Bonjour,
 
Comment faites-vous pour gérer les mots de passe des clients ?
 
En utilisant des fichiers Office, c'est pratique, simple à mettre à jour  
Mais l'accès n'est pas simple pour une personne à l'extérieur de l'entreprise qui en a besoin.
Et n'importe qui à l'intérieur de l'entreprise peut copier ces fichiers et partir avec.
 
On pourrait mettre les mots de passe sur de l'office 365 dans un Sharepoint.
Comme cela, l'accès aux mots de passe sera plus simple pour les personnes à l'extérieur.
Mais si jamais quelqu'un se fait pirater son compte, le pirate aura accès à tous les comptes.
On peut envisager d'utiliser une double authentification.
 
Ou utiliser des programmes comme keepass, secret server.
Mais je pense que cela ne conviendra au besoin.
 
Il faudrait une solution pas trop complexe à utiliser pour que les techniciens fassent les mises à jours des mots de passe.
Et d'un autre coté, il faut que ce soit sécurisé et accessible.
je n'ai pas l'impression qu'il existe de solution idéale.

Bonsoir,
 
j'utilise au sein de mon équipe des fichiers keypass, avec mdp master partagé par l'équipe. Le fichier est sur notre GED, au moins on a la traçabilité des changements.
 
Un moment j'avais regardé teampass (http://teampass.net/) qui pourrait répondre à ton besoin.

Nous aussi nous utilisons Keepass, vraiment un très bon produit.

Je dirais que ta question est très vague. Quel genre de mots de passe, pour quel niveau de privilèges, pour quelle utilisation ?

 
Et les droits NTFS ?

Pour le genre de mot de passe, cela peut être les serveurs, les équipements, le stockage, compte SQL, compte de messagerie.
 
Il faut que les techniciens puissent modifier ces fichiers, à moins de mettre de l'AD RMS, je ne pense pas que l'on puisse empêcher la copie des fichiers.
 
Il faudrait que je regarde ce que teampass vaut.
 
Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès.

"Pour keepass, je pense qu'il est bien en interne, mais pour des gens à l'extérieur qui ont besoin d'un mot de passe, c'est plus compliqué de leur donner accès."   compliquer ? pourquoi ?

C'est plus compliqué car il faut avoir un keepass d'installé sur un poste.
Si un consultant est chez un client et que son poste n'a pas accès à internet, il sera bloqué.
 
Il faudra aussi qu'il utilise un VPN pour se connecter au LAN où sont stockés les mots de passe.

Perso j'ai un google Drive avec le fichier Keepass dessus, je l'ai toujours en hors connexion comme ça.

On utilise Crypt-O qui est en mode client-serveur et qui sait authentifier et gérer les utilisateurs grâce à l'Active Directory, qui logue tous les accès (qui a vu quel mot de passe).
 
L'avantage est qu'il est facile de bloquer les accès contrairement à un fichier partagé.
 
Crypto dispoe également d'un mode web qui permet de l'ouvrir vers l'extérieur, par ex.

Pour la problématique ne devrait quasiment pas se poser. Un accès = un compte adm nominatif avec mot de passe associé.

Merci pour Crypt-O, ça à pas l'air mal avec l'accès web et smartphone.
 
Nebulios, Un accès = un compte adm nominatif, est très bien pour une société en interne.
Mais on ne peut pas faire un compte nominatif pour chaque client, ce serait trop compliqué à maintenir.
Dés qu'il y aurait un départ ou une arrivée, il faudrait à chaque fois repasser sur toutes les infras des clients.
 
L'idéal serait un logiciel qui donne accès à un certain nombre de mots de passe en fonction de l'identifiant.
Comme cela, personne n'a pas accès à tous les mots de de passe et une personne mal attentionnée ne peut pas faire une copie de tous les fichiers et partir.

 
J'ai du mal à comprendre ton rôle chez le client. Tu es presta, tu bosses à distance ? Ou tu bosses chez lui ? Il n'y a aucun service informatique là-bas ? Il y a d'autres prestas ?
 
Globalement je dirais que les informations et les accès client doivent rester chez le client, pour des questions de sécurité et juridiques. Techniquement un modèle de délégation te permet de faire ce que tu veux, mais d'après ce que tu dis il n'existe pas ?

pour information
une délibération cnil sur la gestion des mot de passe
https://www.legifrance.gouv.fr/affi [...] 0033928007

On travaille à distance et chez le client.
Il y a soit personne qui s'occupe de l'informatique, soit un référent, soit un admin.
il peut y avoir d'autres presta, cela dépend des besoins du clients et de ses contrats.
 
Si on laisse les informations d'accès chez le client, c'est pas très pratique.
Par exemple tu veux te connecter sur son office 365, son routeur, son registrar... tu es obligé d'aller ouvrir une session chez lui d'abord pour aller récupérer les informations.

Oui, mais si tu centralises tout chez toi, et que vous vous faites attaquer, vous compromettez tous vos clients, qui pourront alors tout à fait se retourner contre vous au pénal par exemple.
 
Pour moi cela se décide d'abord au niveau juridique: quels risques sont prêts à prendre tes clients ? Et ta société ? Ca dépend aussi de tes clients (secret défense etc...)

Le problème est d'éviter le vol en interne et externe, tout en permettant d'avoir l'accessibilité, la simplicité de mise à jour et de pouvoir donner seulement les mots de passe dont l'utilisateur a besoin pour travailler.
 
Je vais regarder du coté de LastPass, ils proposent des versions entreprises à 2.5 et 4$ par mois par utilisateur.
Ca fait quand même un buget et je crois qu'ils avaient déja été piratés.
Est ce que c'est une bonne idée de mettre les mots de passe dans le cloud ?

Bonne orga dans keepass et export de sous dossier pour transmission si necessaire.

 
 
Si, ton gus est en clientèle sans accès à internet, à par les signaux de fumées, y'a pas beaucoup de solution pour avoir l'info en direct

Chez le client il y a l'accès internet, souvent avec 2 liens, plus l'accès internet sur le portable.
Çà devient dur de ne pas du tout avoir accès à internet.

sinon comme évoqué, nous travaillons avec Keepass et la db est dans une instance nextcloud, et nous avons le client sur nos pc, du coup on a toujours une version offline même si on n'a pas de connexion

De notre côté nous avons du Keepass pour des choses basiques, et nous avons un bastion d'administration pour mes accès aux serveurs, ESX etc.... avec Cyberark

Salut,
 
je vais mettre en place Crypt-o.
Il tournera sur une VM vSphere sous W2k16.
 
Pour dire de sécuriser la VM, pensez-vous utile :
 
1. de la gérer hors domaine.
2. d'utiliser Bitlocker sur la partition qui hébergera le soft et sa BDD ?

L'avantage de Crypt-O est qu'il s'intègre à ton AD pour l'authentification des utilisateurs, donc tu as tout intérêt à mettre ta VM dans ton domaine. ;-)

Je ne crois pas que Bitlocker puisse chiffrer la partition, il fera tout le disque.

Sinon quelqu'un à déjà essayé de gérer les mots de passe avec office 365 et l'ad rms (je crois qu'il porte un autre nom sur 365, mais je ne me souviens plus).
Cela permettrait d'avoir un contrôle sur qui consulte les mots et bloquer les téléchargements.
Tout en étant accessible depuis l'extérieur.

 
On peut taper dans un AD en étant hors domaine
Après je ne sais pas encore comme Crypt-o fonctionne à ce niveau là

 
Peut-être mais c'est pas grave car partition=disque dans le cas de ma VM.

