Publié initialement à : https://korben.info/keepass-logiciel-gestion-mots-passe.html
Dans le monde merveilleux des gestionnaires de mots de passe, il en existe un très apprécié des libristes et des amateurs de freewares. J’ai nommé Keepass. Et vous le savez, quand un libriste aime fort fort fort fort un logiciel, il ne peut s’empêcher de le forker (c’est-à-dire de le cloner sous un nouveau nom).…
2 « J'aime »
J’ai bien fait de lire cet article : je me suis rendu compte que je suis resté à KeePassX.
Merci Korben !
Ancien utilisateur de Keepass je suis passé à Bitwarden, top (sur serveur Bitwarden ou sur serveur perso), Open Source, multi plateforme, j’utilise via Chrome, sur Android … j’adore 
4 « J'aime »
Bonjour et merci pour cet article.
A propos de « attention à bien avoir 2 bases séparées. 1 pour vos mots de passe et 1 pour vos codes 2FA afin d’éviter de mettre tous vos œufs dans le même panier et fragiliser votre sécurité. », je me pose plusieurs questions.
Concrètement, qu’est-ce que cela signifie d’avoir deux bases séparées? Deux fichiers chiffrés différents?
Si l’accès est protégé par le même mot de passe est-ce que cela apporte vraiment plus de sécurité?
Utiliser deux mots de passe différents, le problème c’est que pour mémoriser un mot de passe réellement aléatoire et assez long (disons au moins 128 bits d’entropie), même avec une bonne méthode, ça ne marche qu’à condition de le taper très régulièrement.
Les codes 2FA, si c’est uniquement pour récupérer l’accès en cas de perte ou dysfonctionnement du téléphone où on a l’OTP, aucune chance de se souvenir d’un bon mot de passe séparé, à moins d’utiliser un mot de passe dérivé du mot de passe habituel (par exemple, permutation et hachage), ce qui n’est pas forcément très bon.
Est-ce qu’un mot de passe aléatoire unique de longueur double n’est pas aussi bon voire meilleur en termes de sécurité que deux mots de passe différents? (plus facile à apprendre car on le tape régulièrement même si ça devient vraiment très très long et difficile de le taper sans erreur).
Il n’y à pas que des mots de passe différents pour le 2FA (2 factor Auth. dérivé du MFA, m pour multi. à noter que l’OTP en est un) pour une banque c’est souvent un code numérique, 6 ou 8 chiffres envoyés par SMS (ou tout autre moyen) et qui ne sont jamais les mêmes, un QR code, une image, etc.
Je ne vois pas trop l’intérêt de multiplier les bases, enfin de faire une séparation mdp/2FA. A trop en faire on s’emmêle les pinceaux, et sur la longueur (perso j’utilise Keepass depuis environ 15 ans) c’est pas viable.
Le premier truc important, c’est la hiérarchisation des mdp : j’imagine que les clefs de ton compte en banque ont un niveau plus important que le site legoland (ça existe ?) de ton rejeton (tout situation existante …) . Se servir de la possibilité de lier des fichiers complexes à chaque mots de passe (images, documents) pour un 2FA et bien sûr utiliser un fichier aussi improbable pour renforcer l’accès à Keepass.
Le deuxième, tout aussi important c’est de ne pas externaliser ta base. (dans l’absolu, tout est « crackable » et/ou le sera) En faire plusieurs sauvegardes en interne, et les maintenir à jour !
Pour finir, je te dirais que je n’ai plus de mots de passe en mémoire* depuis 2006, date à laquelle un accident de vie m’a effacé une partie de mon disque dur … intime.
* en fait si, il m’en reste quand même quelques uns au moins la CB, la sécu, keepass…
Merci pour ton avis.
Par contre, je ne comprends pas ce que signifie concrètement hiérarchiser les mots de passe, et pas non plus quel serait le ou les critères pour hiérarchiser.
Pour les mots de passe auxquels je suis le seul à avoir besoin d’avoir accès, dès l’instant que le niveau de sécurité est bon pour les accès les plus sensibles, pourquoi devrais-je ne pas utiliser le même système pour tous les autres?
Peut-être est-ce parce que je n’ai jamais utilisé KeePass (j’utilise les keychains d’Apple, je compte essayer Keepass) mais je ne sais pas ce que c’est que de « lier des fichiers ».
Quant à « ne pas externaliser ta base… », si j’utilise keypass, j’envisage que ce soit ça avec toutes mes données sur mon NAS en accès réseau, après avoir passé pas mal de temps à vérifier mon usage des fonctions d’authentification et de chiffrement.
Par hiérarchiser j’entendais leur donner un taux d’importance et déterminer ainsi à quel niveau on les surprotège (xFA) dans l’exemple, le site legoland n’a pas vraiment la même importance et besoin du même niveau de sécurité que celui de ton compte bancaire, de tes données de santé ou d’identité etc … (Dans le domaine de la santé c’est l’état qui gère les fuites de données …)
par « lier un fichier » au mot de passe je parlais d’une double authentification à l’aide d’un mdp ET d’un fichier quelconque ( mais plutôt unique ou peu répandu ). Keepass 2.x gère ce genre d’association.
Si ton accès réseau est local il n’y à pas de problème.
N.b. : Avec Keepass, on peut également inclure ses pièces d’identité numérisée par exemple (mais là je ne connais pas les limites de ce genre d’utilisation en termes de place et de performance )