Partage
  • Partager sur Facebook
  • Partager sur Twitter

[Appli Web] Gestionnaire de mot de passe familial

Sujet résolu
    25 mai 2022 à 18:50:57

    Salut tout le monde,

    J'ai récemment dév une application web afin de faciliter la gestion des mots de passe des comptes qu'on a en commun avec ma famille. Le truc c'est que je me pose plein de questions niveau sécu et j'hésite vraiment à la publier en ligne (pour qu'on puisse y avoir accès n'importe où, n'importe quand). 

    L'appli serait accessible uniquement pour les utilisateurs possédant un compte (mail avec un mot de passe "maître" de minimum 9 caractères) et les mots de passe ne sont pas directement visible sur l'application, mais transmis par mail à l'utilisateur qui est connecté.

    Et bien sûr, ceux-ci sont crypté en base afin d'éviter tous dump trop facile.

    Qu'en pensez-vous ? Est-ce que vous avez déjà testé des projets dans le genre ?

    Le point positif d'un tel projet, même si il sera peut être jamais publié, c'est que c'est vachement enrichissant d'un point de vue sécu

    -
    Edité par hippomssc 25 mai 2022 à 18:52:01

    • Partager sur Facebook
    • Partager sur Twitter
      25 mai 2022 à 19:15:52

      Salut,

      donc il faut se connecter à ses mails pour voir ses mots de passe ?

      • Partager sur Facebook
      • Partager sur Twitter
        26 mai 2022 à 1:38:56

        Je ne comprends pas l'intérêt d'une application web si on doit récupérer les mots de passe par mail, un mail ne devrait pas contenir de données personnelles car il suffirait d'un peu de social enginering pour capturer tous les mots de passe d'un utilisateur.

        Le plus gros problème ici est d'assurer la sécurité de ton application web.

        Peux-tu assurer l'intégrité de tes données ?

        Tes connaissances en sécurité sont-elles suffisantes pour éviter les vulnérabilités courantes ? (https://owasp.org/www-project-top-ten/)

        Enfin je pense que ton projet est plus adapté à un plugin pour navigateur, un utilisateur ne fera l'effort de sécuriser ses données que si le produit est facile et rapide à utiliser.

        Je ne dis pas ça pour te décourager, mais les projets où l'on doit gérer des mots de passe ce n'est pas de la rigolade, en revanche si c'est pour ta famille tu peux toujours créer ton application web et la rendre disponible que pour ton réseau interne, cela évitera bien des problèmes. 

        Tu peux également la publier et ajouter une whitelist d'IP pour autoriser uniquement un les clients que tu as choisi, mais j'éviterai d'envoyer ça sur le web si t'es peu sûr. 

        • Partager sur Facebook
        • Partager sur Twitter

        Ancien étudiant OpenClassroom, diplômé en développeur d'application Python

          30 mai 2022 à 14:26:13

          Hello merci à tous les deux pour vos réponses,

          @Aquer si l'appli est publiée telle quelle sur le web, oui il faudra se connecter avec email/mdp. Seul les utilisateurs que j'aurais enregistré en BDD auront accès au backoffice.

          @Mcflan c'est aussi la réflexion que je me suite faite durant le dév, je trouve pas ça top d'envoyer le mdp en clair sur un mail. Mais en même temps je trouve que ça rajoute une couche de sécu en plus. Si un utilisateur malveillant essaye de brutforce l'appli, l'avantage c'est qu'il n'aura aucun mot de passe directement accessible en clair depuis l'appli.

          Après l'idée c'est pas non plus de créer un gestionnaire de mdp qui soit générique et commercialisable, c'est juste pour avoir une BDD avec un petit dashboard qui centralise tous les mots de passes de ma famille uniquement pour les comptes commun (style Netflix, Spotify etc...). 

          Niveau sécu j'ai 4-5 ans de dév derrière moi et j'en ai fait un peu pendant mon cursus d'ingé (je suis en dernière année), donc je suis pas un expert, mais j'ai les bases et je connais les principales failles à combler. Mais je sais aussi qu'une appli sécurisée à 100% c'est impossible ...

          La whitelist d'IP ça peut être un bon compromis, même si niveau souplesse et maintenabilité, c'est pas le top 

          -
          Edité par hippomssc 30 mai 2022 à 14:28:32

          • Partager sur Facebook
          • Partager sur Twitter
            2 juin 2022 à 22:06:21

            Bonjour,

            Je trouve que l'envoi de mail est pas mal.

            Si c'est l'envoi des données en claire par mail qui pose problème, plutôt que d'envoyer les données, tu peux envoyer un lien temporaire généré dynamiquement au moment de la demande. Ce lien redirige vers une page sur ton site qui fera apparaître le mot de passe voulu. C'est un peu plus complexe à dev et un peu plus lourd pour l'utilisateur par contre.

            Faire une ACL sur les IP est impossible selon moi. Tu ne peux pas savoir à l'avance d'où les utilisateurs se connecteront (partage de co depuis un mobile, wifi d'un ami, wifi public, lien internet en IP dynamique, au travail etc...). À la limite tu pourrais ajouter une restriction géographique sur les IP, rien de plus.

            • Partager sur Facebook
            • Partager sur Twitter
              3 juin 2022 à 14:18:53

              Salut KoaTao merci pour ta réponse,

              Effectivement ça me paraît être une bonne solution, d'autant que c'est quelque chose que je n'ai jamais fait donc ça sera intéressant à implémenter...

              Je mettrais peut être en place une policy géographique sur les adresses IP (au moins une restriction avec uniquement des IP française) pour faire un premier écrémage

              • Partager sur Facebook
              • Partager sur Twitter

              [Appli Web] Gestionnaire de mot de passe familial

              × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
              • Editeur
              • Markdown