Nous utilisons l’authentification native Domaine Windows (donc sur une machine du domaine) mais après vérification, on peut aussi passer par LDAP (donc pas nécessairement sur une machine sur le domaine ;-) )

Pour y avoir un peu réfléchi, j'opterai pour un service web hébergé en interne, avec les mots de passe chiffrés et affichage des données uniquement pour un poste.
Sinon, bitwarden au plus simple et plus sûr.
 
Pourquoi ?
- keepass (que j'utilise) ne permet pas les accès simultanées et ne gère pas toujours bien les accès multiples. L'usage n'est pas approprié, même s'il permet quelques auth sympa via plugins. Peut-être via les utilities mais ça reste du third-party.
- un fichier dans l'arbo, même avec l'ACL qui convient, il faut au moins un mot de passe, mais c'est franchement pas terrible (notamment parce qu'il faut avoir accès à l'arbo !)
- service web : accès partout simple, créa d'un appli mobile (/hybride), chiffrement fort simple et 2FA avec une Yubikey ou une feitian avec un peu de boulot avec clés NFC (fonctionnement sur mobile)
- "affichage des données uniquement pour un poste" : la malversation vient souvent de l’intérieur. Toutes les solutions évoquées permettent de faire un copié/collé de toute la base. En imposant l'affichage uniquement d'un mot de passe, déjà c'est plus conviviale et pratique mais c'est aussi beaucoup plus sûr.
- "sinon bitwarden" : parce que robuste, open-source et compatible LDAP dans sa version Entreprise.
 
 

Je connaissais pas bitwarden, mais ça m'a l'air pas mal du tout.
Surtout le fait de pouvoir être installé on-premise pour ne pas utiliser les serveurs cloud de l'éditeur.
Je vais tester ça pour virer keepass

en effet il a l'air pas mal en plus d'être agréable à l'oeil !

y'a celui la aussi
https://www.enpass.io/

Le sujet m’intéresse, nous sommes en pleine réflexion.
 
ShonGail as tu bien tester Crypt-O ?
Ton analyse ?
 
 question pour keepass.
sur keepass, peut on avoir pour une sur une même base de mot de passe, mais utiliser des compte nominatif pour y acceder ?
je n'ai pas l'impression que c'est possible.
Car il est hors de question d'utiliser un compte de groupe pour y acceder.
Car il serait impossible de pouvoir tracer son utilisation.

Oui on le déploie.
Ça fait le taf sans complexité.
Partie serveur très facile à installer.
Client aussi.
On peut paramétrer le client via GPO.
On peut gérer finement les droits. J'ai pas encore testé l'accès WEB.
 
J'ai eu une question et un bug dans la reconnaissance à l'appartenance d'users à un groupe précis du domaine, le support a été super réactif et a corrigé le bug.

As tu pu avoir une version d'essaie ?
Mais ce n'est pas trés cher
jusqu'a 4 utilisateur c'est 39.95€/user donc 159.8.
L'éditeur te semble sur ? ce n'est pas une succursale du kgb, cia

Je trouve ça un peu bête de s'embêter avec une solution qui nécessite de mettre en place des clients sur les postes quand il y a autant de solutions web disponibles.  
 
Pour mon compte perso j'utilise Bitwarden, au taf on a un Password Manager Pro. De par mon statut j'en ai pas trop l'utilité mais ça a l'air de bien faire le taf. Par contre je trouve ça un peu lourd, et c'est pas open source.

Oui tu télécharges une version pleinement fonctionnelle sur 30 jours, le temps d'essayer.
Et effectivement ce n'est pas cher.
Après, de mon coté ce n'est pas pour une activité stratégique au niveau national donc oui l'éditeur convient.
Qui plus est, perso, les américains et les chinois m'effraient plus

erlum
vous utilises ceci https://www.manageengine.com/produc [...] anagerpro/ ?
il a l'air d'être plus abouti mais plus complexe que Crypt-O.

 
C'est bien ce soft. C'est une assez grosse machine visiblement oui, personnellement je trouve que ça prend trop de temps à se lancer mais bon, ceux qui s'en servent très régulièrement en ont l'air satisfaits.