1Password
Quand tu branches 5 MCP, tu accumules 5 tokens dans ton ~/.bashrc, tes scripts, tes variables d'environnement. C'est une bombe à retardement. 1Password centralise tout : tokens, clés SSH, mots de passe, 2FA. Son CLI (op) permet d'injecter un secret dans une commande sans jamais l'écrire en clair, ce qui protège tes credentials des leaks accidentels (git commits, screenshares, logs).
Installation
Prérequis.Abonnement 1Password requis (2,99 $/mois perso). Compte familial ou équipe conseillé si tu partages des secrets. L'app desktop et la CLI sont installées en une seule commande.
$ brew install --cask 1password 1password-cliAprès install : `op signin`, puis active l'intégration CLI dans 1Password (Settings → Developer → Integrate with 1Password CLI).
Configs et workflows qui valent le coup
Stocker tous tes tokens MCP dans un vault dédié
Crée un vault 'AI Stack' (ou 'Claude Code'), stocke chaque token de MCP avec un nom clair : PostHog API Key, Slack Bot Token, HubSpot Private App, etc. Chaque entrée doit avoir l'URL du service et les scopes requis (pour te rappeler ce que le token peut faire).
Injecter un secret dans une commande sans jamais l'afficher
Avec `op read`, tu récupères un secret en clair uniquement pendant l'exécution. Il n'apparaît ni dans l'historique shell, ni dans les logs, ni dans les screenshares. Utile pour installer un MCP avec un token sans coller le token dans la commande.
# Au lieu de ça (le token se retrouve dans ton history) claude mcp add posthog -- npx -y @posthog/mcp-server --api-key=phc_xyz... # Fais ça (le token reste dans 1Password) claude mcp add posthog -- npx -y @posthog/mcp-server \ --api-key=$(op read "op://AI Stack/PostHog/api_key")
Remplacer ssh-agent + .gitconfig avec 1Password
1Password peut stocker tes clés SSH et signer tes commits Git. Tu ne gères plus de fichiers ~/.ssh/id_rsa exposés, et chaque signature demande un Touch ID. Protège contre les dépôts compromis qui tenteraient de siphonner tes clés.