dsadsa

Avec le logiciel Keepass, qui est gratuit, sous windows, disponible aussi sur pocket pc.
Validé par l'informatique de l'AMF, donc, utilisable dans la finance.
 
Petit lien :
http://www.clubic.com/telecharger- [...] -safe.html

idem, j'utilise keepass
il a d'ailleurs quelques features additionnelles sympas : historique, générateur de password suivant certaines politiques, durées de vies de mots de passes, etc...

+1 j'utilise aussi Keepass.
Le fichier .kdb est dans un share ainsi tout le service informatique y a accès.

Je fous aussi mes mots de passe au format papier (mais les mots de passe sont écrits avec une certaine façon, par exemple chaque caractère tous les X caractères n'est pas utile) dans le cas ou tout explose + bande de sauvegarde HS. Bon ok ça doit jamais arriver...

 
idem
 

 
 
si tout explose, tes password vont pas servir a grand chose  

Si, j'ai des serveurs qui ne sont pas sur le domaine dans des datacenters

Tu as Password state aussi. Jamais testé mais s’intègre a ton active directory. J'ai en prévision de le tester.
 
Gestion via une interface Web en Ajax je croix... Attention cela peut être plus risque que Keepass que j'utilise également.

Pareil Keepass

 
 
Ce fichier peut être lu/édité par plusieurs personnes en même temps ?

Non .

Personne n'utilise de système autre qu'un couple login/mot de passe ?
 
Par exemple sur Linux on peut s'authentifier avec un appareil connecté en Bluetooth (son téléphone par exemple), ou sur Windows et Linux un "bête" lecteur d'empreinte, ou encore un lecteur de badge avec ou sans contact, ou même une carte (à lecteur de piste magnétique ou puce)
 
Bon c'est au niveau de l'OS en lui-même, donc uniquement pour les serveurs (et les machines clientes), mais je me pose la question  
 
@dam1330 : ça dépend comment est fait ton partage.
Je me suis fait un script qui copie en local à l'ouverture de session, synchronise par rapport à ma machine (mais uniquement pour certains dossiers/documents) et supprime toute trace sur ma machine à la fin de la session. Brut de forme, c'est non.

Si  :
 

• clé RSA/DSA pour SSH pour certains équipements (serveurs unix/linux notamment, quelques équipements réseaux, repository git)

• OTP pour VPN

• SSO pour certains portail du SI

Tu ne fournis pas de couple login/mot de passe sur ce système ?  
Authentifié comment alors ?
 
Pour l'OTP, quelle bouse (et ça oblige à avoir un appareil ou un logiciel qui "fait" le mot de passe)

login/password à l'ouverture de la session sur l'AD. Les authentifications suivantes sur certains portails se fait de manière transparente derrière.

Dès que tu vas au dela du système login/password qui de loin a beaucoup plus de limite à mon sens, tu auras des contraintes plus ou moins forte
Chaque système a ses avantages inconvénients. Tout dépend du contexte auquel tu l'appliques. Pour une authentification pour un VPN, l'OTP pourquoi pas...  un token usb avec certificats serait plus adapté.

Par ailleurs sortir "quelle bouse" sans argumenté un minimum, c'est un peu léger...

ah ? je n'ai pas argumenté ?

Le "et" me faisait penser que cette phrase venait à part... Donc c'est juste pour ça que c'est une bouse ? Et bé... Les token usb transportant des certificats utilisateurs sont donc aussi des bouses pour toi ?

Que préconises tu, alors, pour sécuriser  une connection remote ?

Rien n'empêche de le faire stocker ailleurs, ou d'utiliser un appareil sans saisie pour déverrouiller sans utilisation de login/mot de passe  
Idem pour tes clés RSA/DSA pour le SSH, c'est sauvegardé sur ta machine "en clair" donc pas tellement sécurisé sauf à crypter ta partition contenant les données, et d'utiliser ton login comme mot de passe. Donc là rien à dire c'est selon comment on travaille.
 
Moi c'est la partie saisie qui m'intéresse le plus dans la discussion, et l'OTP niveau saisie c'est vraiment pas top dessus tu peux le comprendre car non mémorisable. S'il s'agit d'un équipement sur lequel tu vas dessus souvent, c'est à éviter non ?
L'OTP c'est un très bon choix quand il s'agit d'appareils hautement sensibles (dans l'armée, la police ou la justice par exemple, où la sécurité doit être très élevée), mais en utilisation habituelle en entreprise ou dans le secteur publique je ne vois pas l'intérêt d'un tel truc.
Je l'ai vu en action au sein de l'éducation nationale, ça pose en pratique plus de problèmes et de nombreux appels téléphoniques (évidemment toujours au mauvais moment, genre en juin ou en septembre) Pas mal de directeurs d'établissement au sein de l'Aquitaine auraient même gueulé et "boycotté" pendant quelques mois ce système jugé peu fiable, trop compliqué et beaucoup moins pratique que le login/mot de passe ou même une carte à puce.
Et quand on voit que la police et la gendarmerie utilisent (ou utiliseront bientôt) massivement une carte professionnelle équipée d'une puce pour faire un SSO basé dessus, aussi bien pour ouvrir sa session que pour s'authentifier pour les procédures, pourquoi aller chercher ailleurs  
Je pourrais aussi parler de la carte Vitale, "bête" carte à puce pour s'authentifier chez le médecin et au pharmacien.

