Connexion
Abonnez-vous

KeePassXC ajoute le support natif des Yubikey pour protéger l’accès à vos mots de passe

Bientôt via U2F ?

KeePassXC ajoute le support natif des Yubikey pour protéger l'accès à vos mots de passe

Le 16 août 2017 à 13h51

KeePass ne propose pas de support natif d'une double authentification à travers une clef de sécurité, via le protocole U2F ou un autre procédé. Son dérivé KeePassXC a récemment ajouté la gestion des Yubikey afin de renforcer l'accès à votre base de mot de passe. Voici comment en profiter.

KeePass est connu pour être un gestionnaire de mots de passe open source de référence (voir notre analyse). Il permet de les organiser de manière simple, tout en exploitant un format de fichier ouvert : KDBX (qui en est à sa v4).

Mais il n'est pas exempt de défauts. Outre son interface un peu datée, il n'était proposé au départ que sous Windows (il est désormais possible d'utiliser Mono), et certains estiment que des fonctionnalités relativement pratiques lui manquent. Ainsi, de nombreuses alternatives existent, que ce soit pour des OS mobiles ou pour ordinateurs.

De KeePassX à KeePassXC

Parmi eux, KeePassX a fait parler de lui il y a quelques temps, avec la volonté de proposer une solution multi-plateformes (Linux, macOS et Windows), offrant des options complémentaires. Mais son développement n'était plus très suivi (le dernier commit date d'octobre 2016) et des développeurs ont décidé de reprendre le projet en main à travers un nouveau dérivé : KeePassXC

Il exploite une plateforme C++/Qt et son code est diffusé via GitHub. Il propose des fonctionnalités que l'on retrouve déjà pour certaines dans KeePass, d'autres non : le remplissage automatique sur les trois plateformes supportées, une gestion en lignes de commande, un créateur de mots/phrases de passe, un import de fichier CSV, la fusion de bases de mots de passe, les Timed One-Time Password (TOTP), la fermeture de la base de mots de passe avec la session utilisateur, etc.

Un support natif des Yubikey

Plusieurs d'entre elles ont été introduites avec la mouture 2.20, sortie au début de l'été, qui ajoutait une autre possibilité : le support natif des Yubikey NeoNeo-n4 et 4 Nano. Il s'agit de clés de sécurité qui gèrent plusieurs standards, dont nous avons déjà parlé dans le cadre de nos articles sur l'U2F, de notre dossier sur GnuPG et le chiffrement ou encore lors d'un test avec un plugin d'intégration à KeePass

KeePassXC Yubikey

KeePassXC 2.2.0 permet d'utiliser leur fonctionnalité « Challenge-response » (voir notre précédente analyse) afin de composer la clé maître qui protège l'accès à votre base de mots de passe. Celle-ci peut être composée de deux autres éléments : un mot de passe et un fichier-clé.

Pour utiliser votre Yubikey, c'est relativement simple, notamment par rapport à l'intégration du plugin KeePass :

  • Ouvrez votre base de mots de passe ou créez-en une
  • Cliquez sur le menu Database puis Changer la clef maître
  • Insérez votre Yubikey dans un port USB de votre machine
  • Cochez la case Challenge Response puis cliquez sur Refresh

Quelques points à connaître

Vous pourrez alors sélectionner votre Yubikey. Si jamais celle-ci n'apparait pas, c'est que vous n'avez pas activé le mode Challenge-Response sur l'un de ses slots.

Pour le faire, il vous faudra récupérer l'application de personnalisation de la clé, afin de la configurer. Vous pourrez choisir si un appui sur la clé est nécessaire ou non via la case Require user input, et générer une clé privée :

Yubikey Challenge Response

Attention tout de même, l'implémentation actuelle est encore assez basique. Ainsi, si vous perdez la clé ou qu'elle vient à ne plus fonctionner, vous ne pourrez plus accéder à votre fichier. Il n'est en effet pas encore possible d'utiliser la clé privée afin de retrouver l'accès en cas de souci pour le moment comme via le plugin KeePass. On apprécierait aussi de pouvoir lier plusieurs clés à un même fichier afin de pouvoir les utiliser comme alternatives. 

Notez enfin que cela empêchera le fichier en question de fonctionner depuis un autre client qui ne proposerait pas un accès similaire. Bref, cela devra s'affiner afin d'être totalement exploitable sur le long terme, mais c'est un bon début. Espérons au passage que cela poussera d'autres gestionnaires de mots de passe à faire de même, ou à proposer au moins une intégration du standard FIDO U2F, déjà proposé par certaines applications comme Dashlane par exemple.

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Sans doute, après le plus simple est encore de tester (surtout que ça n’engage à rien puisque l’on peut facilement revenir en arrière :p)

votre avatar

Keepassxc + titleurl et je remplis tous les formulaires avec un raccourci sous Firefox. Remplace relativement bien Keepass2 + keefox, keefox n’étant plus compatible avec les dernières versions de Firefox.

Et plus léger et élégant que Keepass2 avec

mono.

votre avatar

“le support natif des Yubikey Neo, Neo-n, 4 et 4 Nano”, mais aussi de la clef classique FIDO U2F Security Key non ? J’avais compris  que seule la méthode challange-response est utilisée. Quelqu’un peut confirmer ?

votre avatar

j’utilise keepass avec yubikey en mode challenge response depuis longtemps… et ça fonctionne depuis très longtemps parfaitement..

je comprends que l’intégration est plus aisée aec keepassXC mais est-ce bien nécessaire… ?



Personnellement keepass synchronisé entre pc bureau et maison via clé usb et extension firefox.

ça marche très bien.

