Gestion des mots de passe

Gestion des mots de passe - Management du SI - Systèmes & Réseaux Pro

Marsh Posté le 22-03-2017 à 21:44:19    

Bonjour,
 
Comment faites-vous pour gérer les mots de passe des clients ?
 
En utilisant des fichiers Office, c'est pratique, simple à mettre à jour  
Mais l'accès n'est pas simple pour une personne à l'extérieur de l'entreprise qui en a besoin.
Et n'importe qui à l'intérieur de l'entreprise peut copier ces fichiers et partir avec.
 
On pourrait mettre les mots de passe sur de l'office 365 dans un Sharepoint.
Comme cela, l'accès aux mots de passe sera plus simple pour les personnes à l'extérieur.
Mais si jamais quelqu'un se fait pirater son compte, le pirate aura accès à tous les comptes.
On peut envisager d'utiliser une double authentification.
 
Ou utiliser des programmes comme keepass, secret server.
Mais je pense que cela ne conviendra au besoin.
 
Il faudrait une solution pas trop complexe à utiliser pour que les techniciens fassent les mises à jours des mots de passe.
Et d'un autre coté, il faut que ce soit sécurisé et accessible.
je n'ai pas l'impression qu'il existe de solution idéale.

Reply

Marsh Posté le 22-03-2017 à 21:44:19   

Reply

Marsh Posté le 22-03-2017 à 22:41:31    

Bonsoir,
 
j'utilise au sein de mon équipe des fichiers keypass, avec mdp master partagé par l'équipe. Le fichier est sur notre GED, au moins on a la traçabilité des changements.
 
Un moment j'avais regardé teampass (http://teampass.net/) qui pourrait répondre à ton besoin.

Reply

Marsh Posté le 23-03-2017 à 08:23:32    


Nous aussi nous utilisons Keepass, vraiment un très bon produit.

Reply

Marsh Posté le 23-03-2017 à 09:30:10    

Je dirais que ta question est très vague. Quel genre de mots de passe, pour quel niveau de privilèges, pour quelle utilisation ?

Reply

Marsh Posté le 23-03-2017 à 10:31:26    

nnwldx a écrit :


Et n'importe qui à l'intérieur de l'entreprise peut copier ces fichiers et partir avec.
 


 
Et les droits NTFS ?

Reply

Marsh Posté le 23-03-2017 à 12:29:49    

Pour le genre de mot de passe, cela peut être les serveurs, les équipements, le stockage, compte SQL, compte de messagerie.
 
Il faut que les techniciens puissent modifier ces fichiers, à moins de mettre de l'AD RMS, je ne pense pas que l'on puisse empêcher la copie des fichiers.
 
Il faudrait que je regarde ce que teampass vaut.
 
Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès.

Reply

Marsh Posté le 23-03-2017 à 13:09:37    

"Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès."   compliquer ? pourquoi ?

Reply

Marsh Posté le 23-03-2017 à 13:18:35    

C'est plus compliqué car il faut avoir un keepass d'installé sur un poste.
Si un consultant est chez un client et que son poste n'a pas accès à internet, il sera bloqué.
 
Il faudra aussi qu'il utilise un VPN pour se connecter au LAN où sont stockés les mots de passe.

Reply

Marsh Posté le 23-03-2017 à 13:22:31    


Perso j'ai un google Drive avec le fichier Keepass dessus, je l'ai toujours en hors connexion comme ça.

Reply

Marsh Posté le 23-03-2017 à 14:39:31    

On utilise Crypt-O qui est en mode client-serveur et qui sait authentifier et gérer les utilisateurs grâce à l'Active Directory, qui logue tous les accès (qui a vu quel mot de passe).
 
L'avantage est qu'il est facile de bloquer les accès contrairement à un fichier partagé.
 
Crypto dispoe également d'un mode web qui permet de l'ouvrir vers l'extérieur, par ex.


Message édité par fred34 le 23-03-2017 à 14:40:05

---------------
http://leblogdundsi.lesprost.fr/
Reply

Marsh Posté le 23-03-2017 à 14:39:31   

Reply

Marsh Posté le 23-03-2017 à 17:04:54    

nnwldx a écrit :

Pour le genre de mot de passe, cela peut être les serveurs, les équipements, le stockage, compte SQL, compte de messagerie.
 
