KeePass, ou apprendre à gérer correctement ses mots de passe

Posté par  . Édité par Ysabeau, Benoît Sibaud, Davy Defaud, Xavier Teyssier, Pierre Jarillon et audionuma. Modéré par patrick_g. Licence CC By‑SA.
65
26
nov.
2020
Sécurité

J’ai découvert KeePass par l’entremise du « store » de mon entreprise, et surtout d’un collègue qui me l’a chaudement conseillé.

Logo de KeyPass

Alors que les entreprises complexifient régulièrement la composition des mots de passe, elles mettent peu en avant la possibilité de les gérer sereinement. D’aucuns s’en sortent par des astuces mnémotechniques, d’autres avec des post‑it, des fichiers, etc. Bref, artisanalement. C’est alors que KeePass peut intervenir…

Qu’est‑ce que KeePass ?

KeePass est un outil, sous licence GPL v2 ou ultérieure, qui permet non seulement la gestion raisonnée et organisée des mots de passe, mais offre également de très pratiques raccourcis et autres facilités qui soulagent le quotidien.

Écran d’accueil de Keepass

Terminologie Keepass

  • entrée : unité de stockage dans Keepass. Une entrée contient au minimum un titre et un mot de passe. Il est possible d’y associer : un identifiant d’utilisateur, une adresse et une description ;
  • base de données : fichier .kdbx contenant des entrées rangées dans des dossiers, protégée par un mot de passe maître.

Comment ça marche ?

KeePass permet de stocker des mots de passe sous forme d’entrées, constituant une « base de données » (un fichier .kdbx).

Ce fichier est portable et compatible avec d’autres logiciels gérant les fichiers .kdbx, ce qui permet une gestion très facile des sauvegardes (il s’agit d’un simple fichier) et l’utilisation de la même base sur des plates‑formes hétérogènes (Windows, Android, etc.).
Cette base est protégée par un unique mot de passe maitre qu’il ne faut surtout pas oublier, sous peine de plus jamais pouvoir récupérer aucune information de la base (et c’est plutôt rassurant au final).

Qu’est‑ce que ça apporte ?

En plus du stockage, KeePass permet :

  • la génération de mots de passe ;
  • le stockage d’informations complémentaires (adresse, description, etc.) ;
  • le remplissage semi‑automatique : il est possible d’associer un ou plusieurs titres de fenêtre à une entrée, ainsi qu’une séquence de saisie — la frappe d’un raccourci clavier sur une fenêtre avec un titre enregistré déclenche la séquence ;
  • et bien d’autres fonctions à découvrir dans la documentation (en anglais — non traduite malheureusement) :
    • script de synchronisation,
    • interaction avec exécutable,
    • etc. ;
  • une manière simple de propager ses mots de passe entre différents appareils qui peuvent en plus tourner sur des systèmes d’exploitation différents.

Et le multi‑plate‑forme ?

La portabilité est assurée par la prise en charge du format .kdbx. Voici quelques applications supportant ce format :

  • KeePass sous Windows ;
  • Keepass2Android… sous Android ;
  • AuthPass sous iOS ;
  • KeePassXC (Windows, macOS et GNU/Linux) ;
  • et plein d’autres listées dans la dépêche de 2018.

Et en pratique ?

Ajouter un mot de passe

Le plus simple est d’ajouter un mot de passe au moment où une interface le demande :

  1. ouvrir KeePass ;
  2. ajouter une entrée à une catégorie existante ou l’affecter à une nouvelle ;
  3. paramétrer une saisie semi‐automatique (facultatif), en choisissant dans la liste des fenêtres celle qui convient (d’où l’intérêt de faire la création de l’entrée au moment de la demande d’un mot de passe) et en vérifiant la séquence à utiliser (selon où est positionné le curseur à la demande de mot de passe) ;
  4. sauvegarder.

Rappeler un mot de passe

  • lancer le raccourci clavier de saisie semi‐automatique (en standard Ctrl + Alt + W) ;
  • ou double‑cliquer sur une entrée dans Keepass (au niveau du champ mot de passe), ce qui copiera le mot de passe dans le presse‑papiers, l’élément est gardé douze secondes dans le presse-papier : Progression du temps de conservation de l’élément copié
  • ou faire un clic droit sur une entrée pour copier‑coller le mot de passe ou l’identifiant : Menu  contextuel Keepass
  • ou encore, ouvrir une entrée KeePass et :
    • soit cliquer sur le bouton d’affichage en clair du mot de passe pour le recopier manuellement,
    • soit glisser‑déposer les champs utiles après avoir sélectionné le champ : Glisser-déposer un mot de passe ou un identifiant
  • ou via un greffon du navigateur, par exemple.

En conclusion

Nous n’avons désormais plus d’excuse pour laisser traîner des informations sensibles.

N. D. M. — N’oubliez pas de sauvegarder le fichier KeePass (ou les données qu’il contient sous un des formats disponibles) et/ou de le synchroniser sur vos différents ordinateurs ou appareils si nécessaire. Et faîtes attention aux nombreux sites louches proposant du KeePass douteux, passez par le site officiel.

Aller plus loin

  • # Bitwarden

    Posté par  . Évalué à 10 (+12/-3). Dernière modification le 26/11/20 à 12:58.

    Pour ceux qui veulent en plus pouvoir partager des mots de passe avec un système multi-utilisateur et organisation, avec une interface web, applications et plugins pour les navigateurs, il y a Bitwarden qui est vraiment bien.

    Par contre la solution officielle est très gourmande en ressources, et il y a une alternative très peu gourmande en ressources disponible ici : https://github.com/dani-garcia/bitwarden_rs

    • [^] # Re: Bitwarden

      Posté par  (site Web personnel) . Évalué à 3 (+2/-0).

      Dans le genre, il y a passwords une application nextcloud avec un client android, Teampass et certainement d'autres

    • [^] # Re: Bitwarden

      Posté par  . Évalué à 5 (+4/-0).

      Et Passbolt aussi !

    • [^] # Re: Bitwarden

      Posté par  (site Web personnel) . Évalué à 5 (+3/-0). Dernière modification le 26/11/20 à 18:18.

      Je n'ai pas trop de souci de ressource sur la version officielle, et comme je connais pas la personne qui maintient la version rust je suis resté dessus. L'install est extrêmement simple.