Yubikey fournit un “recovery mode” qui vous permet de vous connecter même sans la clé. donc pas de drame si vous perdez la clé.



le seul hic de ma conf, c’est sur android.. il y a des applications compatibles keepass, mais bien sûr rien qui gère la yubikey. Rien de top du coup; il faudrait manuellement créer un clone de la base pour android sans la double authentification, et procédé pas forcément automatisable de plus donc plus à jour …

votre avatar

La clef U2F fait uniquement U2F, donc non elle n’est pas supportée (ou alors j’ai loupé un truc)

votre avatar

j’ai commandé une FIDO U2F Security Key, je vais voir du coup si c’est compatible 

votre avatar







David_L a écrit :



C’est toujours une question de besoin et de praticité. J’ai une tendance naturelle à préférer les solutions où je maitrise l’hébergement et le chiffrement pour ce genre de choses et pour certaines données.







Ouais, je suis plus pour hébergement perso aussi… Pour mon mobile, je me débrouillerai.


votre avatar

Simple question : peut-on utiliser la base actuelle de KeePass dans le KeePassXC ? Ou doit-on tout se refader ?

votre avatar







Gilbert_Gosseyn a écrit :



Simple question : peut-on utiliser la base actuelle de KeePass dans le KeePassXC ? Ou doit-on tout se refader ?








             "KeePassXC uses a database format that is compatible with KeePass Password Safe."    



Ils disent ça sur leur site, donc je suppose que c’est bon, mais ça demande vérification.


votre avatar

Je viens de tester, tu peux utiliser ton fichier kdbx directement

votre avatar

C’est tout l’avantage de KDBX :) Après il faut juste ne pas utiliser une clef maître composée d’éléments que la nouvelle application ne gère pas pour assurer le transfert :)



PS : ils supportent les différentes versions de base, excepté KDBX4 qui est en cours d’implémentation

votre avatar



Ainsi, si vous perdez la clé ou qu’elle vient à ne plus fonctionner, vous ne pourrez plus accéder à votre fichier. Il n’est en effet pas encore possible d’utiliser la clé privée afin de retrouver l’accès en cas de souci





Arg ! C’est un peu brutal si seule la yubikey connait le secret.



Je préfère l’approche de KeeChallenge: la yubikey est utilisée pour chiffrer/déchiffrer le secret choisi par l’utilisateur.

votre avatar

On peut plus commenter sauf en répondant à un message si on est pas abonné sur ce genre de news? :(



Bref petite question, KeePassXC ne supporte pas Keefox par contre d’après ce que j’ai pu voir sur le net?



Je connaissait pas du tout les fork de keepass, mais sans keefox manière pour moi c’est niet, le combo est tellement bien que je pourrais plus m’en passer maintenant.

votre avatar

Le principe de la Yubikey me plait bien, mon soucis, c’est que j’utilise aussi l’appli sur mobiles avec le fichier synchronisé par KeeAnywhere, du coup l’usage de la Yubikey sur mobile bof bof, ce serait mieux si ils implémentaient un compatible Yubikey/TrustZone, comme ça, Yubi pour le desktop, TrustZ pour les mobiles.

votre avatar

De mon côté j’ai un lecteur de tag NFC que je voudrais utiliser pour dé/verrouiller ma base KeePass, mais impossible de faire fonctionner le seul plugin existant : keepassrfid. Le lecteur est reconnu, les tags (Mifare classic) aussi, mais le plugin refuse d’y écrire sa première donnée.



Dommage, car mon smartphone a également un lecteur NFC et j’aurais bien voulu utiliser ça plutôt que de systématiquement retaper le mot de passe maître…

votre avatar

Il supporte PassiFox.

Mais il y a aussi l’auto-complétion des champs qui fonctionne dans le navigateur.



Typiquement tu définis un raccourcis clavier général : il regarde l’URl et fait l’auto complétion tout seul.

C’est peut être un peut moins bien que keefox mais ça fait une extension de moins sur le navigateur.

Je teste comme ça pour l’instant de mon côté.

votre avatar

ça marche super bien.

l’avantage étant qu’on peut jongler entre plusieurs navigateurs.

un petit ctrl+a et le tour est joué.

votre avatar

Les deux utilisent la même approche. C’est juste que KeePassXC ne permet pas d’utiliser la clef privée comme solution de backup pour le moment <img data-src=" />

votre avatar

@David_L: tu recommandes KeePassXC pour remplacer Lastpass & Co?

votre avatar

Tiens, en passant, est-ce qu’il existe un menu pour changer le chiffrement de sa base? Parce que depuis le temps que je l’ai, j’imagine que y’a mieux que le AES256 de l’époque…

votre avatar

C’est toujours une question de besoin et de praticité. J’ai une tendance naturelle à préférer les solutions où je maitrise l’hébergement et le chiffrement pour ce genre de choses et pour certaines données. Après si tu veux garder un mot de passe Twitter à portée de main depuis ton smartphone, du DashLane / LastPass pourra être plus pratique, notamment pour l’intégration à l’OS.&nbsp;

votre avatar

Sur KeePassXC tu as la possibilité de choisir entre AES256 et Twofish selon tes préférences, dans les paramètres de la BDD. Pour KeePass, tu as le choix avec ChaCha20, aussi dans les paramètres de la BDD (tu peux aussi changer la fonction de dérivation pour de l’Argon2)

votre avatar

OK du coup si je comprends bien, si je passe en ChaCha20 par exemple, ma base deviendra incompatible avec KeyPassXC (et inversement si je la convertie en Twofish), c’est ça?

KeePassXC ajoute le support natif des Yubikey pour protéger l’accès à vos mots de passe

  • De KeePassX à KeePassXC

  • Un support natif des Yubikey

  • Quelques points à connaître

Fermer