Comment débuter avec KeePass ?
En douceur
Le 23 février 2023 à 15h39
16 min
Logiciel
Logiciel
La gestion des mots de passe est un enjeu de sécurité. Nous vous proposons donc un tutoriel pour KeePass, seul gestionnaire de mots de passe adoubé par l’ANSSI à ce jour. Il a la bonne idée d’être libre (licence GPL v2) et gratuit.
Si nous insistons autant sur les gestionnaires, c’est qu’ils simplifient largement le stockage et l’utilisation des mots de passe. Du moins, tant que l’on applique les recommandations sur leur création, car si vous utilisez le même mot sur tous les comptes, on peut difficilement faire plus simple… et plus dangereux.
Et pour cause : il suffit que des pirates devinent le mot de passe une fois ou que l’un des services ait une fuite de données pour que tous vos comptes deviennent accessibles. Les recommandations sont donc d’utiliser des mots de passe d’au moins 12 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux. Il faut également en avoir un différent pour chaque accès que l’on souhaite protéger.
C’est là que les gestionnaires entrent en jeu : ils créent des mots de passe forts et aléatoires selon les critères définis, les stockent et les ressortent quand besoin. Ils sont protégés par un mot de passe maitre, qui doit être robuste et que vous devez retenir (et surtout ne jamais réutiliser). Même si les fonctions varient d’une solution à une autre (et entre les formules gratuites et payantes de certaines), ce tronc est commun à toutes.
KeePass faisait partie des gestionnaires que nous avions testés dans une série d’articles il y a quelques années. Ce petit logiciel est connu pour sa robustesse, sa grande légèreté, et sa certification par l’ANSSI. Il n’est pas aussi simple à prendre en main qu’une solution intégrée et synchronisée comme 1Password, BitWarden ou Dashlane, mais il a les préférences des personnes voulant contrôler finement ce qui est fait de leurs identifiants et de leurs données.
On vous explique comment l’utiliser.
Installation et mise en route
Pour installer KeePass, on se dirige simplement vers le site officiel et on télécharge l’exécutable pour son système. Notez que le logiciel est développé en C# sur une base .NET. On peut l’exécuter sur macOS et n’importe quelle distribution Linux, à condition que Mono soit installé. Nous reviendrons sur ce point en fin d’article. Ici, nous utilisons KeePass sur Windows, mais les fonctions sont strictement identiques pour les autres plateformes.
Une fois l’installation terminée, on lance l’application, qui s’affiche vide. La version d’origine est en anglais. Pour la passer en français, il faut aller dans View > Change language. Cliquez en bas à gauche de la fenêtre sur « Get More Languages », ce qui ouvre une page web avec une liste de langues. Récupérez le fichier qui vous intéresse. Ensuite, toujours dans la même fenêtre, cliquez sur « Open Folder ». Dans le dossier ouvert, déplacez-y simplement le fichier contenu dans l’archive téléchargée. Changer la langue provoque un redémarrage de KeePass.
Passons ensuite à la création de la base de données. Cliquez sur Fichier > Nouveau. Une fenêtre apparaît vous indiquant ce qui va se passer : vos données seront enregistrées dans une base de données au format KeePass, qui sera stockée dans un emplacement que vous choisirez. Vous vous en doutez, ce fichier sera très précieux, il faut donc s’assurer qu’il est non seulement stocké en lieu sûr, mais également que vous en ferez régulièrement une ou plusieurs copies de sauvegarde.
Vient ensuite le choix du mot de passe. De la même manière que sur un service concurrent, le choix de cette clé est primordial. Elle doit être longue, complexe et intégrer tous les conseils mentionnés plus haut. Elle va servir à chiffrer la base de données. Si l’on clique sur « Afficher les options de l’expert », on obtient deux options pouvant servir à renforcer la sécurité de la base. La première permet d’ajouter un fichier, qui sera systématiquement nécessaire au déverrouillage. La sécurité augmente, mais autant le savoir : si vous perdez le fichier ou qu’il est modifié, il ne sera plus accepté.
L’autre option lie le compte Windows à la clé. Cela signifie que l’ouverture de la base ne pourra se faire que depuis ce compte, sur cet ordinateur. KeePass prévient toutefois du danger et fournit un lien pour de plus amples explications. Si le compte devient inaccessible pour une raison ou une autre, la base deviendra inexploitable. Et il ne s’agira pas simplement de recréer un compte avec les mêmes identifiant et mot de passe. Il faut pouvoir restaurer une sauvegarde complète, comprenant le SID. Ajoutons que si vous comptez synchroniser la base pour l’exploiter sur d’autres appareils (ce qui est probablement le cas), il vaut mieux ne pas cocher cette option, qui bloquera cette capacité.
Une fois validée, la fenêtre laisse place à une autre, qui invite à nommer la base. On peut aussi lui ajouter un descriptif, pratique si on compte en utiliser plusieurs. Les onglets suivants permettent de paramétrer plus finement la base. On peut par exemple influer sur le nombre d’itérations pour la dérivation de la clé (via la fonction AES-KDF). Ce chiffre permet d’ajouter une charge de travail conséquente si la base devait être récupérée et attaquée.