pour les mdp admin:
papier au coffre + dans la tête
les mdp que je défini ont un prefixe commun complexe et une terminaison spécifique avec astuce mnémotechnique  
pour les mdp utilisateurs excel + crypté (sophos free encryption) et saisie du pass en clavier visuel

tes guillemets autour de en clair me tracassent, mais mes clés RSA/DSA privée ne sont clairement pas en clair sur mon disque ou sur mes clés usb.

non mémorisable oui, c'est le principe
Après par le côté "pratique", oui ça le fait pas, je le concède évidemment. Mais c'est deux choses que l'on oppose souvent en sécurité : "ergonomie" / "sécurité". Comme je le précisais, les technos sont à appliquer dans certains contextes. Les OTP sont adaptés pour des authentifications très fortes. C'est plus politique que pratique lorsque l'on choisi de l'OTP.

Je suis d'accord avec toi sur la première partie. Pour la deuxième, je ne suis pas convaincu que diminuer la sécurité d'un système doit être réaliser pour des questions "pratiques". Si un accès  à un système sensible doit être fréquent, je pense qu'il y a un problème organisationnel/logistique qu'il faudrait revoir.

Mauvaise solution au contexte

Personnellement je trouve aberrant un système d'authentification pour l'accès à un système sensible si l'utilisateur ne doit pas "débloquer" volontairement via une donnée confidentielle. D'autant plus si derrière ça donne accès à un SSO... Les cartes à puces/les token/les générateurs d'OTP ça se perd, ça se subtilise. pas forcément compliqué derrière de trouver l'usage que l'on peut en faire (notamment dans le cadre de la subtilisation) Après si le système de la police/gendarmerie ne donne accès qu'à un périmètre très limité... pourquoi pas...

Faut pas mélanger les périmètres. Les accès d'une carte vitale sont bien moins sensible... Tu n'as pas accès à un système, juste à quelques données individuelle (oui,ok, vie privée tout ça). C'est adapté là, je trouve.

Je ne comprends pas bien cette affirmation. Un appareil sensible ne peut pas être utilisé de manière fréquente ?
 

Bizarre parce que de l'expérience que j'ai, l'OTP fonctionne parfaitement bien.
 
Tout ça pour dire que je ne vois pas en quoi son utilisation quotidienne peut-être plus compliquée et plus "chiante" (à part saisir quelques chiffres en plus) si l'architecture est correctement mise en place.

Tu les trouves, tu copies et tu les colles sur une autre machine testé d'une machine Debian (etch) vers une machine Ubuntu (Lucid). Même si ce n'est pas en clair, c'est mémorisé comme fichier. Tout est fichier.

C'est ce que j'ai indiqué à adapter suivant les cas. Mais utilisé à tort parfois (comme dans l'Éducation Nationale) alors que d'autres méthodes sont bien meilleures, nous sommes d'accord là dessus  
 

Euh, pas trop avec ta carte, une fois l'installation terminée, elle servira aussi bien à accéder à sa fiche de personnel, à accéder aux fiches de ses subalternes et/ou des gens sous sa charge (RH), à s'authentifier pour les applications les plus diverses comme les bases matérielles (service logistique), accéder au système de commande auprès de fournisseurs, faire les identifications et les recherches (véhicules et personnes), etc etc...
Tout est en cours de centralisation, il y aura une seule base qui va en gros dire à quoi tu auras accès avec ta carte.
Si tu es en vacances, tu passes ta carte et ton code à ton adjoint/collègue qui peut s'en servir au besoin (du moins c'est ce qui commence déjà à se faire )

C'est la partie authentification, pas pour les infos qu'elle contient. Elle ne pourrait même avoir qu'une suite de chiffres ça serait la même chose

Euh si, et dans ce cas l'OTP est le mieux au niveau sécurité. Une clé valable x minutes/heures/jours et basta.
 

Avant c'était des couples login/mot de passe. Le truc simple quoi.
Avec le passage à l'OTP, il faut saisir un début de mot de passe, suivi des chiffres donnés par l'OTP. Tu ne peux aussi utiliser qu'une seule connexion à la fois, pratique quand il y a une grosse saisie à faire et où avec le couple login/mot de passe il était possible de faire des connexions concurrentes sans problème.
Enfin l'appareil choisi semble avoir quelques problèmes de piles.