Il faut que les techniciens puissent modifier ces fichiers, à moins de mettre de l'AD RMS, je ne pense pas que l'on puisse empêcher la copie des fichiers.
 
Il faudrait que je regarde ce que teampass vaut.
 
Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès.


Pour la problématique ne devrait quasiment pas se poser. Un accès = un compte adm nominatif avec mot de passe associé.

Reply

Marsh Posté le 23-03-2017 à 19:11:18    

Merci pour Crypt-O, ça à pas l'air mal avec l'accès web et smartphone.
 
Nebulios, Un accès = un compte adm nominatif, est très bien pour une société en interne.
Mais on ne peut pas faire un compte nominatif pour chaque client, ce serait trop compliqué à maintenir.
Dés qu'il y aurait un départ ou une arrivée, il faudrait à chaque fois repasser sur toutes les infras des clients.
 
L'idéal serait un logiciel qui donne accès à un certain nombre de mots de passe en fonction de l'identifiant.
Comme cela, personne n'a pas accès à tous les mots de de passe et une personne mal attentionnée ne peut pas faire une copie de tous les fichiers et partir.

Message cité 1 fois
Message édité par nnwldx le 23-03-2017 à 19:11:38
Reply

Marsh Posté le 24-03-2017 à 09:59:48    

nnwldx a écrit :

Merci pour Crypt-O, ça à pas l'air mal avec l'accès web et smartphone.
 
Nebulios, Un accès = un compte adm nominatif, est très bien pour une société en interne.
Mais on ne peut pas faire un compte nominatif pour chaque client, ce serait trop compliqué à maintenir.
Dés qu'il y aurait un départ ou une arrivée, il faudrait à chaque fois repasser sur toutes les infras des clients.
 
L'idéal serait un logiciel qui donne accès à un certain nombre de mots de passe en fonction de l'identifiant.
Comme cela, personne n'a pas accès à tous les mots de de passe et une personne mal attentionnée ne peut pas faire une copie de tous les fichiers et partir.


 
J'ai du mal à comprendre ton rôle chez le client. Tu es presta, tu bosses à distance ? Ou tu bosses chez lui ? Il n'y a aucun service informatique là-bas ? Il y a d'autres prestas ?
 
Globalement je dirais que les informations et les accès client doivent rester chez le client, pour des questions de sécurité et juridiques. Techniquement un modèle de délégation te permet de faire ce que tu veux, mais d'après ce que tu dis il n'existe pas ?

Reply

Marsh Posté le 24-03-2017 à 10:40:36    

pour information
une délibération cnil sur la gestion des mot de passe
https://www.legifrance.gouv.fr/affi [...] 0033928007


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 24-03-2017 à 12:33:06    

On travaille à distance et chez le client.
Il y a soit personne qui s'occupe de l'informatique, soit un référent, soit un admin.
il peut y avoir d'autres presta, cela dépend des besoins du clients et de ses contrats.
 
Si on laisse les informations d'accès chez le client, c'est pas très pratique.
Par exemple tu veux te connecter sur son office 365, son routeur, son registrar... tu es obligé d'aller ouvrir une session chez lui d'abord pour aller récupérer les informations.

Reply

Marsh Posté le 24-03-2017 à 16:06:46    

Oui, mais si tu centralises tout chez toi, et que vous vous faites attaquer, vous compromettez tous vos clients, qui pourront alors tout à fait se retourner contre vous au pénal par exemple.
 
Pour moi cela se décide d'abord au niveau juridique: quels risques sont prêts à prendre tes clients ? Et ta société ? Ca dépend aussi de tes clients (secret défense etc...)

Reply

Marsh Posté le 24-03-2017 à 18:52:14    

Le problème est d'éviter le vol en interne et externe, tout en permettant d'avoir l'accessibilité, la simplicité de mise à jour et de pouvoir donner seulement les mots de passe dont l'utilisateur a besoin pour travailler.
 
Je vais regarder du coté de LastPass, ils proposent des versions entreprises à 2.5 et 4$ par mois par utilisateur.
Ca fait quand même un buget et je crois qu'ils avaient déja été piratés.
Est ce que c'est une bonne idée de mettre les mots de passe dans le cloud ?

Reply

Marsh Posté le 24-03-2017 à 19:22:51    

Bonne orga dans keepass et export de sous dossier pour transmission si necessaire.