La valeur est par défaut de 60 000. On peut l’augmenter sans problème, ce qui aura pour conséquence de renforcer encore la sécurité. Attention cependant, car cela signifie également des calculs plus intensifs pour l’appareil local. Le bouton « Test » permet justement de tester le résultat en fonction de la valeur. Une solution simple consiste à cliquer sur « Délai d’une seconde ». KeePass calcule alors le nombre d’itérations qui peuvent être calculées pendant cet intervalle, qui représente aussi le temps qu’il faudra pour charger la base ou sauvegarder les modifications. La valeur obtenue dépend de la puissance de la machine.
Nous vous conseillons de ne pas toucher aux autres valeurs par défaut, qui conviendront à la plupart des scénarios d’utilisation. À moins, bien sûr, que vous ayez des besoins spécifiques et que vous sachiez ce que vous faites.
Importer ses données et remplir sa base
Voici une étape probablement capitale, car vous utilisez déjà probablement un gestionnaire, même s’il s’agit d’un service inclus dans un navigateur. Si vous vous servez d’un concurrent comme BitWarden, LastPass, 1Password ou encore Dashlane, tous proposent une fonction d’export des données. KeePass prend en charge de nombreux formats.
Dans l’exemple ci-dessus, on peut voir l’export des données depuis BitWarden (via Paramètres > Exporter le coffre) vers un fichier JSON et l’import dans KeePass (Fichier > Importer). Dans le cas présent, les catégories sont prises en charge. Si vous passez par un CSV, ce ne sera pas le cas.
En examinant la liste dans la fenêtre d’importation, on se rend compte que KeePass supporte de nombreux scénarios. Dans le cas d’un navigateur, seuls Chrome et Firefox sont officiellement pris en compte, ainsi que l’extension Password Exporter. Cependant, plus haut dans la liste, KeePass propose un « Importateur CSV générique » que l’on peut utiliser pour d’autres données.
Nous avons fait le test avec Edge. Comme on peut le voir dans la capture, il a fallu modifier un peu quelques paramètres dans les options d’importation, car chaque programme peut avoir sa manière de remplir le CSV. Dans le cas du navigateur de Microsoft, les données sont affichées dans cet ordre : titre, Adresse, Nom d’utilisateur, Mot de passe. Ce n’était pas l’ordre par défaut proposé par KeePass, nous l’avons donc modifié dans l’onglet Structure. Il faudra donc adapter ce tri en fonction de la disposition des informations, que KeePass affiche de manière brute au début.
Notez que KeePass peut lui-même exporter ses données dans plusieurs formats, comme le CSV, le HTML ou encore le XML. Il peut même créer un fichier HTML dédié à Firefox.
Concernant le remplissage de la base, l’ajout d’une nouvelle entrée se fait soit par le menu Entrée > Ajouter une entrée, soit par le bouton jaune et vert dans la barre d’outils, soit par le raccourci clavier Ctrl + I. On est alors invité à indiquer un titre, un nom d’utilisateur, un mot de passe, une adresse ainsi qu’éventuellement quelques remarques.
Le mot de passe généré par défaut mesure 20 caractères, mais n’intègre que des majuscules et minuscules. Pour modifier la génération de mots de passe, cliquez sur la petite icône en face de Confirmation. Dans le panneau, nous vous conseillons les cases Chiffres, Spéciaux et Parenthèses. Il est même possible d’ajouter certains caractères ne faisant pas partie de ces catégories. On peut également modifier la taille du mot de passe généré.
Dès que les paramètres ont été acceptés, le mot généré dans la nouvelle entrée est automatiquement renouvelé. Surtout, KeePass garde ces réglages en mémoire pour les prochaines créations d’entrées. Après validation, la nouvelle entrée est simplement ajoutée à la base.
- Phrases de passe : l'ANSSI passe en mode 2.0
- Phrases de passe : la CNIL passe elle aussi en mode 2.0
Maniement au quotidien
Si l’on n’utilise réellement que KeePass, l’utilisation au quotidien peut paraître un peu rigide. L’application ne s’intègre pas dans les navigateurs et il n’y a donc pas remplissage automatique des champs sur les formulaires d’identification. Il n’y a pas non plus suggestion de mots de passe pendant les inscriptions, et ces dernières ne sont pas détectées par KeePass pour proposer de les enregistrer.
L’utilisation classique est de double-cliquer sur le nom d’utilisateur ou le mot de passe pour l’envoyer dans le presse-papier, et ainsi le coller dans le formulaire qui nous intéresse. Il y a d’ailleurs une sécurité propre à KeePass sur ce point : les données ne restent que 12 secondes (par défaut) en mémoire, après quoi elles sont supprimées.
Cependant, le logiciel fournit un autre moyen, plus pratique : un raccourci clavier. Allez dans les options, puis dans l’onglet Intégration. Là, vous verrez une ligne nommée « Saisie automatique de l’entrée sélectionnée ». Définissez un raccourci, qui servira à faire exactement cela : la ligne sélectionnée déversera dans le formulaire l’identifiant et le mot de passe correspondant, en plus de valider la connexion.
