Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
921 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Gestion des mots de passe

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Gestion des mots de passe

n°145607
nnwldx
Posté le 22-03-2017 à 21:44:19  profilanswer
 

Bonjour,
 
Comment faites-vous pour gérer les mots de passe des clients ?
 
En utilisant des fichiers Office, c'est pratique, simple à mettre à jour  
Mais l'accès n'est pas simple pour une personne à l'extérieur de l'entreprise qui en a besoin.
Et n'importe qui à l'intérieur de l'entreprise peut copier ces fichiers et partir avec.
 
On pourrait mettre les mots de passe sur de l'office 365 dans un Sharepoint.
Comme cela, l'accès aux mots de passe sera plus simple pour les personnes à l'extérieur.
Mais si jamais quelqu'un se fait pirater son compte, le pirate aura accès à tous les comptes.
On peut envisager d'utiliser une double authentification.
 
Ou utiliser des programmes comme keepass, secret server.
Mais je pense que cela ne conviendra au besoin.
 
Il faudrait une solution pas trop complexe à utiliser pour que les techniciens fassent les mises à jours des mots de passe.
Et d'un autre coté, il faut que ce soit sécurisé et accessible.
je n'ai pas l'impression qu'il existe de solution idéale.

mood
Publicité
Posté le 22-03-2017 à 21:44:19  profilanswer
 

n°145609
remi_
Posté le 22-03-2017 à 22:41:31  profilanswer
 

Bonsoir,
 
j'utilise au sein de mon équipe des fichiers keypass, avec mdp master partagé par l'équipe. Le fichier est sur notre GED, au moins on a la traçabilité des changements.
 
Un moment j'avais regardé teampass (http://teampass.net/) qui pourrait répondre à ton besoin.

n°145613
Micko77666
Posté le 23-03-2017 à 08:23:32  profilanswer
 


Nous aussi nous utilisons Keepass, vraiment un très bon produit.

n°145615
nebulios
Posté le 23-03-2017 à 09:30:10  profilanswer
 

Je dirais que ta question est très vague. Quel genre de mots de passe, pour quel niveau de privilèges, pour quelle utilisation ?

n°145619
ShonGail
En phase de calmitude ...
Posté le 23-03-2017 à 10:31:26  profilanswer
 

nnwldx a écrit :


Et n'importe qui à l'intérieur de l'entreprise peut copier ces fichiers et partir avec.
 


 
Et les droits NTFS ?

n°145622
nnwldx
Posté le 23-03-2017 à 12:29:49  profilanswer
 

Pour le genre de mot de passe, cela peut être les serveurs, les équipements, le stockage, compte SQL, compte de messagerie.
 
Il faut que les techniciens puissent modifier ces fichiers, à moins de mettre de l'AD RMS, je ne pense pas que l'on puisse empêcher la copie des fichiers.
 
Il faudrait que je regarde ce que teampass vaut.
 
Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès.

n°145623
Micko77666
Posté le 23-03-2017 à 13:09:37  profilanswer
 

"Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès."   compliquer ? pourquoi ?

n°145624
nnwldx
Posté le 23-03-2017 à 13:18:35  profilanswer
 

C'est plus compliqué car il faut avoir un keepass d'installé sur un poste.
Si un consultant est chez un client et que son poste n'a pas accès à internet, il sera bloqué.
 
Il faudra aussi qu'il utilise un VPN pour se connecter au LAN où sont stockés les mots de passe.

n°145625
Micko77666
Posté le 23-03-2017 à 13:22:31  profilanswer
 


Perso j'ai un google Drive avec le fichier Keepass dessus, je l'ai toujours en hors connexion comme ça.

n°145630
fred34
Posté le 23-03-2017 à 14:39:31  profilanswer
 

On utilise Crypt-O qui est en mode client-serveur et qui sait authentifier et gérer les utilisateurs grâce à l'Active Directory, qui logue tous les accès (qui a vu quel mot de passe).
 
L'avantage est qu'il est facile de bloquer les accès contrairement à un fichier partagé.
 
Crypto dispoe également d'un mode web qui permet de l'ouvrir vers l'extérieur, par ex.


Message édité par fred34 le 23-03-2017 à 14:40:05

---------------
http://leblogdundsi.lesprost.fr/
mood
Publicité
Posté le 23-03-2017 à 14:39:31  profilanswer
 

n°145651
nebulios
Posté le 23-03-2017 à 17:04:54  profilanswer
 

nnwldx a écrit :

Pour le genre de mot de passe, cela peut être les serveurs, les équipements, le stockage, compte SQL, compte de messagerie.
 
Il faut que les techniciens puissent modifier ces fichiers, à moins de mettre de l'AD RMS, je ne pense pas que l'on puisse empêcher la copie des fichiers.
 
Il faudrait que je regarde ce que teampass vaut.
 
Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès.


Pour la problématique ne devrait quasiment pas se poser. Un accès = un compte adm nominatif avec mot de passe associé.

n°145654
nnwldx
Posté le 23-03-2017 à 19:11:18  profilanswer
 

Merci pour Crypt-O, ça à pas l'air mal avec l'accès web et smartphone.
 
Nebulios, Un accès = un compte adm nominatif, est très bien pour une société en interne.
Mais on ne peut pas faire un compte nominatif pour chaque client, ce serait trop compliqué à maintenir.
Dés qu'il y aurait un départ ou une arrivée, il faudrait à chaque fois repasser sur toutes les infras des clients.
 
L'idéal serait un logiciel qui donne accès à un certain nombre de mots de passe en fonction de l'identifiant.
Comme cela, personne n'a pas accès à tous les mots de de passe et une personne mal attentionnée ne peut pas faire une copie de tous les fichiers et partir.

Message cité 1 fois
Message édité par nnwldx le 23-03-2017 à 19:11:38
n°145661
nebulios
Posté le 24-03-2017 à 09:59:48  profilanswer
 

nnwldx a écrit :

Merci pour Crypt-O, ça à pas l'air mal avec l'accès web et smartphone.
 
Nebulios, Un accès = un compte adm nominatif, est très bien pour une société en interne.
Mais on ne peut pas faire un compte nominatif pour chaque client, ce serait trop compliqué à maintenir.
Dés qu'il y aurait un départ ou une arrivée, il faudrait à chaque fois repasser sur toutes les infras des clients.
 
L'idéal serait un logiciel qui donne accès à un certain nombre de mots de passe en fonction de l'identifiant.
Comme cela, personne n'a pas accès à tous les mots de de passe et une personne mal attentionnée ne peut pas faire une copie de tous les fichiers et partir.


 
J'ai du mal à comprendre ton rôle chez le client. Tu es presta, tu bosses à distance ? Ou tu bosses chez lui ? Il n'y a aucun service informatique là-bas ? Il y a d'autres prestas ?
 
Globalement je dirais que les informations et les accès client doivent rester chez le client, pour des questions de sécurité et juridiques. Techniquement un modèle de délégation te permet de faire ce que tu veux, mais d'après ce que tu dis il n'existe pas ?

n°145664
skoizer
tripoux et tête de veau
Posté le 24-03-2017 à 10:40:36  profilanswer
 

pour information
une délibération cnil sur la gestion des mot de passe
https://www.legifrance.gouv.fr/affi [...] 0033928007


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°145667
nnwldx
Posté le 24-03-2017 à 12:33:06  profilanswer
 

On travaille à distance et chez le client.
Il y a soit personne qui s'occupe de l'informatique, soit un référent, soit un admin.
il peut y avoir d'autres presta, cela dépend des besoins du clients et de ses contrats.
 