Reply

Marsh Posté le 18-09-2018 à 15:11:59    

nnwldx a écrit :

C'est plus compliqué car il faut avoir un keepass d'installé sur un poste.
Si un consultant est chez un client et que son poste n'a pas accès à internet, il sera bloqué.
 
Il faudra aussi qu'il utilise un VPN pour se connecter au LAN où sont stockés les mots de passe.


 
 
Si, ton gus est en clientèle sans accès à internet, à par les signaux de fumées, y'a pas beaucoup de solution pour avoir l'info en direct


---------------
Mieux vaut la bière dans l'homme que l'homme dans la bière !
Reply

Marsh Posté le 18-09-2018 à 15:39:51    

Chez le client il y a l'accès internet, souvent avec 2 liens, plus l'accès internet sur le portable.
Çà devient dur de ne pas du tout avoir accès à internet.

Reply

Marsh Posté le 19-09-2018 à 08:38:57    

sinon comme évoqué, nous travaillons avec Keepass et la db est dans une instance nextcloud, et nous avons le client sur nos pc, du coup on a toujours une version offline même si on n'a pas de connexion


---------------

Reply

Marsh Posté le 22-09-2018 à 01:10:03    

De notre côté nous avons du Keepass pour des choses basiques, et nous avons un bastion d'administration pour mes accès aux serveurs, ESX etc.... avec Cyberark


Message édité par Micko77666 le 22-09-2018 à 01:10:29
Reply

Marsh Posté le 12-12-2018 à 13:41:13    

Salut,
 
je vais mettre en place Crypt-o.
Il tournera sur une VM vSphere sous W2k16.
 
Pour dire de sécuriser la VM, pensez-vous utile :
 
1. de la gérer hors domaine.
2. d'utiliser Bitlocker sur la partition qui hébergera le soft et sa BDD ?

Reply

Marsh Posté le 12-12-2018 à 16:45:15    

L'avantage de Crypt-O est qu'il s'intègre à ton AD pour l'authentification des utilisateurs, donc tu as tout intérêt à mettre ta VM dans ton domaine. ;-)


---------------
http://leblogdundsi.lesprost.fr/
Reply

Marsh Posté le 12-12-2018 à 16:54:36    

Je ne crois pas que Bitlocker puisse chiffrer la partition, il fera tout le disque.

 

Sinon quelqu'un à déjà essayé de gérer les mots de passe avec office 365 et l'ad rms (je crois qu'il porte un autre nom sur 365, mais je ne me souviens plus).
Cela permettrait d'avoir un contrôle sur qui consulte les mots et bloquer les téléchargements.
Tout en étant accessible depuis l'extérieur.

Message cité 1 fois
Message édité par nnwldx le 12-12-2018 à 16:55:24
Reply

Marsh Posté le 12-12-2018 à 17:05:48    

fred34 a écrit :

L'avantage de Crypt-O est qu'il s'intègre à ton AD pour l'authentification des utilisateurs, donc tu as tout intérêt à mettre ta VM dans ton domaine. ;-)


 
On peut taper dans un AD en étant hors domaine :o
Après je ne sais pas encore comme Crypt-o fonctionne à ce niveau là :??:

Reply

Marsh Posté le 12-12-2018 à 17:06:35    

nnwldx a écrit :

Je ne crois pas que Bitlocker puisse chiffrer la partition, il fera tout le disque.
 


 
Peut-être mais c'est pas grave car partition=disque dans le cas de ma VM.

Reply

Marsh Posté le 12-12-2018 à 17:09:38    

Nous utilisons l’authentification native Domaine Windows (donc sur une machine du domaine) mais après vérification, on peut aussi passer par LDAP (donc pas nécessairement sur une machine sur le domaine ;-) )


---------------
http://leblogdundsi.lesprost.fr/
Reply

Marsh Posté le 17-12-2018 à 11:43:43    

Pour y avoir un peu réfléchi, j'opterai pour un service web hébergé en interne, avec les mots de passe chiffrés et affichage des données uniquement pour un poste.
Sinon, bitwarden au plus simple et plus sûr.
 