      Les clients bitwarden font office de "backups" : ils copient en local les clés (cryptées). Si mon serveur meurt j'ai encore mes mdp quelques parts. Mais bon en théorie il y a des "vrais" backups à faire , je crois une image docker mais je fais tout comme un sagouin donc j'ai pas lu.

      On peut aussi tout simplement utiliser les clients en se faisant héberger gratos ( mais alors pas de partage de mdp ). Honnêtement je trouve cette solution très bien aussi pour ceux qui n'ont pas un serveur.

      Avant j'utilisais keepass. Mais quid quand tu utilises un autre ordi que le tien? Voilà pourquoi je préfère une autre solution ou je n'ai pas 1. à gérer de synchro par moi même et 2. ne marche que sur mes outils. Cela dit je crois qu'il y a des solutions pour avoir un keepass "web" où l'on se connecte.

      edit : la solution web est mentionnée dans un commentaire ci dessous, keeweb

      • [^] # Re: Bitwarden

        Posté par  . Évalué à 8 (+6/-0).

        j'utilise KeepassXC, et certains de mes fichiers de clefs sont sur un volume synchronisé avec NextCloud.
        Du coup, hors-ligne ça fonctionne, et, j'ai aussi l'info avec mes autres machines.

        Et, je peux choisir ce qui est partagé.

        J'ai protégé les fichiers avec un mot de passe, d'autres avec une clef GPG.

        Pour le moment, je n'ai mis que des mots de passes et des informations liés à des comptes en ligne pour des jeux, pour limiter les risques pendant mes expérimentations.

        L'application password de NextCloud copie le mot de passe dans le press-papier au moindre clic, perso j'aime pas. Mais pour certains utilisateurs ça peut être pratique. je préfère avoir la db KeepassXC sur le répertoire partagé via le NextCloud.

        Chacun son truc.

    • [^] # Re: Bitwarden

      Posté par  . Évalué à 1 (+0/-0). Dernière modification le 27/11/20 à 08:18.

      Perso j'arrive pas à ajouter madame à l'organisation familiale que j'ai créée pour partager les mots de passe communs. Quelqu'un à une idée ?
      Avec Bitwarden_RS.

      • [^] # Re: Bitwarden

        Posté par  . Évalué à 2 (+1/-0).

        Quand tu ajoutes un membre à une organisation, ça envoie un mail d'invitation et il faut que l'invitation soit acceptée par le destinataire, et en fin, je crois, validée par l'administrateur de l'organisation. Pour ça il faut penser à bien paramétrer l'envoi de mail dans la configuration de Bitwarden_RS.

  • # En pratique : sauvegarde et export

    Posté par  (site Web personnel) . Évalué à 7 (+5/-0).

    Dommage que ça soit léger sur ce chapitre. Personnellement j'aurais bien aimé en savoir plus.

    J'en profite pour signaler que si on exporte le fichier au format csv, et c'est un des formats possibles, on peut l'ouvrir ensuite très facilement avec tous les mots de passe en clair, ce qui me paraît légèrement ennuyeux.

    Designeuse de masques pour sphéniscidés.

    • [^] # Re: En pratique : sauvegarde et export

      Posté par  (site Web personnel) . Évalué à 5 (+4/-0).

      Rien ne t'interdis de chiffrer ton cvs (:X dans vim) ou de le déplacer dans un répertoire chiffré avec GPG

      • [^] # Re: En pratique : sauvegarde et export

        Posté par  (site Web personnel) . Évalué à 9 (+7/-0).

        Je ne sais pas faire et les utilisateurs et utilisatrices de base, comme moi, non plus. Mais un tutoriel serait bienvenu sur le sujet d'une part et attirer l'attention sur cet aspect ne me parait pas incongru d'autre part.

        Designeuse de masques pour sphéniscidés.

        • [^] # Re: En pratique : sauvegarde et export

          Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

          Surtout que le chiffrement avec Vim n'est probablement pas fait en place et laisse probablement le fichier csv sur le disque.

          Adhérer à l'April, ça vous tente ?

          • [^] # Re: En pratique : sauvegarde et export

            Posté par  (site Web personnel) . Évalué à 6 (+5/-0).

            non pas du tout. Tu ouvres ton fichier et au lieu de faire :w ou :x pour enregistrer tu fais :X et il va te demander un pass pour le chiffrer.

            Par défaut le chiffrement est celui de pkzip et tu peux opter pour blowfish cipher

            Edit : je viens de découvrir pour le coupler avec gpg : https://www.endpoint.com/blog/2012/05/16/vim-working-with-encryption

            • [^] # Re: En pratique : sauvegarde et export

              Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

              non pas du tout

              Beh tu ouvriras un fichier, fera :X, puis avant de sauver, ctrl+z et tu verras que ton .swp ne contient « pas du tout » une copie en clair du fichier. Tu pourras aussi voir que les inodes (en ext4 du moins) avant et après sauvegarde du fichier ne sont « pas du tout » forcément les mêmes, et que donc ces résidus ne sont probablement « pas du tout » en clair sur le disque.

              Mais peut être un peu.

              Adhérer à l'April, ça vous tente ?

              • [^] # Re: En pratique : sauvegarde et export

                Posté par  (site Web personnel) . Évalué à 2 (+1/-0).

                C'est drole, je viens de faire le test et le fichier swap est chiffré.
                il est pas dans le répertoire de backup non plus

                Il est fait mention du fichier dans le viminfo, mais perso je suis incapable de traduire ces information en données exploitables. Je veux bien un exemple concret.

                Pour les inodes ext4, tu as un truc à lire à ce sujet ? Je suis curieux de voir comment on fait

        • [^] # Re: En pratique : sauvegarde et export

          Posté par  . Évalué à 8 (+6/-0).

          je viens de regarder et effectivement l'export vers csv se fait sans aucun avertissement de la part de keepass. Que le fichier csv ne soit pas chiffré, c'est normal (c'est un format txt de base), mais ça aurait été pas mal d'avoir une alerte lorsqu'on exporte, pour alerter les novices, d'autant plus que l'export csv n'est pas quelque chose qu'on fait tous les jours.