Vous aurez peut-être remarqué dans ce panneau une ligne « Saisie automatique globale », accompagnée du raccourci Ctrl + Alt + A. Si nous n’en avons pas parlé en premier, c’est parce que ce raccourci ne fonctionne pas toujours. En fonction des sites, le raccourci accomplit parfois son devoir, parfois non. En revanche, la saisie de l’entrée sélectionne fait mouche à chaque fois… sauf dans un cas. Certains sites ont depuis quelque temps la fâcheuse habitude de demander d’abord l’identifiant, puis seulement après le mot de passe. Le processus provoque plusieurs utilisations du gestionnaire de mots de passe, quel qu’il soit.
Deux autres raccourcis se révèlent pratiques au quotidien : Ctrl + Alt + K pour afficher KeePass au premier plan, et Esc pour verrouiller le logiciel, nécessitant alors d’entrée la clé maître pour accéder à nouveau aux informations. Tous les raccourcis clavier peuvent être modifiés.
Dans l’onglet Avancé des options, on peut aussi modifier le comportement de KeePass, et certaines sont très utiles. On peut par exemple imposer à l’application de toujours démarrer en mode réduit et verrouillé, enregistrer automatiquement la base de données à la fermeture, ou encore chercher automatiquement le fichier clé sur les supports amovibles. Dans l’onglet Intégration, on peut demander à KeePass de s’ouvrir automatiquement avec la session Windows.
Quant aux onglets Interface 1 et 2, ils permettent de personnaliser (légèrement) le visage de l’application, et de modifier ses réactions dans certains cas, comme l’envoi en zone de notification plutôt que dans la barre des tâches quand on réduit la fenêtre, basculer automatiquement KeePass en arrière-plan après double-clic sur une ligne pour en copier les données dans le presse-papiers, ou encore réduire l’application plutôt que la fermer quand on clique sur la croix de fermeture.
Bon, et sur environnement mobile ?
Pour la plupart des gens, la possibilité de pouvoir ressortir ses mots de passe en environnement mobile n’est pas une option. Et pour cause : créer un mot de passe aléatoire et fort pour chaque compte, chaque service et chaque application est un élément crucial de la sécurité, mais qui tombe à plat si l’on ne peut pas y accéder sur son smartphone, au moins de manière pratique. Il faut éviter le scénario où il faudrait entrer le mot de passe à la main en le lisant en même temps sur l’ordinateur.
KeePass n’étant pas une application synchronisée, la base est enregistrée localement. Il appartient donc à l’utilisateur de trouver un moyen. La solution la plus évidente serait d’enregistrer la base sur un cloud quelconque, qui ferait alors le lien entre tous les appareils. Fonctionnellement, la solution est viable et facile. Tout dépend cependant de la confiance que vous portez au cloud en question. La base est chiffrée, mais les communications de la plupart des drives ne sont pas chiffrées de bout en bout, signifiant que l’éditeur concerné a accès aux données chiffrées. À moins de se tourner vers une solution chiffrée de bout en bout, telle que Proton Drive.
Les autres solutions tiennent presque toutes à l’auto-hébergement. Vous avez par exemple un serveur ou un NAS connecté à internet ? C’est un bon moyen de rendre votre base KeePass accessible à vos autres appareils. C’est d’ailleurs le fonctionnement de la version auto-hébergée de BitWarden. Dans tous les cas, mieux vaut s’assurer que la sécurité de cet appareil est pleinement assurée, car les données partagées seront alors très sensibles. Même si, encore une fois, la base est protégée par un chiffrement fort.
L’utilisation mobile dépend également de l’application utilisée. Car oui, il n’y a pas d’application KeePass officielle. En revanche, puisque son code est open source et qu’il existe une bibliothèque, de nombreuses versions mobiles sont apparues, tant sur Android qu’iOS. Ici, chacun devra son idée entre les fonctions proposées, l’interface et le reste. Un point spécifique mérite cependant votre attention : vérifier que l’application est capable d’injecter les identifiants dans les autres applications et les formulaires web. Certaines ne le font pas et proposent un accès simple aux informations, qu’il faudra alors copier-coller. La plupart le proposent, mais beaucoup le réservent à leur abonnement payant.
Les extensions et plugins
De la même manière, il n’existe pas d’extensions officielles pour les navigateurs. En revanche, on trouve facilement des extensions tierces capables de faire le lien avec le logiciel. Nous vous conseillons de prendre le temps de les examiner et de trouver celle qu’il vous faut, car cette extension, comme l’application mobile, simplifiera largement votre utilisation au quotidien, en évitant les allers et retour dans le logiciel. Point important, toutes ont besoin du plugin KeePassHttp pour fonctionner.
Les plugins, justement, parlons-en. Ils sont nombreux, très nombreux même, et couvrent une grande variété de scénarios d’utilisation. Une page sur le site officiel de KeePass permet de se rendre compte de l’ampleur : il y a des plugins pour tout et n’importe quoi, et il y a des chances que vous trouviez précisément ce que vous cherchez, si toutefois vous êtes suffisamment à l’aise en anglais, aucun descriptif n’étant en français.
Ces plugins sont l’un des plus gros arguments de KeePass, comme ils l’ont été pendant longtemps pour Firefox, avant que tous les navigateurs s’y mettent. Parmi cette montagne de plugins, on trouve des capacités comme des imports depuis de nombreuses autres sources, la possibilité d’intercepter des adresses dans le navigateur, l’exposition de la base via une adresse locale, l’ouverture de volumes BitLocker, la gestion des thèmes, des interfaces pour certains systèmes d’authentification spécifiques comme celui de SAP, la gestion des clés de sécurité par Bluetooth, le montage/démontage automatique de volumes TrueCrypt ou VeraCrypt, etc.
Un mot enfin sur les logiciels alternatifs. Le plus connu est sans conteste KeePassXC, qui a deux gros avantages. D’abord, une interface nettement plus plaisante à l’œil car moins austère. Ensuite, son code est natif et n’a donc pas besoin de .NET, ce qui est valable également pour les autres plateformes. Il aura donc le bénéfice des performances – même si KeePass reste un logiciel très léger – et de ne pas réclamer de composant additionnel (Mono). KeePassXC ne supporte cependant pas les plugins de KeePass, mais l’équipe de développement revendique nombre de fonctions justement apportées par les plugins. Autre différence : la certification de l’ANSSI ne vaut que pour KeePass, pas pour ses « rejetons ».
Cet article a été écrit de manière à être le plus neutre possible, sans renvoyer vers des solutions spécifiques. Il s’agit avant tout de KeePass, même si KeePassXC est mis en avant, car sa popularité est aussi grande que le logiciel dont il est un fork lointain. N’hésitez donc pas à indiquer dans les commentaires la manière dont vous avez complété votre utilisation quotidienne de KeePass.
Comment débuter avec KeePass ?
-
Installation et mise en route
-
Importer ses données et remplir sa base
-
Maniement au quotidien
-
Bon, et sur environnement mobile ?
-
Les extensions et plugins
Commentaires (60)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 23/02/2023 à 15h53
J’ajouterai que la certification ANSSI ne vaut que pour la version auditée, à savoir la 2.10.
Le 23/02/2023 à 15h57
Bonjour, Merci pour l’article!
Je ne peux plus m’empêcher de l’utiliser, je me permet quelques ajout de mon coté :):
J’espère que cela pourra aider :)
Le 23/02/2023 à 16h08
De mon côté aucun problème avec KeepassXC en synchro
Le 23/02/2023 à 16h18
Hum… je vais peut être regarder encore alors… J’utilise Keepass en syncrho webdav, je n’ai pas trouvé comment faire avec KeepassXC (qui est plus léger, j’en conviens)
Le 23/02/2023 à 16h29
en mettant la base sur un cloud (nextcloud autohébergé pour moi), aucun problème
Le 23/02/2023 à 17h19
D’apres la FAQ je comprends que c’est un “écrasement de fichier”.
Mais en cherchant un peu, je tombe la dessus.
Il semble que cela se base sur un mécanisme un peu différent , mais très intéressant (pour d’autres besoins, genre partage familial :p) …
Est ce que je peux demander si C’est le mécanisme utilisé ?
Merci!
Le 24/02/2023 à 13h00
Pas leurs travail de synchroniser des données, regarde rsync ou syncthing
Le 23/02/2023 à 16h08
Alors pour commencer avec Keepass, on télécharge KeepassXc …
Le 23/02/2023 à 16h47
Mince, grillé
Le 23/02/2023 à 16h26
En parlant de version audité par l’ANSII, NXI n’a jamais parlé de LockSelf solution française elle aussi certifié par l’ANSII.
Le 01/03/2023 à 13h21
En effet, très utile en entreprise pour le partage de mots de passe
Le 23/02/2023 à 16h30
KeePassDroid sur mobile, aussi simple et austère que KeePass sur PC. Je copie ma base de données sur chaque appareil et aussi en version portable sur clé usb pour avoir mes mots de passe partout. J’ai quand même quelques doutes à propos de la sécurité sur mobile.
Le 23/02/2023 à 16h42
Sur PC :
Sur Android :
Le 23/02/2023 à 16h58
Même setup. A noter que sur Android, je préfère que la base soit ouverte en read-only. Les fausses manip sur l’ergonomie mobile sont vite arrivées.
Le 23/02/2023 à 17h26
Avec KeePass, il y a un truc que je n’ai pas réussi à faire : si je suis en édition d’une clé (boîte de dialogue ouverte donc) et que j’oublie de la fermer, l’application ne se verrouille pas automatiquement alors que c’est le cas autrement. J’ai parcourus toutes les options sans trouver de solution ! Quelqu’un aurait il une astuce ?
Le 23/02/2023 à 18h00
KeePass permet de personnaliser la séquence de saisie automatique pour chaque entrée en allant dans l’onglet “saisie automatique”.
Pour ce type de site, on peut définir la séquence suivante :
{USERNAME}{ENTER}{DELAY=2000}{PASSWORD}{ENTER}
Le délai de 2 secondes permet d’attendre que le champ mot de passe soit bien chargé avec le focus dessus. il peut être adapté si la page met du temps à se charger.
Le 23/02/2023 à 18h02
Ça me semble être un comportement normal… c’est l’oubli de fermeture de la fenêtre qui est le bug ;)
KeepassXC également de mon côté (pro) vaultwarden autohébergé (perso). Keepass est vraiment trop laid et installer .net / mono hors Windows, c’est inconcevable pour moi
Le 23/02/2023 à 18h16
KeePass XC c’est vraiment abouti comme solution, sinon Bitwarden pour ceux qui n’ont pas peur de cloud.
Le 23/02/2023 à 18h46
Ma config perso : Keepass sur PC avec l’extension WebAutoType + Keepass2Android sur mobile, le tout synchronisé sur un Nextcloud hébergé (Keepass gère tout seul la synchronisation sur Nextcloud)
L’extension WebAutoType comble un des problèmes identifiés dans l’article : de base, le Ctrl+Alt+A ne marche que si le nom de l’entrée dans Keepass correspondant au titre du site dans le navigateur (peut-être pas le comportement de base, mais celui obtenu en jouant sur certaines options, je ne me rappelle plus bien).
=> Avec l’extension WebAutoType installée, il cherche une correspondance entre l’URL de la page, et le champ URL des entrées Keepass, et ça marche vachement mieux
Le 23/02/2023 à 22h49
Pour ma part, je n’utilise que le raccourci clavier d’auto-type (ctrl + alt + a), tant pour les applis (steam, thunderbird,…) que pour mes navigateurs.
Pour cela, j’utilise beaucoup la fonction des tags (balises) : dès que je crée une entrée, je mets un tag avec le nom du site ou un mot différenciant du titre de la fenêtre.
Par exemple, pour Google, une seule entrée et j’ai les tags suivants : maps, youtube, gmail, drive,calendrier,…
J’ai activé dans les paramètres l’option qui cherche dans les tags pour faire le match d’une entrée.
De cette façon, les imports se font sans extension ni côté keepass ni côté navigateur. Cela me permet d’être indépendant du navigateur utilisé.
Comme quelqu’un l’a déjà évoqué, je gère également en auto-type personnalisé les sites qui démultiplient les fenêtres login, mot de passe voire A2F.
Sur certains sites, j’ai fait le choix d’intégrer l’A2F dans Keepass, via un plugin (https://github.com/KeeTrayTOTP/KeeTrayTOTP).
En gérant des délais entre chaque saisie (je plussoie les 2sec en première approche, certains sites nécessitent 5sec), ça fonctionne parfaitement.
Dans de rares cas, j’ai dû aller chercher la fenêtre concernée dans les paramètres avancés d’auto-type d’une entrée, par exemple pour Thunderbird où je dois saisir le mdp du mail puis le compte webdav pour mon agenda.
J’ai écrit un guide sur l’outil pendant le confinement en 2020 (env 50 pages, 8 sur des rappels sur les mots de passe, le reste sur l’usage de l’outil en pas à pas avec captures d’écran commentées), ma femme a été la béta-testeuse, puis j’ai diffusé à famille/amis/collègues.
Si je peux proposer une amélioration à l’article, il manque quelques repères dans l’article selon mon retour d’expérience.
Par exemple, une question courante que j’ai eu : je mets quoi en taille/ caractères de mot de passe par défaut dans le générateur : 8, 12, 20, 50 caractères, avec/sans quelques/tous caractères spéciaux ?
Même question pour le mot de passe maître (pour ces deux points, j’ai compilé les recommandations de la CNIL et l’ANSSI sur la gestion des mots de passe).
Côté auto-type, j’ai dû reformuler plusieurs fois avant que les gens comprennent bien l’esprit, son fonctionnement et ce qu’on peut en tirer.
Sur les paramètres, je me suis rendu compte qu’il ne faut pas proposer aux gens mais leur “imposer” des options en leur expliquant la raison. Par exemple, enregistrer forcément à la fermeture, lancer Keepass au démarrage, l’usage du bureau sécurisé, l’usage des tags pour trouver l’entrée,…
En tout cas, cet article est un très bon point d’entrée pour présenter en détail l’outil, bravo
Bien expliqué, j’ai convaincu plusieurs personnes d’y passer et bon nombre d’entre eux ne reviendront plus en arrière.
Le seul gros hic : quand pour x ou y raison il faut taper son mot de passe sans KeePass. Quand on ne génère plus que des mots de passe complexes de 20 caractères aléatoires, c’est la misère
Le 24/02/2023 à 17h12
Ton guide m’intéresserai pour inciter mon entourage à adopter KeePass, que moi même j’ai installer à la maison depuis peu et qui m’a conquis, mais comme il est, il vrai un peu austère au premier abord, ton approche m’intéresse. Merci à toi.
Le 23/02/2023 à 23h42
Pour remplir le couple identifiant/ mot de passe sous linux avec KeePassX 2.0.3 je fais CTRL + V
Dans 85% des sites cela fonctionne.
Le 24/02/2023 à 00h08
Le grand classique
Le pire c’est de devoir le faire avec un clavier virtuel (genre tv ou console)
Le 24/02/2023 à 07h03
Et le pire du pire est la création de mot de passe sur certains sites qui t’obligent à retaper le mot de passe à la main car ces abrutis finis bloquent la possibilité de coller le mot de passe qu’on a généré.
Parfois, on peut faire sauter le blocage mais parfois non (genre sur mobile…).
Le 24/02/2023 à 07h24
Pour l’auto saisie, perso j’utilise l’extension navigateur de KeepassXC. C’est plutôt rare quand elle galère à trouver les champs de login/password (surtout quand le formulaire est alambiqué), et elle gère bien la nouvelle mode du champ login, page suivante, password. Avec ce modèle, je renseigne même à l’avance les infos dedans (car sinon c’est enregistré dans “web passwords” et faut trier ensuite, autant le faire à l’avance) comme ça la saisie se fait directement. Le seul truc relou sont les sites débiles qui bloquent le copier/coller … Ils n’ont rien compris à la vie. Mais parfois le clic droit sur le champ => fill password only arrive à contourner.
Sur Android, KeepassDX a son “MagicKeyboard” qui permet de remplir les champs et il passe automatiquement au suivant. Le seul aspect relou, c’est de basculer entre le clavier normal et le sien le temps de déverrouiller la base notamment pour les applis. Sinon sur les sites web on a plus rapidement la fonction “login with keepassDX”.
C’est bien, ça m’a permis de dégager progressivement tous les passwords enregistrés dans le navigateur une fois que j’ai vu que ça marchait bien.
Autre feature que j’apprécie beaucoup sur KeepassXC : il garde la stratégie de mots de passes d’une entrée. J’ai une strat par défaut assez bourrin (64 chars avec tout ce que le clavier est capable de produire quand on roule sa tête dessus pendant un quart d’heure) mais certains sites imposant des limitations arbitraires, je me retrouve obligé de brider son générateur en supprimant das options. Visiblement il s’en souvient à chaque entrée vu qu’il me propose le même setting en cas de renouvellement.
Après son autre valeur ajoutée, c’est le TOTP. Je ne crois pas que le Keepass original sache le gérer. Je n’externalise le TOTP sur une app smartphone que lorsque c’est un service vraiment critique dans mon usage, sinon KeepassXC s’en occupe aussi.
Le 24/02/2023 à 07h54
Merci pour cet excellent article.
Le 24/02/2023 à 07h56
Moi, j’aimerais bien qu’on m’explique ce qu’un gestionnaire de mots de passe externe comme keepass apporte de mieux que les gestionnaires internes de Firefox et Thunderbird (avec mot de passe maître bien sûr). Je n’enregistre pas de mot de passe sur mon navigateur alternatif. Les 2 ou 3 mots de passe que j’utilise en dehors du navigateur sont des mdp forts et ne sont enregistrés nulle part. D’autre part ne faisant pas confiance à mon téléphone, je n’y ai pas de mot de passe enregistré.
Le 24/02/2023 à 08h27
De mon expérience avec KeepassXC:
Et avec les services en ligne tels que Bitwarden, le partage de secrets avec d’autres utilisateurs.
Le 24/02/2023 à 08h32
Verrouillage automatique de la base de mots de passe après un certain temps.
Synchronisation facile entre plusieurs appareils, sans passer par un cloud.
Sauvegarde sécurisée pour d’autres choses que des mots de passe (fichiers, codes de récupération, etc.).
Vérification de la qualité/unicité/compromission des mots de passe.
Le 24/02/2023 à 08h36
Vous stockez où le fichier kdbx pour pouvoir le retrouver sur plusieurs appareils différents (PC perso, PC pro, smartphone ? Sur un cloud, sur une clé USB ?
Le 24/02/2023 à 08h48
Sur mon instance Nextcloud hebergée à la maison, avec un backup (plus ou moins ) régulier sur une clé USB. Avec l’app Keeweb disponible sur Nextcloud, cela me permet aussi d’y accéder sur des appareils publics.
Au final, je pourrais presque switcher sur Bitwarden/Vaultwarden… Mais je me suis habitué à KeepassXC et KeepassDX
Le 24/02/2023 à 08h51
Je les stock sur mon serveur accessible en ssh par clé privé
Mais il faut un plugin qui gère le ssh
Le 24/02/2023 à 12h13
Synchro sur mon kDrive personnellement.
Le 24/02/2023 à 12h29
Pour un utilisateur Windows (avec un compte microsoft) + android, la solution la plus simple que j’ai trouvé est le stockage du fichier de base de donnée dans Onedrive sur le PC, et l’utilisation de l’application Keepass2Android sur smartphone qui sais se connecter directement à Onedrive pour ouvrir la base de données en lecture et/ou écriture.
Le 24/02/2023 à 08h54
Team KeePass ici, c’est le seul gestionnaire de mots de passe que j’aie jamais utilisé. Sous Linux, j’utilise un client alternatif qui s’appelle KeeWeb, qui a la particularité de savoir faire de l’autotype (oui, même sous Linux). Donc on se met dans le champ dans le browser ou l’appli, on remet KeeWeb devant, on choisit “autotype” pour l’entrée qu’on veut taper, et voilà.
Sur Android, j’utilise KeePass2Android, qui installe un clavier virtuel avec 2 touches: “user” et “password”. On sélectionne l’entrée qui va bien dans la base, on repasse dans l’appli, on change de clavier, “user”, puis “password” et voilà.
La base est synchronisée entre tous mes appareills via Syncthing, qui fait du peer to peer, donc pas de serveur central, et qui est chiffré de bout en bout (team parano aussi, probablement ).
Le 24/02/2023 à 09h00
Je viens de voir que Keeweb n’est plus activement développé. J’espère qu’il n’y a pas de failles de sécurité importante depuis la dernière release en juillet 2021 !
Le 24/02/2023 à 14h25
J’avais loupé ce “détail”. Je vais peut-être chercher un autre client du coup, jamais bon de garder des outils plus maintenus, et encore plus dans ce domaine…
Le 24/02/2023 à 12h29
Oh!! Exactement ma config mais sous win10! Avec sauvegarde sur mon NAS et pcloud.
Le 24/02/2023 à 09h52
Merci pour l’article ET l’astuce des 2 secondes de délaie entre l’utilisateur et le mot de passe.
Sinon, j’utilise aussi KeepassXC (Windows/Linux). le .kbx est dans un dossier synchroniser sur mon Nextcloud.
Je n’ai que très,très rarement des problèmes de synchronisation et il se limitent tous à un conflit de fichier..généralement du au fait que le client Nextcloud n’était pas démarré.
Dans la très grande majorité des cas même avec keepassXC ouvert sur 2 pc en simultané sur le même .kbx: ca fonctionne.
Le 24/02/2023 à 10h00
Moi j’ai arreté Keypass au profit de VaultWarden en Docker sur mon NAS. C’est Web, ça se sauvegarde facilement, et au final je trouve ça mieux que le fichier.
Le 24/02/2023 à 10h44
Des éléments de réponse sous forme graphique
Données 2021
Données 2022 avec une Nvidia RTX 3090.
Que je sache, pas encore de données équivalentes pour 2023 avec une RTX 4090 mais ce tweet peut d’ores et déjà donner un ordre de grandeur des sauts de performances.
Le 24/02/2023 à 13h02
Dans l’attente d’un client Proton Drive pour PC, je fonctionne avec KeePass et le plugin KeepassEveryWhere sur PC et KeePassDX sur Android, avec un fichier sur Google Drive. Je suis conscient que ce n’est pas ce qui se fait de mieux
Le 28/02/2023 à 15h46
Pareil pour moi; dans l’attente d’une solution ProtonDrive.
J’utilise KeePass, avec Dropbox, pour avoir un acces offline, sur l’ensemble de mes appareils.
Par contre, je ne suis pas sur de comprendre dans l’article:
“Fonctionnellement, la solution est viable et facile. Tout dépend cependant de la confiance que vous portez au cloud en question. La base est chiffrée, mais les communications de la plupart des drives ne sont pas chiffrées de bout en bout, signifiant que l’éditeur concerné a accès aux données chiffrées. À moins de se tourner vers une solution chiffrée de bout en bout, telle que Proton Drive.”
Puisque la base KeePass est chiffrée, l’editeur n’a pas acces au contenu en clair, mais juste a la base.. chiffrée.
Ou alors je n’ai pas compris.
Le 28/02/2023 à 16h31
simple: l’hébergeur a accès au fichier kdbx, certes chiffré, mais quand même.
rien n’empêche un acteur malveillant de récupérer la base et de tenter de la cracker.
Le 24/02/2023 à 13h20
Côté iOS j’utilise Keepassium, mais qui souffre d’un gros défaut : il ne propose pas d’enregistrer une nouvelle entrée / de créer un MDP quand on crée un compte via le navigateur ou une appli :/
Le 24/02/2023 à 14h03
Keepass pour ma part synchro en webdav à partir d’un Nas au taff bien protégé avec le port ouvert uniquement sur quelques adresses IP.
J’utilise Kee sur Firefox, qui est bien pratique pour me retrouver mes mots de passe. Il y a d’autres extensions sur Firefox ?
A noter que Keepass fonctionne bien pour des sites ou il y a besoin de plus qu’un coupe ident/MDP. Coucou net-entreprises avec 4 infos à renseigner…
Suite à l’affaire keepass sur l’export, j’ai voulu utiliser KeepassXC, J’ai importé ma base, j’ai un peu galéré surtout sur les sites qui ont plus que le couple traditionnel, données sauvées dans un fichier json. Ou alors j’ai raté quelque chose ??