Pourquoi ?
- keepass (que j'utilise) ne permet pas les accès simultanées et ne gère pas toujours bien les accès multiples. L'usage n'est pas approprié, même s'il permet quelques auth sympa via plugins. Peut-être via les utilities mais ça reste du third-party.
- un fichier dans l'arbo, même avec l'ACL qui convient, il faut au moins un mot de passe, mais c'est franchement pas terrible (notamment parce qu'il faut avoir accès à l'arbo !)
- service web : accès partout simple, créa d'un appli mobile (/hybride), chiffrement fort simple et 2FA avec une Yubikey ou une feitian avec un peu de boulot avec clés NFC (fonctionnement sur mobile)
- "affichage des données uniquement pour un poste" : la malversation vient souvent de l’intérieur. Toutes les solutions évoquées permettent de faire un copié/collé de toute la base. En imposant l'affichage uniquement d'un mot de passe, déjà c'est plus conviviale et pratique mais c'est aussi beaucoup plus sûr.
- "sinon bitwarden" : parce que robuste, open-source et compatible LDAP dans sa version Entreprise.
 
 

Reply

Marsh Posté le 17-12-2018 à 15:02:40    

Je connaissais pas bitwarden, mais ça m'a l'air pas mal du tout.
Surtout le fait de pouvoir être installé on-premise pour ne pas utiliser les serveurs cloud de l'éditeur.
Je vais tester ça pour virer keepass


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 17-12-2018 à 15:56:44    

en effet il a l'air pas mal en plus d'être agréable à l'oeil !


---------------

Reply

Marsh Posté le 08-01-2019 à 15:07:48    

y'a celui la aussi
https://www.enpass.io/

Reply

Marsh Posté le 06-02-2019 à 13:30:43    

Le sujet m’intéresse, nous sommes en pleine réflexion.
 
ShonGail as tu bien tester Crypt-O ?
Ton analyse ?
 
 question pour keepass.
sur keepass, peut on avoir pour une sur une même base de mot de passe, mais utiliser des compte nominatif pour y acceder ?
je n'ai pas l'impression que c'est possible.
Car il est hors de question d'utiliser un compte de groupe pour y acceder.
Car il serait impossible de pouvoir tracer son utilisation.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 06-02-2019 à 13:51:20    

Oui on le déploie.
Ça fait le taf sans complexité.
Partie serveur très facile à installer.
Client aussi.
On peut paramétrer le client via GPO.
On peut gérer finement les droits. J'ai pas encore testé l'accès WEB.
 
J'ai eu une question et un bug dans la reconnaissance à l'appartenance d'users à un groupe précis du domaine, le support a été super réactif et a corrigé le bug.

Reply

Marsh Posté le 06-02-2019 à 14:10:54    

As tu pu avoir une version d'essaie ?
Mais ce n'est pas trés cher
jusqu'a 4 utilisateur c'est 39.95€/user donc 159.8.
L'éditeur te semble sur ? ce n'est pas une succursale du kgb, cia :)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 06-02-2019 à 14:12:17    

Je trouve ça un peu bête de s'embêter avec une solution qui nécessite de mettre en place des clients sur les postes quand il y a autant de solutions web disponibles.  
 
Pour mon compte perso j'utilise Bitwarden, au taf on a un Password Manager Pro. De par mon statut j'en ai pas trop l'utilité mais ça a l'air de bien faire le taf. Par contre je trouve ça un peu lourd, et c'est pas open source.

Reply

Marsh Posté le 06-02-2019 à 14:14:53    

Oui tu télécharges une version pleinement fonctionnelle sur 30 jours, le temps d'essayer.
Et effectivement ce n'est pas cher.
Après, de mon coté ce n'est pas pour une activité stratégique au niveau national :D donc oui l'éditeur convient.
Qui plus est, perso, les américains et les chinois m'effraient plus :D

Reply

Marsh Posté le 06-02-2019 à 15:30:26    

erlum
vous utilises ceci https://www.manageengine.com/produc [...] anagerpro/ ?
il a l'air d'être plus abouti mais plus complexe que Crypt-O.

Message cité 1 fois
Message édité par skoizer le 06-02-2019 à 15:42:19

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 06-02-2019 à 16:11:57    

skoizer a écrit :

erlum
vous utilises ceci https://www.manageengine.com/produc [...] anagerpro/ ?
il a l'air d'être plus abouti mais plus complexe que Crypt-O.


 
C'est bien ce soft. C'est une assez grosse machine visiblement oui, personnellement je trouve que ça prend trop de temps à se lancer mais bon, ceux qui s'en servent très régulièrement en ont l'air satisfaits.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed