pas des moindre c'est qu'il est possible qu'un programme se lance et qu'il récupère tous tes mots de passe.
Skype il parait récupère certaines informations depuis le profil de firefox, mais rien n’empêche à un autre programme d'être encore plus indiscret

[Phyks]

Ok. Après test, si le gestionnaire de trousseau n'a pas de mot de passe principal, les mots de passe sont stockés en plain text et parfaitement accessibles dans le fichier ~/.gnome2/gnome-keyring/*.

Je vais donc garder le mot de passe principal de Firefox, de Thunderbird et de Seahorse, car sinon n'importe quelle application peut envoyer ce fichier vers je ne sais où et récupérer mes mots de passe :/

3 dernières petites questions :
- Est-il possible de faire une connexion automatique via un fichier "clé", un peu sur le principe des clés pour SSH ? Ainsi, je garde la connexion "automatique" (ma session s'ouvre toute seule grâce à ce fichier) mais le trousseau seahorse est déverrouillé proprement au démarrage.
- Est-il possible de bidouiller pour stocker les mots de passe en plain text mais de manière protégée ? Je m'explique : est-il possible de lancer Seahorse avec un utilisateur différent et de restreindre l'accès au fichier de mot de passe de sorte que seul Seahorse puisse récupérer les mots de passe ?
- J'ai mis un mot de passe principal à Thunderbird mais maintenant, à chaque lancement, 5 fenêtres de demande de mot de passe principal s'ouvre (car j'ai 5 comptes e-mail différents dans Thunderbird). Y a-t-il un moyen de bidouiller cela ?

Merci

[Phyks]

up ?

[FoolEcho]

- Est-il possible de faire une connexion automatique via un fichier "clé", un peu sur le principe des clés pour SSH ? Ainsi, je garde la connexion "automatique" (ma session s'ouvre toute seule grâce à ce fichier) mais le trousseau seahorse est déverrouillé proprement au démarrage.

Côté mise en œuvre, je ne sais pas. J'imagine que ça doit se faire.

- Est-il possible de bidouiller pour stocker les mots de passe en plain text mais de manière protégée ? Je m'explique : est-il possible de lancer Seahorse avec un utilisateur différent et de restreindre l'accès au fichier de mot de passe de sorte que seul Seahorse puisse récupérer les mots de passe ?

J'imagine... en passant par un groupe commun et en stockant le fichier sur un support gérant les permissions évidemment (ext3, 4, etc.). Mais côté sécurité, c'est totalement nul (plain text + support amovible + partage d'infos).

- J'ai mis un mot de passe principal à Thunderbird mais maintenant, à chaque lancement, 5 fenêtres de demande de mot de passe principal s'ouvre (car j'ai 5 comptes e-mail différents dans Thunderbird). Y a-t-il un moyen de bidouiller cela ?

C'est selon ce que tu utilises (connais pas/plus pour thunderbird, gnome et cie): par exemple avec kwallet sous KDE, tu peux placer un mot de passe principal qui (dé)verrouille l'accès au porte-feuille qui contient les autres mots de passe et définir le comportement selon l'application/les comptes. Ainsi au démarrage, le mot de passe principal est utilisé et tout ceux qui ont besoin profitent de cette ouverture (plusieurs comptes imaps/pop avec kmail, amarok, etc..).

[Phyks]

Ok pour seahorse.

Quelqu'un aurait plus d'infos sur la mise en oeuvre de l'ouverture automatique d'une session par keyfile ?

Quelqu'un aurait plus d'infos sur thunderbird ? J'ai vu qu'apparemment il n'y a aucun moyen de le coupler à Seahorse. En revanche, comment n'avoir qu'une seule demande de mot de passe ?

Merci

EDIT : J'ai trouvé les paquets firefox-gnome-keyring (https://aur.archlinux.org/packages/fire ... e-keyring/) et thunderbird-gnome-keyring sur AUR qui fonctionnent avec les dernières versions de Firefox et de Thunderbird et qui marchent terriblement bien. Seul inconvénient, le transfert des mots de passe est laborieux...