J’ai trouvé KeepassXC vraiment cool mais par contre avec l’extension pour navigateur, j’ai un poil galéré pour définir ou est l’identifiant et ou est le mot de passe sur certains sites bien chelous. Mais bon on peut sauvegarder plein de champs à remplir donc en prenant un peu de temps, ça le fait mais c’était moins simple que le couple Kee/KeePass qui permet de bien tout enregistrer.
Après, l’extension est parfois un peu capricieuse. Mais j’ai trouvé cool la possibilité de mémoriser une seule entrée pour un site.
Le 25/02/2023 à 11h04
Ici KeepassXC synchronisé en local sur mes appareils et banni du smartphone.
Quel est le format des données ?
Admettons, que tout saute.
Je parle du cas ou vous n’auriez pas de solution de secours pour monter environnement Docker.
Est-il réalisable d’extraire base (sqlite ?) du conteneur data et de déchiffrer avec votre certificat/clé maître ?
C’est une vraie question, j’aime bien avoir un plan B sur les technos chiffrées que j’utilise je ne connais pas VaultWarden.
Le 25/02/2023 à 11h50
VaultWarden, anciennement Bitwarden_RS, est un projet communautaire implémentant l’API Bitwarden en Rust.
Le 25/02/2023 à 11h57
Merci. D’ailleurs je ne sais pas plus pour Bitwarden, comment sont stocké les données.
Le 26/02/2023 à 13h43
Est ce qu’on peut utiliser un lecteur d’empreintes sur pc pour sécuriser accès au fichier kbdx ? Est ce que c’est une bonne option ? Perso taper un mot de passe de 50 caractères à chaque fois que j’ouvre mon pc ça me fait un peu suer (j’avoue)
Le 26/02/2023 à 14h10
KeepassXC supporte les Yubikey (je sais pas pour l’original) pour ajouter une couche de “double authent” au déchiffrement de la base.
Sinon l’autre possibilité c’est d’utiliser le fichier de clé en plus du mot de passe, fichier pour le coup non synchronisé que tu copies unitairement sur les appareils concernés (ou alors sur une clé usb) comme ça tu peux simplifier ta clé de déchiffrement.
Le 27/02/2023 à 08h15
Keepass les a supporté via plugin à un moment mais quand j’ai voulu tester, le plugin ne fonctionnait plus avec les versions récentes.
Sinon, quelqu’un arrive à se servir de KeepassDX avec une Yubikey nfc ?
Ca a fail sur un test vite fait, mais mon op6 à l’air caractériel.
Le 27/02/2023 à 08h16
je me réponds à moi-même. Les Yubikey ne permettent pas toutes de faire de la biométrie. Il n’y aurait que les Yubikey de la série “bio”. Mais la série “bio” ne serait pas supportée elle par Keepass.
Je me demande donc si un bon vieux lecteur d’empreintes ne me suffirait pas.
Le coup du fichier de clé, ça va faire trop pour ma femme qui peste depuis la mise en place de keepass.
Le 26/02/2023 à 14h28
Merci @SebGF Les yubikey, ça fonctionne avec une empreinte ?
Le 27/02/2023 à 10h52
le seul truc qui m’empêche de passer à keepassXC / keepassDX c’est (à moins que ça ait changé très récemment) l’obligation de ressaisir la totalité de la phrase de passe à chaque déblocage.
en gros, l’absence de plugin/fonctionnalité QuickUnlock qui existe sur keepass/keepass2android et qui est juste magique.
Le 28/02/2023 à 09h05
erreur de ma part, ils ont choisi d’utiliser Windows Hello.
stupidité: en fonction des GPO d’entreprise, Windows Hello peut être désactivé.
donc en gros, je ne peux définitivement pas utiliser KeepassXC. ^^
Le 28/02/2023 à 19h29
@Vincent :
Si ça ne fonctionne pas, c’est que par défaut Keepass cherche l’entrée correspondante à partir du nom de la fenêtre (donc le nom de l’onglet sur nos navigateurs) et à partir du Titre de l’entrée Keepass. Si le titre n’est pas contenu dans le nom de l’onglet, Keepass ne trouvera pas l’entrée. Mais ça peut être très facilement résolu en définissant le terme à chercher dans l’onglet “Auto-Type” de chaque entrée.
Tout est très bien décrit ici : https://keepass.info/help/base/autotype.html#autoglobal
Personnellement, je n’ouvre ma fenêtre Keepass que pour ajouter une nouvelle entrée de temps en temps. Sinon, je ne fonctionne qu’avec le global auto-type (Ctrl-Alt-A) et Keepass dans le systray.
Le 01/03/2023 à 08h07
KeePassXC extrêmement décevant sur Linux par rapport à KeePass (même pas XC) sur Windows. On dirait qu’il manque la moitié des fonctionnalités dans l’interface.
Par exemple quasi aucun format d’import accepté, là où KeePass sur Windows accepte les fichiers exportés depuis de nombreuses sources (LastPass, Bitwarden…), comme mentionné dans l’article.
Le 01/03/2023 à 09h51
+1, j’utilise cette manip sur pas mal de sites fâcheux et ça fait bien le taff !
Le 02/03/2023 à 10h28
You’re a genius, merci