    • [^] # Re: En pratique : sauvegarde et export

      Posté par  (site Web personnel) . Évalué à 8 (+7/-1).

      en même temps, si il n'y a pas le format que tu veux, comment voudrais-tu exporter le contenu ? En le chiffrant ? mais alors ça sert à quoi de l'exporter ? autant garder ton kbx.

      L'export sert pour importer ces données dans une autre base, un autre système qui possède sa propre manière de chiffrer les données. Si à ce système tu lui donnes un csv avec des données chiffrées (dont il ne sait pas comment elles sont chiffrées), je vois pas comment il pourra les importer.

      Personnellement, l'export CSV me sert à comparer le contenu des deux exemplaires de ma base (une sur chaque ordinateur), quand je ne sais plus si les deux exemplaires sont bien synchronisés, et surtout quand j'ai fait des modifications des deux cotés en oubliant de les synchroniser avant.

      • [^] # Re: En pratique : sauvegarde et export

        Posté par  (site Web personnel) . Évalué à 4 (+4/-2).

        J'en profite pour signaler que si on exporte le fichier au format csv, et c'est un des formats possibles, on peut l'ouvrir ensuite très facilement avec tous les mots de passe en clair, ce qui me paraît légèrement ennuyeux.

        je ne vois pas là, quoi qui puisse signifier :

        il n'y a pas le format que tu veux

        J'attire simplement l'attention sur ce fait qui n'est absolument pas signalé dans la dépêche (fait qui est un point de fragilité) et, par ailleurs, oui, je le répète, j'aurai aimé qu'elle soit plus diserte sur le sujet parce que cela me paraît important et que je pense que cela peut concerner pas mal de monde.

        Designeuse de masques pour sphéniscidés.

        • [^] # Re: En pratique : sauvegarde et export

          Posté par  . Évalué à 10 (+9/-0).

          pour info dans firefox lorsqu'on veut exporter les mots de passe ça indique ça, ce qui est plutôt compréhensible :

        • [^] # Re: En pratique : sauvegarde et export

          Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

          j'utilise keepass comme beaucoup ici, mais il me viendrait jamais à l'idée d'exporter au format csv, franchement quel intérêt ! La base chiffrée suffit à elle même, à la limite cette fonctionnalité ne devrait même pas exister.
          J'ai une base sur mon réseau qui est accessible à plusieurs instances de keepass car toute la famille l'enrichit. A un instant t une seule instance a un accès en écriture, les autres en lecture seulement. La base est copiée un peu partout sur plusieurs machines au cas où.

          https://www.funix.org mettez un manchot dans votre PC

          • [^] # Re: En pratique : sauvegarde et export

            Posté par  (site Web personnel) . Évalué à 5 (+4/-1).

            Elle est très bien ton utilisation personnelle. Mais il y a d'autres utilisations personnelles, d'autres profils de personnes etc., etc.

            Cette fonctionnalité d'export existe, on peut aussi exporter en html et, de la même façon, avoir les mots de passe en clair. Tout cela sans avertissement sur le fait que ça met la base de données à poil.

            Designeuse de masques pour sphéniscidés.

          • [^] # Re: En pratique : sauvegarde et export

            Posté par  (site Web personnel) . Évalué à 5 (+4/-0). Dernière modification le 27/11/20 à 18:00.

            Par exemple : Imprimer tes mots de passe pour les stocker dans un coffre-fort (à la banque ou autre) par exemple pour avoir une version totalement non numérique quelque part et pouvoir toujours les relire même après une désastre sur ta machine !

            Jérôme.

        • [^] # Re: En pratique : sauvegarde et export

          Posté par  . Évalué à 4 (+2/-0).

          C'est une possibilité d'export, je ne vois pas bien en quoi ça peut être considéré comme une fragilité parce que tu le fais dans un but bien précis.

          • [^] # Re: En pratique : sauvegarde et export

            Posté par  (site Web personnel) . Évalué à 5 (+6/-3). Dernière modification le 27/11/20 à 09:03.

            C'est une fragilité car il n'y a pas d'avertissement sur les risques encourus. C'est une fragilité parce que les personnes qui utilisent ce genre d'outils sont toutes différentes.

            La sécurité informatique doit aussi tenir compte des utilisateurs finaux pour être réellement efficace.

            Designeuse de masques pour sphéniscidés.

            • [^] # Re: En pratique : sauvegarde et export

              Posté par  . Évalué à 7 (+5/-0).

              Aucun outil de gestion de mot de passe ne t'avertit que le mot de passe est en clair dans le presse papier et donc accessible parce tout ce qui sort est effectivement en clair. C'est le but, le password manager garde chiffré mais tout ce qui sort par défaut est fragile.

              Du coup pour que l'utilisateur final saches tout on doit aussi lui expliquer après exportation au choix changer tous ses mots de passe ou après réimportation du csv dans un autre password manager s'acheter un autre disque dur, réinstaller un os dessus et faire fondre son disque original dans un incinerateur pour éviter que les mots de passe soient accessible via un outil de récupération de fichier ?

    • [^] # Re: En pratique : sauvegarde et export

      Posté par  (site Web personnel) . Évalué à 8 (+7/-0).

      Je viens de vérifier avec KeePassXC : lorsqu'on sélectionne l'option 'exporter en csv', il y a une fenêtre d'alerte sur le danger.

      Vous êtes sur le point d’exporter votre base de données vers un fichier non chiffré. Vos mots de passe et renseignements délicats seront vulnérables. Souhaitez-vous vraiment poursuivre ?

      (Le choix par défaut est non).

  • # OTP , Multi-Factor-Authentification

    Posté par  . Évalué à 3 (+3/-0).