Si on laisse les informations d'accès chez le client, c'est pas très pratique.
Par exemple tu veux te connecter sur son office 365, son routeur, son registrar... tu es obligé d'aller ouvrir une session chez lui d'abord pour aller récupérer les informations.

n°145676
nebulios
Posté le 24-03-2017 à 16:06:46  profilanswer
 

Oui, mais si tu centralises tout chez toi, et que vous vous faites attaquer, vous compromettez tous vos clients, qui pourront alors tout à fait se retourner contre vous au pénal par exemple.
 
Pour moi cela se décide d'abord au niveau juridique: quels risques sont prêts à prendre tes clients ? Et ta société ? Ca dépend aussi de tes clients (secret défense etc...)

n°145677
nnwldx
Posté le 24-03-2017 à 18:52:14  profilanswer
 

Le problème est d'éviter le vol en interne et externe, tout en permettant d'avoir l'accessibilité, la simplicité de mise à jour et de pouvoir donner seulement les mots de passe dont l'utilisateur a besoin pour travailler.
 
Je vais regarder du coté de LastPass, ils proposent des versions entreprises à 2.5 et 4$ par mois par utilisateur.
Ca fait quand même un buget et je crois qu'ils avaient déja été piratés.
Est ce que c'est une bonne idée de mettre les mots de passe dans le cloud ?

n°145678
Lone Morge​n
Posté le 24-03-2017 à 19:22:51  profilanswer
 

Bonne orga dans keepass et export de sous dossier pour transmission si necessaire.

n°156883
Ephmride
Posté le 18-09-2018 à 15:11:59  profilanswer
 

nnwldx a écrit :

C'est plus compliqué car il faut avoir un keepass d'installé sur un poste.
Si un consultant est chez un client et que son poste n'a pas accès à internet, il sera bloqué.
 
Il faudra aussi qu'il utilise un VPN pour se connecter au LAN où sont stockés les mots de passe.


 
 
Si, ton gus est en clientèle sans accès à internet, à par les signaux de fumées, y'a pas beaucoup de solution pour avoir l'info en direct


---------------
Mieux vaut la bière dans l'homme que l'homme dans la bière !
n°156887
nnwldx
Posté le 18-09-2018 à 15:39:51  profilanswer
 

Chez le client il y a l'accès internet, souvent avec 2 liens, plus l'accès internet sur le portable.
Çà devient dur de ne pas du tout avoir accès à internet.

n°156939
webmail-75​000
Posté le 19-09-2018 à 08:38:57  profilanswer
 

sinon comme évoqué, nous travaillons avec Keepass et la db est dans une instance nextcloud, et nous avons le client sur nos pc, du coup on a toujours une version offline même si on n'a pas de connexion


---------------

n°157113
Micko77666
Posté le 22-09-2018 à 01:10:03  profilanswer
 

De notre côté nous avons du Keepass pour des choses basiques, et nous avons un bastion d'administration pour mes accès aux serveurs, ESX etc.... avec Cyberark


Message édité par Micko77666 le 22-09-2018 à 01:10:29
n°159158
ShonGail
En phase de calmitude ...
Posté le 12-12-2018 à 13:41:13  profilanswer
 

Salut,
 
je vais mettre en place Crypt-o.
Il tournera sur une VM vSphere sous W2k16.
 
Pour dire de sécuriser la VM, pensez-vous utile :
 
1. de la gérer hors domaine.
2. d'utiliser Bitlocker sur la partition qui hébergera le soft et sa BDD ?

n°159161
fred34
Posté le 12-12-2018 à 16:45:15  profilanswer
 

L'avantage de Crypt-O est qu'il s'intègre à ton AD pour l'authentification des utilisateurs, donc tu as tout intérêt à mettre ta VM dans ton domaine. ;-)


---------------
http://leblogdundsi.lesprost.fr/
n°159163
nnwldx
Posté le 12-12-2018 à 16:54:36  profilanswer
 

Je ne crois pas que Bitlocker puisse chiffrer la partition, il fera tout le disque.