Gné ? c'est quoi ton propos ?
Je disais simplement que les clés d'authentification ssh que j'utilise ne sont pas en claires, chiffrées via une passphrase. Que vient faire ton whistle dans l'histoire ?
(et merci mais je sais exactement comment fonctionne linux, ssh, tout ça hein )

Alors la réponse c'est : Un bout de papier  
Sachant que les mots de passe sont souvent ceux par défaut sur les switch, et le même compte/mot de passe sur les serveurs (ah ben non hein, on ne va pas en mettre plusieurs, on s'en souviendra plus après )
 
 
Dans le même genre, n'oublie pas les propos d'o'gure :

Ton super hacker chinois peut faire donc appel à de la main d'oeuvre locale pour s'occuper de la "perte" des moyens d'accès.
 
D'ailleurs il y a plusieurs articles récents qui parlent de cela : d'un côté les boîtes veulent baisser les coûts en informatique, mais de l'autre 71% des entreprises se sont faites attaquées ces 12 derniers mois, entraînant une baisse significative dans la confiance de leur propre sécurité, et 20% d'entres elles ont subi des pertes financières suite à cela.
CQFD : moins de sou = moins de sécurité = perte d'argent.
Bon après, quand tu as l'Express qui se permet de donner 4 (soit-disants) conseil pour qu'un patron gagne du temps, en commençant par :

Alors que la 1ère sécurité c'est justement d'avoir plusieurs niveaux dans les informations, et de ne pas pouvoir accéder aux plus sensibles avec des appareils trop facilement piratables, voilà quoi

Hi,  
 
Qui a testé clipperz? (https://www.clipperz.com/) quels sont vos retours? C'est un outil en ligne, duquel on peut extraire une copie offline pour utiliser à la Keepass. Je l'utilise pour l'instant pour les mdp peu sensibles (des vm de tests en local par exemple).

Comme tout outil en ligne, je n'y ferais aucune confiance

 
idem,  

Dans le même genre de questions, vous utilisez quoi comme outil pour se connecter à distance aux machines ?

mstsc direct ? Un outil qui gère des listes de machines et de settings ?

J'utilisais RoyalTS pas mal et depuis peu on est passé sur Remote Destkop Manager, j'aime bien en plus on partage nos listes de machines. Vous utilisez quoi ?

Dans ce cas, il faut distinguer les machines serveurs des clients (pour le dépannage). De même il faut faire le distingo entre Windows, Linux (et ça dépendra là aussi du Linux), Mac OS et les switch/routeur manageable en ligne de commande.
 
Perso/boulot j'utilise :
- putty, avec "préprogrammé" les IP de mes serveurs et switch, en connexion SSH (serveurs Linux, mode ligne de commande) ou telnet (switch)
- un chromium portable, pour l'accès aux switch et imprimantes réseau par l'interface web, là une bête liste de marque page importé/exporté entre Firefox et Chromium.
- un VNC personnalisé pour l'entreprise (avant Dameware MiniRemote Control) pour l'accès aux machines des employés pour le dépannage ainsi qu'aux serveurs Windows. Les utilisateurs ont juste à cliquer sur un lien sur le bureau pour avoir l'IP de leur machine, qu'ils nous communiquent par téléphone ou mail.

J'utilise mRemoteNG pour me connecter en RDP, SSH et VNC .

mstsc, putty et ultravnc
3 protocoles, 3 outils

mRemote
 
What else

mRemote n'est plus supporté depuis 2008 (une version payante a été créé), accessoirement on avait pas mal de soucis avec versions récentes de RDP.
 
On est passé au Microsoft Remote Desktop Manager qui fonctionne très correctement mais ne gère forcément que le RDP...donc pour SSH un bon vieux Putty.

 
Idem.

 
   
par contre il serait interessant de faire un Topic dédié aux solutions de prise de main à distance en entreprise, avec une différentiation  entre les solutions Wan et les solution purement Lan.  

Dans ce cas, ne pas oublier :

 
mRemoteNG, j'ai testé... un mieux par rapport à putty grâce aux onglets, mais pour du VNC j'ai eu des problèmes de connexions dû à la version personnalisée de l'ultraVNC mis en place.
Idem aussi pour une connexion telnet vers des switch Allied Telesys, ça n'a pas fonctionné (je n'ai pas cherché loin, le client telnet de Windows en ligne de commande me convenant largement)
Pour un serveur VNC basique, c'est fonctionnel par contre

Sympa ce petit topic !
Pour la prise à distance, ChunkVNC pour notre part, avec un répéteur dans la DMZ pour prendre la main sur le WAN et LAN. Gratuit.
 
Petite question supplémentaire, quelle(s) solution(s) avez-vous pour les imprimantes pour les guests ?
 
Edit: un fork de mremote existe et continue d'evoluer : http://www.mremoteng.org/download

 
Keypass pour les mdp
 
+ mRemoteNG pour le reste.