    J'en profite aussi pour dire qu'on peut aussi l'utiliser comme double authentification (bien que ce soit pas ce qu'il se fait de mieux pour la sécurité car le mot de passe et la second authentification sont aux même endroits)

    Via l'extension KeeOTP ( https://keepass.info/plugins.html ), apres l'installation, il y aura un nouveau champs : totp, une fois configurer un Ctrl-T copie les 6 chriffres de l'OTP dans le Buffer

    au besoin, si le programme (ou site web), ne vous donne qu'une image, pas le Token (Secret), le package zbar permet de lire un qrcode et fournir le secret, exemple :

    zbarimg ~/Images/mfa.png
    QR-Code:otpauth://totp/Firefox:XXXX@gmail.com?secret=XXXXXXXXXXXXXXXXXXXXXXXXXXXissuer=Firefox

    Sinon, si on veut faire de la sécurité sur les mots de passe dans KeePass:
    * Je recommande d'installer le Plugin QualityColumn, qui rajoute, comme son nom l'indique une colonne Qualité (Robustesse en bits) des mot de passe. Cela permet de trier et de trouver les mot de passe pas assez "secure"…
    * On peut aussi rajouter la colonne LastPasswordModification pour trier sur les mots de passe jamais ou trop peut changer…

  • # keeweb et keepassxc

    Posté par  . Évalué à 6 (+4/-0).

    notons également l'existence de keeweb, qui permet d'ouvrir une base keepass depuis un navigateur. Et surtout, ça existe en module pour nextcloud, si bien qu'on peut ouvrir directement une base depuis l'interface web de nextcloud, l'éditer, la synchroniser, et l'utiliser si nécessaire depuis un autre périphérique (pc, tel android)

    J'utilise également keepassxc, qui est plus pratique au quotidien que l'interface (un peu lourde) de nextcloud. Par contre, il plante très souvent, ça vous le fait aussi ? J'utilise Linux Mint 19 et 20, et sur les 2 versions l'interface se fige parfois, il faut fermer brutalement et ça laisse un processus keepassxc à tuer. Avant de faire un rapport de bug officiel, je voulais avoir vos retours. Peut-être que c'est propre un mon gestionnaire de bureau (Mate avec le gestionnaire de fenêtre Marco)

    • [^] # Re: keeweb et keepassxc

      Posté par  . Évalué à 2 (+2/-0).

      Bonjour,

      Aucun soucis avec keepassXC 2.3.4 sous Debian 10. A noter une fonctionnalité vraiment pratique absente de keepass tout court : la possibilité d'enregistrer (et de charger à l'ouverture !) des clés ssh avec passphrase.

      A noter aussi qu'il existe une extension à Thunderbird qui permet le lien avec KPXC où sont stockés les mots de passe IMAP/POP/SMTP des comptes.

      Et effectivement, en nomadisme, keepassweb sous nextcloud fait bien le job.

      Bonne journée.

    • [^] # Re: keeweb et keepassxc

      Posté par  . Évalué à 4 (+2/-0).

      J'utilise également keepassxc, qui est plus pratique au quotidien que l'interface (un peu lourde) de nextcloud. Par contre, il plante très souvent, ça vous le fait aussi ?

      Absolument aucun plantage avec keepassxc (sous Manjaro/KDE) que j'utilise pourtant plusieurs fois par jour.

      • [^] # Re: keeweb et keepassxc

        Posté par  . Évalué à 2 (+0/-0).

        merci pour vos retours, je vais essayer de trouver d'où ça vient, je suis presque sûr que c'est lié au gestionnaire de fenêtres… ça me le fait sur 3 ordinateurs différents

    • [^] # Re: keeweb et keepassxc

      Posté par  . Évalué à 3 (+2/-0).

      Je n'ai rencontré aucun soucis sur KeepassXC, que j'utilise quotidiennement sous Ubuntu ou Fedora + Gnome.

  • # C'est un bon produit

    Posté par  (site Web personnel) . Évalué à 8 (+7/-1).

    Keepass c'est bien … et il y a des morceaux dedans …

    C'est quasiment un des rares logiciels qui permet de gérer le cas complexe du consultant informatique qui se déplace :

    • il a besoin de la base de mot de passe sur son poste (le .kbdx est facile a copier)
    • cette base doit être centralisée donc placée sur un répertoire partagé
    • avec un mot de passe pour sécuriser l'accès (en cas de vol du pc ou du fichier)

    C'est aussi pratique quand on veut donner un ensemble de mot de passe (un projet par exemple) il est possible de n'exporter que certaines parties

    sinon Juste 2 choses :

    La base n'est pas transactionnelle :)
    Keepass prévient si la base a été modifié depuis la dernière lecture, cela évite l'effacement des dernières mises à jour par un collègue distrait

    Mais je préconise quand même de désigner un groupe (le support :) )pour la modif des mots de passe.

    Un mode de fonctionnement comme git serait l'idéal, je peu gérer en local et en mode partage sur un repository

    Les versions linux fonctionnement bien aussi mais le copier/coller semble faire ce qu'il veut … mais comme c'est pas un truc standardisé sous linux c'est peut être normal

    Mais sinon parfois c'est que du bonheur : keepass sur linux, je fais un copier du mot de passe et je peux le coller dans une session TSE qui tourne sur une machine virtuelle Windows :)

    Mais parfois cela ne veut pas … certainement la faute a windows … (comme d'hab)

    Le GROS truc :

    A vérifier sur les dernières versions : les groupes ne sont pas triés par ordre alphabétique … et la je comprends pas pourquoi … c'est un des rares défauts de ce logiciel

    Quand tu geres beaucoup de mot de passe il faut créer des groupes et les groupes ne sont pas triés … why ?

  • # Ou si

    Posté par  (site Web personnel) . Évalué à 1 (+7/-8). Dernière modification le 26/11/20 à 17:27.

    Nous n’avons désormais plus d’excuse pour laisser traîner des informations sensibles.

    J'ai peut-être lu trop vite, mais rien vu sur le remplissage auto dans le navigateur web, ou partage auto entre plusieurs machines (smartphone et PC par exemple).
    Si pas ça, on a une très bonne excuse pour laisser traîner des informations sensibles : trop chiant à utiliser. (mais rien n'est perdu, il reste Lastpass, les gestionnaires d'OS modernes… juste pas libre, dommage).

    Je ne dis pas que le logiciel est pourri, et il doit répondre à des besoins de geeks, mais ce genre de phrase qui se la pète alors que faux pour 99% des gens (les pas geeks), c'est un peu lourd. Je rêve d'un Lastpass (ou mieux, pour ne pas faire que copier) libre, vous avez ça en stock?

    • [^] # Re: Ou si

      Posté par  . Évalué à 3 (+3/-0).

      Le remplissage automatique dans les navigateurs (au moins firefox et chrome) peut être géré par une extension. J'utilise personnellement Kee, mais l'installation demande une manipulation à l'utilisateur. Cette manipulation ne devrait poser aucun problème à ceux qui savent trouver le dossier où est installé Keepass, mais je conviens que ça ne satisfait pas tes conditions.

      En ce qui concerne le partage entre machine, ça passe très bien par de la synchronisation du genre syncthing, ou, pour ceux qui veulent pas libre (mais ce genre de personnes ne viennent pas sur Linuxfr, si ?) Dropbox, etc. Mais je conviens à nouveau que ça ne satisfait pas mieux tes conditions.

      Peut-être à regarder (je n'ai pas essayé) : l'extension Kee propose de stocker les mots de passe sur un serveur plutôt que dans un fichier kbdx (à terme, ce service demandera un abonnement payant). Il n'est pas impossible que ça s'approche de tes conditions, mais je n'ai pas vraiment regardé de très près, ni les services rendus, ni la fiabilité, ni la sécurité.

      • [^] # Re: Ou si

        Posté par  . Évalué à 1 (+0/-0).

        J'ai pas bien compris si ces solutions de synchronisation fonctionnent automatiquement ou s'il faut se copier le fichier à la main sur chaque appareil qu'on utilise. Si c'est ça c'est inutilisable.

        J'utilise 4 ordinateurs, 1 téléphone et 2 tablettes. Si la synchro n'est pas automatique ça ne me sert à rien. Pour le moment j'utilise le système de gestion de mots de passe intégré à Firefox, qui fonctionne tout seul partout.

        • [^] # Re: Ou si

          Posté par  . Évalué à 1 (+0/-0).

          Il faut le mettre en place toi meme… Pour ça, tu peux utiliser ton gestionnaire préféré, automatique ou non (nextcloud pour ma part, mais il existe pleins de solution, du cp à la main au truc dans la blockchain—Oo—en passant par rsync+cron).

          • [^] # Re: Ou si

            Posté par  . Évalué à 2 (+1/-0).

            Ok c'est bien ce que je pensais, donc inutilisable dans mon cas, et pour le commun des mortels. Dommage, c'est vraiment cette partie qui manque pour que ce soit accessible à tous.

            • [^] # Re: Ou si

              Posté par  (site Web personnel) . Évalué à 2 (+2/-2). Dernière modification le 27/11/20 à 10:40.

              En fait ce qui m'impressionne dans le monde "du libre", c'est cette capacité à savoir faire du bon code pour les briques de base, mais laisser le proprio faire les interfaces pour le commun des mortels. Comme si il y avait une phobie de rencontrer des gens pas comme eux, des gens pas geeks.

              Ma remarque initiale est toujours valide, tel quel ce n'est pas utilisable ni conseillable en toute honnêteté à 99% de la population, seule 1% des geeks ont leurs "besoins de geek" remplis.

              (et dans mon domaine j'ai aussi ce truc, des gens de FFmpeg super méga génial disant que mes logiciels ne servent à rien, mais… Pas d'UI officielle, pas d'intégration… Du coup des vendeurs se faisant la thune avec FFmpeg avec une UI, et des gens FFmpeg se plaignant de pas avoir de thune…)

              C'est dommage, mais en attendant les gens même développant du libre mais n'ayant pas envie de s'emmerder utilisent du non libre pour ça, faute d'offre réelle (pour tous) libre.

              • [^] # Re: Ou si

                Posté par  . Évalué à 3 (+1/-0).

                Comme si il y avait une phobie de rencontrer des gens pas comme eux, des gens pas geeks.

                Écrire du code et maintenir un service c'est 2 choses totalement différentes. En plus des compétences différentes écrire du code est immatériel, tu peux le partager à l'infini sans surcoût alors que fournir un service a un coût par utilisateur.

                C'est dommage, mais en attendant les gens même développant du libre mais n'ayant pas envie de s'emmerder utilisent du non libre pour ça, faute d'offre réelle (pour tous) libre.

                Toi qui est pointilleux sur la notion de liberté parler de « service libre » c'est dommage.

                • [^] # Re: Ou si

                  Posté par  (site Web personnel) . Évalué à -2 (+1/-5).

                  que fournir un service a un coût par utilisateur.

                  Je n'ai pas parlé su service, j'ai parlé d'offre. Fournit moi déjà le logiciel, et je le ferai tourner (en le monétisant :) ). La, l'offre logicielle libre n'existe déjà pas.
                  Tu parles d'une chose dont je n'ai pas parlé pour te cacher que le logiciel correspondant n'existe pas en libre.

                  Écrire du code et maintenir un service c'est 2 choses totalement différentes.

                  OK. Qu'on s'interdise (et si pas soit une petite réaction pour le faire remarquer, que ça s'arrête) alors en toute honnêteté intellectuelle des phrases genre "Nous n’avons désormais plus d’excuse pour laisser traîner des informations sensibles." qui font croire qu'on s’intéresse aux autre.


                  Chacun est libre de faire ce qu'il veut, mais alors qu'on ne nous "vende" (même à 0) un truc qui n'existe pas (bon, certes en réalité il existe, juste pas libre).

                  Nous n’avons pas d’excuse en 2020 pour laisser traîner des informations sensibles, clairement, dommage que ce soit en non libre et pas le sujet de la dépêche (qui offre une excuse : inutilisable pour 99% de la population). Ha si, finalement on a une excuse : si on ne veut pas laisser à du non libre, on n'a pas d'outils corrects pour 99% de la population, juste pour 1%. On pourrait dire : 1% de geeks n’a désormais plus d’excuse pour laisser traîner des informations sensibles. Note : je ne me considère pas dans ces 1%, trop chiant et autre chose à faire même si je peux perdre du temps à faire ça, je fais du coup confiance à du proprio pour gérer ça. En attendant qu'il y ai un service (même un peu payant, allez soyons fou) avec du logiciel libre derrière.

                  • [^] # Re: Ou si

                    Posté par  . Évalué à 2 (+0/-0).

                    bitwarden est libre.

                  • [^] # Re: Ou si

                    Posté par  . Évalué à 3 (+1/-0). Dernière modification le 27/11/20 à 16:22.

                    J'ai pris trop de temps à éditer mon commentaire plus haut. Il y a pas mal de gens qui gueulent après le support de lastpass, donc on est loin d'être en présence d'une Rolls non plus. La seule fonctionnalité que j'ai lu qui m'intéresserait, mais j´ai vu en parler dans des forums/mailing lists bitwarden donc peut-être que ça va venir, c'est la possibilité de notifier quelqu'un et donner accès au password après n mois sans activité. Par exemple pour qu'un proche puisse avoir accès à tes comptes après ton décès (oui je vieillis, je commence à y penser).

                    Mais sinon bitwarden est clairement le plus proche de lastpass en terme de philosophie (hébergement distant) et il y a pas mal de success stories de gens qui ont migré vers lui depuis lastpass.

                    Sinon keepass et la plupart des ses clients compatibles sont libre. Il n'a pas pour but de gérer la synchro, le stockage distant mais certains clients le font (nexcloud). Il y a des extensions pour les navigateurs principaux. Via keeshare on peut partager des mots de passes, et rien n'empêche d´avoir son keepass sur un hébergement dans le cloud/dropbox/webdav/sftp/stockageobjet.

                    Sinon avec CozyCloud il y a aussi un password manager, très basique (il stocke, il génère, il est ). Pour l'usage personnel de quelqu'un qui n'a pas besoin de fonctions de partages ou plus avancés, c'est suffisant.

                    En libre et hébergeable, il existe aussi syspass.

                    • [^] # Re: Ou si

                      Posté par  (site Web personnel) . Évalué à 1 (+1/-2).

                      Mais sinon bitwarden est clairement le plus proche de lastpass en terme de philosophie (hébergement distant) et il y a pas mal de success stories de gens qui ont migré vers lui depuis lastpass.

                      ben voila! La ça me donne envie de tester.
                      En plus, leur offre payant n'est pas délirante chère comme on peut souvent voir, bon par contre mon besoin est tellement basique (parce qu'au final ça reste un besoin basique) que je n'ai pas besoin des options payantes, à voir.

                      […] c'est la possibilité de notifier quelqu'un et donner accès au password après n mois sans activité

                      Ha, ça c'est une fonctionnalité qui effectivement assez importante pour moi, et ça bloquera peut-être ma migration. Mais la je dirai que ça reste un besoin moins général, je n'aurai pas de honte à conseiller un truc qui n'a pas ça mais est libre par rapport à Lastpass (en précisant qu'il manque une fonctionnalité).

                      Sinon, ce n'est pas n mois, mais 1 semaine (de tête et configurable) après qu'on t'envoie un mail te demande si tu es d'accord.

                      • [^] # Re: Ou si

                        Posté par  . Évalué à 3 (+2/-0).

                        Oui, après avoir comparé pas mal de solutions libres (Keepass éliminé bien évidemment, parce que se taper la synchro par un autre moyen, c'est pas viable), je suis resté sur Bitwarden. Et l'implémentation Bitwarden_RS est légère, facile à autohéberger. En finaliste, il y avait aussi psono, qui a des fonctionnalités intéressantes (mais les extensions navigateurs et le client Android étaient pas assez soignés à l'époque, ça a peut être évolué depuis)

                  • [^] # Re: Ou si

                    Posté par  . Évalué à 1 (+2/-3).

                    Je n'ai pas parlé su service, j'ai parlé d'offre. Fournit moi déjà le logiciel, et je le ferai tourner (en le monétisant :) ). La, l'offre logicielle libre n'existe déjà pas.

                    Tu connaît parfaitement ces problématiques qui existent déjà (SSPL etc). Donc ton commentaire est juste un troll.

                    Tu parles d'une chose dont je n'ai pas parlé pour te cacher que le logiciel correspondant n'existe pas en libre.

                    On a eu 2 dépêches sur bitwarden cette année. Tu te moque de moi je présume.

                    Voila un paragraphe et je m'arrêterais là. Tu troll pour ensuite t'en servir pour juger. C'est classique, mais médiocre. Passe un bon week-end.

              • [^] # Re: Ou si

                Posté par  . Évalué à 3 (+2/-0).

                Ben en fait, le gens font peut être des logiciels qui correspondent à leur usage et partagent leur travail au cas où ça correspond à l'usage de quelqu'un d'autre… Libre aux autres de l'adapter à leur besoin ou d'aller voir ailleurs. Je ne vois pas où est le problème.

              • [^] # Re: Ou si

                Posté par  . Évalué à 1 (+0/-0). Dernière modification le 27/11/20 à 19:59.

                Je ne comprends pas, Dropbox (ou Google drive, ou Onedrive, ou…) ce n'est pas pour 99% des utilisateurs ? Au delà de mon ton sarcastique, je n'ai jamais essayé la synchronisation via ces services, j'ai toujours seulement supposé que c'était le cas.

                Parce que c'est tout ce que tu as besoin de faire (en plus d'installer Keepass sur toutes tes machines, duh) : synchroniser ta base de données de mots de passes, qui est un bête fichier comme n'importe quel autre fichier. Et sur chaque machine, tu l'ouvres avec Keepass, et voilà !

                (Bon, ça ne résout pas le problème des manipulations manuelles pour lier le plugin Kee pour le navigateur et le logiciel Keepass…)

            • [^] # Re: Ou si

              Posté par  . Évalué à 1 (+0/-1).

              Tu peux juste utiliser Google drive, One drive, iCloud ou tout autre solution déjà prise en compte sur ton téléphone.

              • [^] # Re: Ou si

                Posté par  . Évalué à 2 (+1/-0).

                Tu veux dire qu'il suffit de rentrer ses identifiants d'une de ces plateforme pour chaque installation et que ça gère la synchro automatique bidirectionnelle de façon transparente ?

                Ou alors tu veux dire que je dois copier à la main le fichier sur chacun de mes 7 appareils vers ou depuis le cloud à chaque modification du fichier de mot de passe ?

                • [^] # Re: Ou si

                  Posté par  . Évalué à 1 (+0/-1).

                  Je veux dire que tu peux utiliser la solution de synchro que tu considère la plus adaptée à ton usage1. Après ça ne t'arrange peut être pas. Tu as des solutions qui sont sous forme de service et qui te permettent d'ignorer la notion de synchronisation, mais ça vient avec un coût je trouve : tu as une dépendance à un service. Charge à toi de garder une copie au cas où le service ne te convient plus, disparaît ou rencontre une panne.

                  C'est un choix, je ne crois pas qu'il y ai de solutions parfaites.


                  1. tu en a déjà en place dans tous les smartphones grands publiques et il ne semble pas que ça pose de problèmes insolubles à l'utilisateur moyen. 

                • [^] # Re: Ou si

                  Posté par  . Évalué à 1 (+0/-0).

                  Une autre façon de voir les choses, c'est qu'en faisant comme ça, je n'ai pas un identifiant / password de plus à saisir que ce que j'ai déjà, je n'ai pas à installer et maintenir un service supplémentaire sur mon serveur…

        • [^] # Re: Ou si

          Posté par  . Évalué à 4 (+2/-0). Dernière modification le 27/11/20 à 13:16.

          Pour ma part j'ai mis le fichier keepass dans une Dropbox (compte gratuit qui ne sert qu'à ça). Quand je veux ouvrir un fichier keepass sur un device (PC, smartphone, tablette, …) je sélectionne le fichier directement dans le drive Dropbox (Dropbox a un cache local dans le device, ce qui fait que le fichier reste accessible même sans connexion internet). De cette façon, mon fichier keepass est automatiquement synchronisé. Keepass détecte s'il y a eu des modifications concurrentes et proposera de les fusionner si elles sont compatibles.

          Certains disent que le mécanisme de gestion des éventuels conflits n'est pas suffisamment robuste en cas de multi-utilisateurs. Je n'ai jamais eu de problème mais chez moi le multi-utilisateurs, c'est seulement deux personnes qui ne créent pas de mots de passe toutes les 5'. En tous cas, pour un usage personnel, la synchronisation entre plusieurs clients par cette méthode est automatique.

          NB. C'est bien de faire un backup de temps en temps du fichier dans Dropbox car si on supprime le fichier par mégarde dans un device il va disparaître de tous les devices, Dropbox version gratuite n'offre pas de sécurité à ce sujet. Mais ce n'est pas une problématique propre à Keepass.

          NB2. On peut remplacer Dropbox par un autre cloud gratuit. J'ai choisi Dropbox par rapport à Google Drive car il y a un client Linux natif.

    • [^] # Re: Ou si

      Posté par  . Évalué à 6 (+5/-0). Dernière modification le 26/11/20 à 18:27.

      Le remplissage automatique dans les navigateurs web est permis par l'extension Kee, disponible pour Firefox et Chrome. Pour les smartphones, les applis sont mentionnées dans le journal. La base de données prenant la forme d'un fichier, il est possible de la partager via Webdav, Dropbox, ou tout autre service similaire (dont le service Kee susmentionné).

      Edit: grilled par une personne moins paresseuse que moi :)

    • [^] # Re: Ou si

      Posté par  . Évalué à 0 (+1/-1).

      Justement, petit rappel: Ne sauvez jamais vos mots de passes avec l'outil intégré de votre navigateur.

      Firefox, pour ne pas le nommer n'active toujours pas par-défaut le mot de passe maître, ce qui fait qu'un simple click dévoile le mot de passe de telle entrée.

      Je ne sais pas si il y a moyen d'exploiter cela via JS mais ça m'a fait froid dans le dos quand je m'en suis rendu compte.

      Est-ce firefox qui propose la liste d'utilisateurs à la vue d'un champ input de type username ou est-ce déclanchable via un script js ?

  • # Autre alternative plus "geek"

    Posté par  . Évalué à 7 (+6/-0).

    Je l'ai utilisé un temps…

    Puis je suis tombé sur password-store
    Un truc très philosophie Unix, basé sur GPG pour le cryptage, de simple fichier pour la base, Git pour la synchro; bref, j’adore…
    Sa a résolut tout mes problèmes de synchro que j'avais avec KeePass; y'a même des plugins pour la plus part des navigateurs, même si de ce coté la, ils ne se valent pas tous… (celui de chromium est bien, celui de firefox, j'aime moins, et malheureusement rien encore pour falkon…) et une appli pour Android…
    On peux aussi l'utiliser en ligne de commande, voir depuis un script… QtPass pour une Gui sous KDE…

    Il suffit d'avoir un serveur Git pour faire les synchros (par SSH pour la sécurité), sachant que les fichiers dessus sont crypter GPG, et que la clé (protégé par mot de passe) ne sort pas du client… bref, simple, pratique, sécurisé…

    J'ai lâché KeePass depuis… et je regrette pas :-)

    • [^] # Re: Autre alternative plus "geek"

      Posté par  . Évalué à 1 (+0/-0). Dernière modification le 26/11/20 à 18:48.

      A oui, j'oubliais, c'est pas claire dans la doc, on peux facilement gérer plusieurs clé GPG pour avoir des password partagés avec d'autres personnes, d'autre non…

    • [^] # Re: Autre alternative plus "geek"

      Posté par  . Évalué à 2 (+1/-0).

      Je ne sais pas à quelle extension tu fais référence, mais, avec Firefox, j'ai eu bien plus de succès avec browserpass qu'avec passff, le premier me semblant - subjectivement - plus fidèle à l'esprit de pass.

    • [^] # Re: Autre alternative plus "geek"

      Posté par  . Évalué à 1 (+1/-2).

      Il suffit d'avoir un serveur Git pour faire les synchros (par SSH pour la sécurité), sachant que les fichiers dessus sont crypter GPG, et que la clé (protégé par mot de passe) ne sort pas du client… bref, simple, pratique, sécurisé…

      "serveur Git" … "simple"

      C'est une solution simple pour toi, absolument pas pour l'usager lambda (surtout si en plus le serveur doit être accessible depuis l'extérieur de chez toi).

      • [^] # Re: Autre alternative plus "geek"

        Posté par  . Évalué à 6 (+4/-0).

        Toi, tu n'as pas lu le titre du message auquel tu répond.

        • [^] # Re: Autre alternative plus "geek"

          Posté par  . Évalué à 2 (+1/-0).

          En effet, j'ai dis plus "geek" quand même…
          Mais un serveur Git, au finale, c'est une machine accessible par SSH avec un dossier… bref, rien a installer sur le serveur… c'est pas non plus compliqué finalement, on en est pas a installer gitlab ou gitolite… juste un dépôt bare, dans un dossier, accessible par SSH…
          Logiquement, sa ne devrait pas poser problème aux gens qui traînent sur ce forum ;-)

          La partie finalement la plus "complexe", c'est la gestion des clé GPG… Git, c'est le plus facile

      • [^] # Re: Autre alternative plus "geek"

        Posté par  (site Web personnel) . Évalué à 3 (+1/-0).

        Rien de plus simple qu'un serveur git

        Certain hébergeur en propose ( o2switch par exemple )

        Et il y a Gogs

        Juste un binaire a déposer

  • # Mouais

    Posté par  . Évalué à -10 (+0/-13).

    Moi je me prend pas la tête.
    Je met le navigateur Vivaldi.
    Il génère des mots de passe et les enregistre en ligne.
    Ça marche sur PC et sur Android.
    J'ai importé tous mes mots de passe de chrome dessus.

    • [^] # Re: Mouais

      Posté par  . Évalué à 9 (+8/-0).

      Mouais…
      Pour moi, un navigateur pas libre qui stock mes mots de passe sur leurs serveurs, avec aucune garantie de comment c'est sécurisé… je passe…

      • [^] # Re: Mouais

        Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

        Et, de toute façon dès que les données sont cruciales, genre connexion à la banque, hors de question de laisser ça dans le navigateur.

        Designeuse de masques pour sphéniscidés.

  • # Certifié CSPN par l'ANSSI

    Posté par  . Évalué à 2 (+2/-0).

    En plus keepass à le mérite d'être certifié CSPN par l'ANSII

    https://www.ssi.gouv.fr/entreprise/certification_cspn/keepass-version-2-10-portable/

  • # Sous le clavier !!!

    Posté par  (site Web personnel) . Évalué à 10 (+7/-0).

    C'est du vécu, il y a des utilisateurs qui écrivent le mot de passe sous le clavier. On peut en rire ou en pleurer mais finalement cette solution a quelques caractéristiques intéressantes :

    • impossible de perdre le mot de passe. Il suffit de savoir où il est.
    • si le collègue ou le remplaçant a dû le changer (obligatoire à date fixe), on le retrouve.
    • impossible à pirater à distance, même avec des jumelles on ne voit pas ce qui est écrit sous le clavier.
    • sécurisé par le contrôle d'accès au bâtiment : il faut soulever le clavier.
    • partageable entre plusieurs utilisateurs.

    Comme aujourd'hui c'est vendredi, vous trouverez certainement d'autres propriétés intéressantes à cette méthode d'une fiabilité sans égale…

    • [^] # Re: Sous le clavier !!!

      Posté par  (site Web personnel) . Évalué à 9 (+7/-0).

      le pompon c'est quand même TV5 monde qui venait de subir sa cyberattaque, et dans les reportages on pouvait voir les mots de passe sur des post-it visibles par tous

      https://www.funix.org mettez un manchot dans votre PC

    • [^] # Re: Sous le clavier !!!

      Posté par  . Évalué à 2 (+0/-0).

      sécurisé par le contrôle d'accès au bâtiment : il faut soulever le clavier.

      C'est souvent là que ça pèche le plus dans la sécurité informatique justement hormis certaines boites qui cultivent à fond le secret.

    • [^] # Re: Sous le clavier !!!

      Posté par  (site Web personnel) . Évalué à 5 (+3/-0).

      En 2005, Bruce Schneier recommandait que l'on écrivît ses mots de passe sur papier et qu'on les mît dans son portefeuille.

    • [^] # Re: Sous le clavier !!!

      Posté par  . Évalué à 2 (+0/-0).

      il permet de choisir de quoi est composé son mots de passe ainsi que sa longueur facilement, permet de bien ciblé les contraintes de certain site web. caratère speciaux etc …

      je m'en sert maintenant pour creer le pseudo sur certain site web.

      j'ai remplacer tous mes mots de passe part des mots de passe unique et costaud.

      bémol, je n'ai pas encore réussi a convaincre mes ados et ma femme de l'utiliser: mais non j'ai le même partout ! c'est plus simple

    • [^] # Re: Sous le clavier !!!

      Posté par  . Évalué à 2 (+1/-1).

      C'est du vécu, il y a des utilisateurs qui écrivent le mot de passe sous le clavier.

      Tin les cons, ils se font bien chier à écrire alors qu'il suffit de prendre le numéro de série du clavier comme mot de passe.

  • # Quel cryptage des données dans KeePass ?

    Posté par  (site Web personnel) . Évalué à 2 (+1/-0). Dernière modification le 27/11/20 à 21:31.

    Le descriptif détaillé du logiciel dans Git donne certainement cette information, mais je m'étonne que dans cet article de présentation, aucune mention ne soit faite de la technique de cryptage des données de KeePass. C'est ultra-sensible, je présume que c'est le meilleur qui a été retenu, mais si LinuxFr me le dit, je serai pleinement rassuré. ;)

    Intendant, donc méchant, mais libre !

  • # KP en version web: KeeRest : mettez du DevOps dans votre KeePass

    Posté par  . Évalué à 3 (+4/-0).

  • # Password store

    Posté par  . Évalué à 2 (+2/-0).

    Pour ma part, j'utilise https://www.passwordstore.org/ depuis des années. Utilise une ou plusieurs clefs GPG pour le (dé)chiffrement. Utilisable avec git donc historique des mots de passes, revert etc.

    Il s'utilise dans un terminal le plus souvent mais couplé par exemple à rofi et rofi-pass on peut l'utiliser en mode graphique.

    Simple et très efficace.

  • # UPM

    Posté par  (site Web personnel) . Évalué à 1 (+0/-0).

    Sinon comme alternative, il y a UPM !
    Il a l'avantage d'être Libre, est écrit en Java (donc fonctionne sur Linux, Windows et même MacOS), il y a même une version Android.

    Le gros avantage que je lui trouve c'est que pour synchroniser il suffit de déposer quelques fichiers sur un (votre) serveur PHP et la synchro fonctionne. Pas besoin, de dropbox, cloud, git ou autres !

    Après, il a aussi des défauts … mais comme le sujet du gestionnaire de mots de passe est récurrent, il suffit de lire les archives pour retrouver des infos sur le sujet.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.