 

Sinon quelqu'un à déjà essayé de gérer les mots de passe avec office 365 et l'ad rms (je crois qu'il porte un autre nom sur 365, mais je ne me souviens plus).
Cela permettrait d'avoir un contrôle sur qui consulte les mots et bloquer les téléchargements.
Tout en étant accessible depuis l'extérieur.

Message cité 1 fois
Message édité par nnwldx le 12-12-2018 à 16:55:24
n°159164
ShonGail
En phase de calmitude ...
Posté le 12-12-2018 à 17:05:48  profilanswer
 

fred34 a écrit :

L'avantage de Crypt-O est qu'il s'intègre à ton AD pour l'authentification des utilisateurs, donc tu as tout intérêt à mettre ta VM dans ton domaine. ;-)


 
On peut taper dans un AD en étant hors domaine :o
Après je ne sais pas encore comme Crypt-o fonctionne à ce niveau là :??:

n°159165
ShonGail
En phase de calmitude ...
Posté le 12-12-2018 à 17:06:35  profilanswer
 

nnwldx a écrit :

Je ne crois pas que Bitlocker puisse chiffrer la partition, il fera tout le disque.
 


 
Peut-être mais c'est pas grave car partition=disque dans le cas de ma VM.

n°159166
fred34
Posté le 12-12-2018 à 17:09:38  profilanswer
 

Nous utilisons l’authentification native Domaine Windows (donc sur une machine du domaine) mais après vérification, on peut aussi passer par LDAP (donc pas nécessairement sur une machine sur le domaine ;-) )


---------------
http://leblogdundsi.lesprost.fr/
n°159266
billy06
Posté le 17-12-2018 à 11:43:43  profilanswer
 

Pour y avoir un peu réfléchi, j'opterai pour un service web hébergé en interne, avec les mots de passe chiffrés et affichage des données uniquement pour un poste.
Sinon, bitwarden au plus simple et plus sûr.
 
Pourquoi ?
- keepass (que j'utilise) ne permet pas les accès simultanées et ne gère pas toujours bien les accès multiples. L'usage n'est pas approprié, même s'il permet quelques auth sympa via plugins. Peut-être via les utilities mais ça reste du third-party.
- un fichier dans l'arbo, même avec l'ACL qui convient, il faut au moins un mot de passe, mais c'est franchement pas terrible (notamment parce qu'il faut avoir accès à l'arbo !)
- service web : accès partout simple, créa d'un appli mobile (/hybride), chiffrement fort simple et 2FA avec une Yubikey ou une feitian avec un peu de boulot avec clés NFC (fonctionnement sur mobile)
- "affichage des données uniquement pour un poste" : la malversation vient souvent de l’intérieur. Toutes les solutions évoquées permettent de faire un copié/collé de toute la base. En imposant l'affichage uniquement d'un mot de passe, déjà c'est plus conviviale et pratique mais c'est aussi beaucoup plus sûr.
- "sinon bitwarden" : parce que robuste, open-source et compatible LDAP dans sa version Entreprise.
 
 

n°159273
nex84
Dura lex, sed lex
Posté le 17-12-2018 à 15:02:40  profilanswer
 

Je connaissais pas bitwarden, mais ça m'a l'air pas mal du tout.
Surtout le fait de pouvoir être installé on-premise pour ne pas utiliser les serveurs cloud de l'éditeur.
Je vais tester ça pour virer keepass


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°159274
webmail-75​000
Posté le 17-12-2018 à 15:56:44  profilanswer
 

en effet il a l'air pas mal en plus d'être agréable à l'oeil !


---------------

n°159561
akizan
Eye Sca Zi
Posté le 08-01-2019 à 15:07:48  profilanswer
 

y'a celui la aussi
https://www.enpass.io/

n°160227
skoizer
tripoux et tête de veau
Posté le 06-02-2019 à 13:30:43  profilanswer
 

Le sujet m’intéresse, nous sommes en pleine réflexion.
 
