Nextcloud passwords / passman et partage avec un groupe d'utilisateurs

#1

Bonjour,

J’ai un peu hativement installé un Nextcloud avec passwords, après avoir comparé avec passman. Sans remarquer qu’il n’est pas possible de partager des mots de passe avec un groupe (ou plus généralement de partager des mots de passe avec d’autres utilisateurs de façon pratique).

L’auteur a fait le choix bien expliqué de privilégier l’usage individuel pour l’instant. Un intérêt répété a été exprimé pour que la gestion du partage avec des groupes d’utilisateurs soit implémenté mais l’auteur explique encore que c’est compliqué. Rien n’indique du progrès dans cette direction, même si le sujet est débattu depuis plus de deux ans, il ne faut donc pas compter dessus à court terme.

Mes 2cts

1 Like
#2

À titre professionnel, j’ai plus de 100 utilisateurs qui utilises passwords pour gérer leur mots de passe et qui les partages. Je n’ai que des retours poisitifs.
Cependant, il y a certaines limitations qui effectivement rendent le partage de masse plus long :

  • on ne peut pas partager un dossier
  • on ne peut pas partager à un groupe
  • on ne peut pas partager plusieurs mots de passe en même temps

Je pense cependant que ce n’est pas tant un problème que ça puisque partager un dossier ne permet pas de traiter la granularité des accès. Quid d’un mot de passe qui passe d’un dossier à un autre ? Faudrait-il conserver les partages initiaux ou les supprimer puis repdrendre ceux du nouveau dossier ? La réponse n’est pas si simple je trouve.
Partager à un groupe, au delà des difficultés techniques, ne permet pas de gérer la granularité et je pense que c’est de toute façon une mauvaise pratique que d’avoir un même accès pour un groupe d’utilsateurs.

1 Like
#3

Le cas d’usage c’est:

  • les mots de passe des services qui sont partagés par l’équipe technique, par exemple le compte gandi qui gère le domaine. Idéalement il n’y a jamais de compte partagé entre plusieurs personnes: c’est pas une bonne pratique. En réalité il y en a souvent des dizaines.
  • coté journalistes ou défenseurs des droits humain, c’est les comptes sur lesquels ils publient de l’information, par exemple le concurrent de Mastodon dont le nom m’échappe. La encore il faudrait des comptes séparés mais ce n’est pas fait comme ça.
1 Like
#4

Il me semble que Gandi permet de gérer une organisation au delà du simple compte utilisateur. Ce qui permet d’éviter le compte partagé. Cette organisation peut être le propriétaire du|des ndd.

toutafé. Il est parfois difficile de faire évoluer ces pratiques quand cela est techniquement possible, en particulier dans une organisation hétéroclite.

@dachary J’ai deux questions :
Comment éviter de créer des boucles non vertueuses? Exemple : passwords, uniquement accessible par un nom de domaine, et l’accès au registre de ce même nom de domaine dont le secret est stocké dans passwords?
Quelle est la politque de l’équipe technique qui gère le «vault»?

2 Likes
#5

Je n’ai pas de recette et si j’y réfléchissais soigneusement je pense que je trouverais ce genre de boucles dans des ressources dont je suis responsable. Merci d’avoir fait ce rappel :slight_smile: