Le blog de Genma
Vous êtes ici : Accueil » Informatique & Internet » Chiffrement » Keepass au quotidien c’est possible

Keepass au quotidien c’est possible

D 7 septembre 2016     H 09:00     A Genma     C 20 messages   Logo Tipee

TAGS : Planet Libre Chiffrement Keepass Password, Passphrase

Ce billet fait suite à mes billets Des mots de passe que l’on utilise au quotidien... et Mot de passe oublié dans lesquels j’évoquais le logiciel Keepass comme logiciel de coffre-fort numérique pour les mots de passe.

Remarque : Ce billet n’est pas un tutoriel sur Keepass Il y a celui de la CNIL par exemple pour ça. Et j’utilise Keepass X.

J’avais donc entrepris de me créer un coffre-fort numérique de mot de passe, protégé par une phrase de passe solide. Pour chacun de mes comptes, même pour ceux dont je connaissais le mot de passe, j’ai régénéré un mot de passe le plus solide possible (en tenant compte des contraintes que certains sites imposent : longueur maximum, caractères spéciaux ou non) via Keepass, qui propose cette fonctionnalité. En cliquant sur Mot de passe oublié on a le lien qui permet de changer son mot de passe.

Depuis, je ne garde plus aucun mot de passe dans mon navigateur. Firefox propose de mettre un mot de passe général, ce qui a pour conséquence de chiffrer la base des mots de passe conservée, il est possible de mettre le contenu du profil Firefox dans un conteneur Veracrypt lui même chiffré. Il est également possible de mettre le fichier Keepass dans un conteneur Veracrypt ou sur une partition chiffrée (avec des phrases de passe différentes).

Quand j’ai besoin d’un mot de passe pour me connecter à un compte, j’ouvre mon conteneur Keepass, je cherche l’entrée (la fiche correspondante) et je copie-colle le mot de passe. C’est très clairement contraignant, il y a une extension pour Firefox qui permettent d’automatiser ça ; mais je ne l’ai pas installée.

De même quand je veux créer un nouveau compte pour tester un service, je crée une nouvelle entrée dans Keepass, je demande la génération d’un mot de passe aléatoire.

Pour certains comptes, j’ai même défini une date de péremption du mot de passe pour avoir une notification et régénéré un nouveau mot de passe aléatoire.

La question qui revient souvent est la question de la synchronisation et de la sauvegarde ? Mon fichier Keepass est sauvegardé régulièrement, je ne l’utilise que sur des machines de confiance et donc je ne l’utilise pas sur mon smartphone. Je ne me connecte qu’à très peu de compte depuis mon smartphone, Twitter essentiellement et j’ai recopié à la main le mot de passe généré aléatoirement par Keepass. Et oui c’est beaucoup plus ch... que de pouvoir faire un copier coller, surtout quand le mot de passe est bien aléatoire, long et avec des caractères spéciaux.

En conclusion, Keepass au quotidien, c’est possible. Mais c’est très clairement une contrainte Comme je le dis dans mes conférences d’hygiène numérique, c’est comme mettre quatre serrures à sa porte d’entrée : on a plus de sécurité contre les cambriolages, mais on a quatre serrures à ouvrir et fermer matin et soir. On rentre tard, on n’a qu’une envie, celle de dormir. Et on doit ouvrir quatre, entrer et les refermer avant de pouvoir aller dormir. A comparer à si on avait une seule serrure en terme de rapidité (plus rapide mais moins sécurisé).

Enfin, pour en parler et sensibiliser, penser à le présenter comme un coffre-fort de mot de passe (ce qu’il est) avant de parler de chiffrement, technique et. Et surtout faite une démonstration avec un fichier Keepass bidon. Une démonstration sera bien plus parlante et utile qu’un long discours (donc tout le contraire de ce que j’ai fait avec ce billet).

Dans la même rubrique

14 février 2020 – KeepassXC - Faire des phrases de passe

7 septembre 2016 – Keepass au quotidien c’est possible

18 août 2016 – Une de mes clef GPG révoquée était une fausse

4 mars 2016 – Tails et Volume persistant

30 juillet 2015 – Calomel SSL Validation

19 Messages

  • Tu conclus ton article en disant que Keepass est contraignant. Personnellement, je trouve qu’il facilite la vie. En effet, il a un générateur de mot de passe qui permet de ne plus se casse la tête pour en trouver un qui soit relativement sécurisé. Aussi, il y a des raccourcis claviers qui permettent de remplir automatiquement les champs d’identification (pour Keepass, je ne sais pas si cela existe sur KeepassX, mais je pense que oui).


  • je suis content de voir quelqu’un d’autre qui n’utilise pas keepass sur son smartphone.
    j’ai un gros pb de confiance avec ce type d’appareil, faudrait peut être que j’en parle à mon médecin parce que j’ai l’impression d’être l’un des seuls.

    pour éviter les pb de saisies de mots de passe, keepassx intègre une saisie automatique et on a pas besoin d’installer un logiciel tiers. du coup, ça devient beaucoup plus rapide que d’aller regarder dans son fichier.
    une explication ici : https://blog.niqnutn.com/index.php?article23/keepassx#saisieauto

    à priori, rien n’empêche également de gérer plusieurs base de données keepass pour ne synchroniser que le minimum de mots de passe.
    on peut effectivement chiffrer la base de données pour le transfert mais c’est mieux si on a la possibilité de le transférer de manière sécurisée.

    sinon, il y a toujours la possibilité d’utiliser LastPass, le service qui publie vos mots de passe.


  • Bonjour
    Si tu utilises keepassx, il y a une fonction de remplissage automatique, avec un raccourci clavier.


  • Bonjour Genma

    Il y a une fonctionnalité très intéressante de KeepassX qui permet de remplir automatiquement en fonction du titre de la fenêtre. Il suffit d’aller sur Outils > Paramètres > Raccourci de  remplissage automatique pour définir le raccourci clavier qui appelle la fonction puis définir le titre de la fenêtre et la séquence dans chaque entrée de mot de passe ( onglet Remplissage automatique).

    Pour ma part j’ai choisi un mot de passe fort + une clé et je synchronise mon fichier avec Syncthing sur mon téléphone (la clé est mise manuellement). Bien entendu le protocole MTP est désactivé, on ne peut donc pas accéder au téléphone en USB) et le téléphone est chiffré avec un schéma de déverrouillage ( je teste ussi locker qui efface le téléphone s’il y a plus de 3 erreurs au déverrouillage mais il ne fonctionne pas comme voulu avec TWRP).

    Il est aussi possible de créer un fichier coffre-fort minimal seulement pour le téléphone, KeepassX et de ne synchroniser seulement celui-ci. KeepassX est capable d’ouvrir plusieurs fichiers à la fois et le remplissage automatique fonctionne sur tous les fichiers ouverts.


  • Pour ma part j’utilise KeepassX 2 (debian, jessie-backports) au quotidien également sans problème. Pour le remplissage automatique des formulaires (avec GNU/Linux) :
     aller sur la page du formulaire via Firefox et cliquer dans la zone de l’identifiant
     sélectionner l’entrée correspondante dans KeepassX
     taper CTRL+v et le remplissage automatique se lance (ou menu "Entrées > Effectuer un remplissage automatique").

    Juste au cas où ;)


  • Oui c’est possible, si tu ajoutes a ça la centralisation dans un soft de partage de fichier type dropbox / hubic / spideroak, tu as une base de mot de passe dispo sur tous les supports et à jour (avec tous les portages de keepass sur toutes les plateformes, c’est pas compliqué de l’installer partout idem pour les softs de partage)

    pour ma part j’utilise hubic car alternative Française. J’ai essayé spideroak, je ne suis pas satisfait.
    Le mieux en terme de fonctionnement était dropbox mais je l’ai désinstallé car par confiance.
    Owncloud devrait aussi fonctionner mais je n’ai pas testé par manque de temps.

    //Zus


  • @nIQnutn : j’ai un peu plus confiance en mon smartphone maintenant qu’il est sous OmniROM sans les "Google Apps" d’installées.


  • Vous semblez nombreux à utiliser le raccourci clavier de Keepass. Vous n’avez pas confiance en des extensions Firefox comme KeeFox ? Si oui, pourquoi ?
    Ça m’intéresse.


  • Salut qu’est ce que tu penses d’Encryptr le gestionnaire de Spideroak ?


  • Je viens de commencer avec KeePass et deux choses que j’aurais aimé avoir trouvé pour me mettre le pied à l’étrier en terme d’hygiène numérique :
     Un compteur et indicateur intégré du nombre d’occurrences d’un même mot de passe (je sais ce n’est pas bien, pour ça que je me soigne ;)) afin de corriger les tirs (oui il existe une extension et non je n’ai pas trouvé de façon pratique d’avoir une vue d’ensemble)
     Un lien ou un module qui fasse le lien avec des bases de type https://haveibeenpwned.com/ pour rester en veille

    Après dans la pratique, quand on a plusieurs ordinateurs ou appareils, je serai curieux des bonnes pratiques pour gérer sa base...


  • Tu peux aussi faire ctrl+c sur l’entrée pour qu’elle passe en presse papier pour la coller ensuite où tu veux. Personnellement j’utilise KeeFox et c’est top (pour peu que la base soit ouverte). Et puis c’est toujours plus rapide d’ouvrir la base keepass que de redemander un nouveau mot de passe oublié :)


  • Oui, Keepass au quotidien c’est possible, à la fois contraignant et facilitant. Pour ma part, je pense que ça améliore la qualité et la diversité de mes mots de passe.

    J’utilisais Keepass2, même sous Linux, pour quelques détails, notamment le fait que l’on peut enregistrer d’autres types de chaînes de caractères, ce qui est pratique pour les cartes de crédits (numéro de carte, code pin, mot de passe soit-disant secure, etc.) et pour tout un tas d’autres cas de figure. Je n’avais pas trouvé comment faire dans KeepassX. Ce qui ne veut pas dire que ça n’existe pas.

    Pendant plusieurs années, j’ai synchronisé ma base de donnée chiffrée avec OwnCloud et ça fonctionnait parfaitement. Jamais un seul problème.

    J’utilisais Keepass sur mon téléphone Android (sans Gapps, mais est-on bien sûr que ce soit là le problème ?) relativement "sécurisé" (mot de passe et disque chiffré). Si la base de donnée est chiffrée, c’est bien pour en limiter l’accès, non ?

    Pour ce qui est des raccourcis claviers, je m’en passe fort bien. D’autant que ça n’empêche pas de devoir d’abord débloquer l’accès à la base de donnée, ou j’ai loupé quelque chose ?

    Depuis quelques semaines, peut-être deux mois, j’utilise pass ( https://www.passwordstore.org/ ). Ça s’utilise dans le terminal, tout est dans des fichiers textes chiffrés avec GPG, versionné avec GIT, ce qui permet de le synchroniser où nécessaire (avec son propre serveur GIT c’est certainement mieux qu’avec Github). Il y a un générateur de mot de passe, bien entenu. Et dans les fichiers textes, on y met tout ce que l’on désire. Il y a des extensions pour firefox, des clients multiplateformes, dont Android.


  • Marrant de considérer que Android n’est pas une plateforme sûre. Pourtant les applis y sont conteneurisées. Quid de Keepass sous Windows ? La situation me semble encore pire sur cette plateforme.


  • > Vous semblez nombreux à utiliser le raccourci clavier de Keepass. Vous n’avez pas confiance en des extensions Firefox comme KeeFox ? Si oui, pourquoi ?

    Je n’utilise pas personnellement Keefox parce que je n’en ai pas besoin. Keepassx intègre déjà une saisie automatique. Lorsque on a rempli les champ de ses entrés correctement on peut appeler cette saisie sans utiliser la fenêtre de Keepassx. Keepassx est même capable d’utiliser les autres touches du clavier (comme un clavier virtuel) et de gérer des séquences complexes du type multi-page. Donc je n’ai pas besoin d’une extension tierce.

    Pour ma part j’utilise Keepassx sur Linux Mint et Keepass2android sur mon smartphone. Les bdd sont synchronisés avec syncthing.


  • Salut,

    Comme indiqué sur Twitter je viens laisser ma trace ici :)

    Je reviens donc sur la conclusion : "Keepass au quotidien, c’est possible. Mais c’est très clairement une contrainte".

    Ca fait quelques mois que j’ai migré de KeepassX vers KeePass et j’ai décidé il y a quelques semaines de passer par un plugin intégré au navigateur, auparavant j’utilisais l’outil à base de copier / coller comme tu le fais.

    Dorénavant j’ai un bouton dans Chromium (équivalent dans Firefox), qui tape directement dans la base de mots de passe et me propose en fonction du site ou je me trouve les identifiants qui vont bien pour ce dernier. Cette approche est d’une facilité déconcertante, je pense la proposer à des proches afin de faire évoluer leur politique de gestion de mot de passe qui souvent ne se résume qu’à en utiliser un très simple et le dériver un peu pour des services différents.

    Ensuite pour retrouver ma base de donnée partout, j’utilise nextcloud mais toujours dans un seul sens : du serveur vers mon mobile. Je ne crée jamais d’identifiants depuis mon mobile, je suis plutôt le schéma suivant : laptop -> nextcloud -> android. J’ai fais le choix de synchroniser à la main la base de donnée sur le mobile, pour cela je dois ouvrir l’application nextcloud, y entrer le pin de sécurité lié à l’application et ensuite me déplacer dans le répertoire de synchro, c’est là la plus importante contrainte à cet usage. Ah si une seconde est de rentrer le master password pour ouvrir la base de donnée, sur un clavier mobile c’est pas toujours super facile.

    Un ami a modifié l’application keepass pour android afin d’y apporter une petite feature assez sympa, le fait de pouvoir y générer un qr code contenant le mot de passe. Ainsi même pour accéder à des services sur un autre pc juste avec le mobile, il suffit de se rendre sur n’importe quel site internet liseur de qr code, posititionner le téléphone devant la caméra et ensuite copier / coller le champs lu depuis le site.

    Tous ces usages ne sont pas à mon sens des contraintes, plutôt des consignes à respecter.

    Pour autant je comprend ton point de vue sur les contraintes que cela implique pour un nouvel utilisateur, d’arriver à utiliser une solution comme KeePass. Toutefois, on dispose aujourd’hui de solutions qui nous permettent de rendre ces usages plus simples et intuitifs, il faut essayer de se les approprier et ne pas passer à côté, au risque sinon de voir tous ces usages effectivement comme des contraintes.


  • Hello !

    J’utilise personnellement Keeweb (https://keeweb.info/ en version desktop, disponible multi plateformes & open-source) : beaucoup plus stylé graphiquement et utilise les bases .kdbx aussi donc compatible KeePass si besoin
    Il y a même la fonction de remplissage automatique comme KeePass X que j’utilise tout les jours :)

    Le tout synchronisé et chiffré sur mon NAS perso (possibilité d’utiliser du WebDAV sur cloud perso également).


  • Pour ma part, tous mes mots de passe perso sont dans ma tête. Bien sûr, j’en ai plusieurs, entre longs et très longs, avec 3 ou 4 classes de caractères, composés aléatoirement. Je tape les mots de passe à chaque fois que nécessaire. C’est juste une question d’entrainement, d’habitude, un peu comme le sport… Le seul inconvénient, c’est qu’une fois l’habitude d’un mot de passe prise, j’ai du mal à en changer, et certains commencent à être un peu vieux.

    En revanche, les mots de passe professionnels sont trop nombreux et je ne me sert pas assez fréquemment de chacun pour les mémoriser. J’utilise donc Keepass2, dans un fichier partagé sur notre serveur OwnCloud avec les autres ayant-droit. Mon collègue utilise KeepassX pour ouvrir ce même fichier. J’ai un peu du mal depuis qu’on a renouvelé le mot de passe principal, mais ça y est, je crois que c’est rentré. On est contents de ce fonctionnement qui marche bien.
    J’ai utilisé l’application Keepass une fois, sur mon smartphone, pour tester. Compte-tenu des mots de passe stockés dans notre fichier, j’ai en général besoin d’être sur un ordi pour utiliser les services associés, donc pas d’utilisation régulière de keepass sur smartphone.

    Je n’ai jamais essayé les différents modules que vous évoquez. À l’occasion, il faudra que j’y pense, par curiosité…


  • Reçu par mail, publié avec l’accord de l’auteur :

    bravo pour ton blog que je lis régulièrement

    une petite remarque pour keepass le dernier article publié.
    Pour moi il est devenu indispensable et même une aide , et un gain de
    temps, pas une contrainte : en configurant l’url et l’auto saisie...

    je recherche l entrée dans keepass,
    sélection de l entrée
    ctrl + U pour lancer le lien (que ce soit html ou client lourd)
    ctrl + A + k pour envoyer les iderntifiants de connexions.

    je pense que la plupart des utilisateurs s arrête a faire un ctrl + c pour
    copier le mot de passe.
    en cherchant dans la docs , keepass se révèle être un gain de temps pour
    moi , un outil indispensable a mon quotidien (je suis admin reso, avec une
    multitude de mot de passe a gérer)
    il devient même un gestionnaire de raccourci pour lancer les appli

    voilà pour mon retour d expérience


  • Bonjour
    Merci pour cet article.
    Je souhaite synchroniser keepass2android avec un compte Hubic. Est-ce possible. Il n’est proposé que Dropbox et Onedrive...
    Merci d’avance
    badidon


    • > Je souhaite synchroniser keepass2android avec un compte Hubic. Est-ce possible. Il n’est proposé que Dropbox et Onedrive...

      Je pense que la procédure est / reste la même que pour un Nextcloud/Owncloud. Pour la synchronisation, il faut que le fichier utilisé par keepass2android (la base de mots de passes) soit un fichier qui est lui-même sur le serveur Hubic, et que la synchronisation du fichier se fasse via un client / app Android pour Hubic. On met à jour / synchronise via Hubic (Keepass2Android étant uniquement utilisé pour lire le fichier, pas pour la synchro)