ShonGail as tu bien tester Crypt-O ?
Ton analyse ?
 
 question pour keepass.
sur keepass, peut on avoir pour une sur une même base de mot de passe, mais utiliser des compte nominatif pour y acceder ?
je n'ai pas l'impression que c'est possible.
Car il est hors de question d'utiliser un compte de groupe pour y acceder.
Car il serait impossible de pouvoir tracer son utilisation.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°160230
ShonGail
En phase de calmitude ...
Posté le 06-02-2019 à 13:51:20  profilanswer
 

Oui on le déploie.
Ça fait le taf sans complexité.
Partie serveur très facile à installer.
Client aussi.
On peut paramétrer le client via GPO.
On peut gérer finement les droits. J'ai pas encore testé l'accès WEB.
 
J'ai eu une question et un bug dans la reconnaissance à l'appartenance d'users à un groupe précis du domaine, le support a été super réactif et a corrigé le bug.

n°160231
skoizer
tripoux et tête de veau
Posté le 06-02-2019 à 14:10:54  profilanswer
 

As tu pu avoir une version d'essaie ?
Mais ce n'est pas trés cher
jusqu'a 4 utilisateur c'est 39.95€/user donc 159.8.
L'éditeur te semble sur ? ce n'est pas une succursale du kgb, cia :)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°160232
Erlum
Posté le 06-02-2019 à 14:12:17  profilanswer
 

Je trouve ça un peu bête de s'embêter avec une solution qui nécessite de mettre en place des clients sur les postes quand il y a autant de solutions web disponibles.  
 
Pour mon compte perso j'utilise Bitwarden, au taf on a un Password Manager Pro. De par mon statut j'en ai pas trop l'utilité mais ça a l'air de bien faire le taf. Par contre je trouve ça un peu lourd, et c'est pas open source.

n°160233
ShonGail
En phase de calmitude ...
Posté le 06-02-2019 à 14:14:53  profilanswer
 

Oui tu télécharges une version pleinement fonctionnelle sur 30 jours, le temps d'essayer.
Et effectivement ce n'est pas cher.
Après, de mon coté ce n'est pas pour une activité stratégique au niveau national :D donc oui l'éditeur convient.
Qui plus est, perso, les américains et les chinois m'effraient plus :D

n°160237
skoizer
tripoux et tête de veau
Posté le 06-02-2019 à 15:30:26  profilanswer
 

erlum
vous utilises ceci https://www.manageengine.com/produc [...] anagerpro/ ?
il a l'air d'être plus abouti mais plus complexe que Crypt-O.

Message cité 1 fois
Message édité par skoizer le 06-02-2019 à 15:42:19

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°160241
Erlum
Posté le 06-02-2019 à 16:11:57  profilanswer
 

skoizer a écrit :

erlum
vous utilises ceci https://www.manageengine.com/produc [...] anagerpro/ ?
il a l'air d'être plus abouti mais plus complexe que Crypt-O.


 
C'est bien ce soft. C'est une assez grosse machine visiblement oui, personnellement je trouve que ça prend trop de temps à se lancer mais bon, ceux qui s'en servent très régulièrement en ont l'air satisfaits.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Management du SI

  Gestion des mots de passe

 

Sujets relatifs
GPO changement mot de passeGestion des Stocks GLPI 9.1.2
Executer un programme sans demander le mot de passe AdminLogiciel gestion Wifi Invité
Reset mot de passe switch HP[Powershell] Reset mot de passe de plusieurs utilisateurs [AD DS]
Gestion mobilesSelf Service déverrouillage compte / réinitialisation mot de passe AD
ordinateur passe en mode récupération sans raisonGestion de parc informatique pour un nul
Plus de sujets relatifs à : Gestion des mots de passe


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR