Vous songez à utiliser un gestionnaire de mots de passe gratuit, sécurisé et vous avez des doutes sur ceux en ligne? Eh bien, vous avez de la chance, cet article est dédié à Keepass.
Avec tous ces hacks et violations de système, vous ne devriez pas réutiliser les mots de passe et vous le savez. Au lieu de cela, vous pouvez laisser un gestionnaire de mots de passe générer des mots de passe aléatoires longs et de type charabia pour toutes vos connexions. De cette façon, les pirates informatiques doivent lancer un millier de cœurs et mettre des millions d’années avant de pouvoir les casser. S’ils en cassent un de toute façon, cela n’aura pas beaucoup d’importance car cela ne fonctionnera que sur ce seul site.
Confier tous vos mots de passe à un logiciel? Est-ce une bonne idée? Et si j’ai besoin de mes mots de passe sur une autre machine ou sur mon téléphone? Et si je suis en vacances?
Je stocke tous mes mots de passe dans KeePass depuis de nombreuses années maintenant, je vais donc partager ma configuration. Vous pouvez l’utiliser comme source d’inspiration pour configurer votre propre flux KeePass.
Pourquoi KeePass
Il existe quelques alternatives basées sur le cloud, mais quand j’ai commencé avec KeePass, elles n’existaient pas encore ou je ne les connaissais pas.
J’ai pensé à passer à un logiciel Cloud, mais finalement je ne l’ai pas fait parce que:
- Ils ne sont pas gratuits ou ont des plans gratuits limités.
- Ils utilisent un logiciel propriétaire, vous ne pouvez donc pas savoir comment ils fonctionnent et s’ils stockent vraiment vos mots de passe en toute sécurité. KeePass cependant est open source et a été audité pour la sécurité dans le passé.
- Stocker tous vos mots de passe sur un serveur appartenant à quelqu’un d’autre sans sauvegarde locale me semble une mauvaise idée.
- Certains ne peuvent pas être utilisés pour autre chose que des sites Web. Comme les informations d’identification de l’application de bureau. Ou même des connexions SSH et d’autres trucs bizarres et geek pour lesquels vous avez besoin de secrets aléatoires.
Oui, ils sont légèrement plus pratiques, mais pour moi, cela ne pèse pas contre le contrôle supplémentaire que j’obtiens avec KeePass.
Installer KeePass
KeePass existe pour Windows, Linux, macOS et Android. C’est une installation typique. Si vous êtes aussi geek et paranoïaque que moi, vous le téléchargez depuis le site principal et vous vérifiez le hachage md5 des fichiers d’installation. De cette façon, vous êtes sûr à 100% que vous n’avez pas téléchargé de version modifiée ou piratée. Cela n’est pas arrivé avec KeePass, mais cela est arrivé aux ISO de Linux Mint, donc vous ne pouvez jamais en être sûr.
Il existe un guide de démarrage sur le site Web de KeePass qui vous guide à travers la configuration et la création d’une première base de données. Ce post Lifehacker fait la même chose et a également de belles captures d’écran pour vous guider.
Sécuriser votre base de données de mots de passe
Quand il s’agit de sécuriser votre base de données de mots de passe, vous devez vous assurer que votre mot de passe principal pour le déverrouiller est bien sûr un très bon. Il doit être aussi long que possible (au moins 10 caractères, mais plus c’est mieux), majuscules, minuscules, nombre, caractères spéciaux, tout le shebang. En plus de cela, vous devez aussi pouvoir vous en souvenir. Donc je suppose que c’est l’un des morceaux les plus difficiles.
Il existe cependant des astuces pour rendre cela facile. Pensez à une bonne phrase dont vous vous souviendrez facilement. Ou n’importe quelle liste de mots. Prenez la première ou la première lettre de chaque mot, mélangez-le avec quelques caractères spéciaux et vous vous retrouvez avec quelque chose de difficile à casser et facile à retenir.
Ou venez avec une bonne phrase secrète de mots aléatoires dont vous vous souviendrez. N’utilisez pas Correct Horse Battery Staple ou une phrase de paroles populaire, car ils figurent probablement déjà dans une base de données de liste de mots de passe. Vous pouvez utiliser une liste de mots pour générer un mot de passe aléatoire en utilisant les listes de mots EFF et certains dés, ou utiliser l’un des nombreux générateurs en ligne.
Personnellement j’utilise celui-là.
Soyez juste original.
Mes débuts
Quand j’ai commencé, je ne faisais pas assez confiance à KeePass pour y transférer tous mes mots de passe. J’ai commencé simplement, en ajoutant de nouveaux sites auxquels je me suis inscrit et en utilisant des mots de passe générés aléatoirement à partir du générateur de mots de passe intégré. Plus tard, j’ai ajouté des sites que j’utilisais fréquemment et j’ai changé leurs mots de passe en des mots plus complexes. Maintenant, tout est là-dedans. Mais tous les mots de passe ne sont pas aléatoires. Des comptes vraiment importants que j’ai en tête aussi, en utilisant un mot de passe complexe et unique dont je me souviens encore. Les comptes vraiment importants ont également une authentification à 2 facteurs activée, même si un pirate trouve le mot de passe, il ne pourra toujours pas entrer.
La connaissance de ces mots de passe clés est également une solution de rechange au cas où je n’aurais pas accès à ma base de données KeePass pour une raison quelconque.
Synchronisation de la base de données
Maintenant, vous voulez utiliser cela sur plus de machines que votre ordinateur, je suppose.
Il y a quelques options:
- Vous placez la base de données sur une clé USB que vous avez toujours sur vous. C’est aussi une bonne sauvegarde. Vous pouvez utiliser PortableApps ou une version portable KeePass sur la clé USB et l’utiliser n’importe où comme ça.
- Vous synchronisez la base de données avec votre lecteur cloud préféré et la synchronisez avec chaque machine sur laquelle vous souhaitez l’utiliser.
J’utilise GoogleDrive, ce qui est idéal pour synchroniser entre la maison, le travail et mon téléphone. OneDrive fonctionnerait également car il fonctionne à peu près de la même manière.
Il existe également un certain nombre de plugins pour que KeePass se synchronise avec Google Drive, FTP et d’autres fournisseurs en ligne, donc je suis sûr que vous trouverez quelque chose que vous aimez.
Sur votre téléphone
Si vous souhaitez accéder à vos mots de passe sur votre téléphone, vous aurez besoin d’applications supplémentaires. J’utilise Android moi-même, mais je suis sûr que les mêmes applications existent pour iOS.
Vous aurez besoin de 2 applications, une pour pouvoir ouvrir et utiliser la base de données, puis quelque chose pour synchroniser le fichier avec votre téléphone. À moins que vous ne le fassiez manuellement, mais je ne le conseillerais pas.
Pour utiliser la base de données, il existe de nombreuses options lorsque vous recherchez KeePass, mais la meilleure que j’ai utilisée jusqu’à présent est Keepass2Android.
Pour synchroniser le fichier, j’utilise directement l’applciation GoogleDrive. Vous pouvez aussi utiliser Autosync pour Google Drive. Cela synchronise un dossier GoogleDrive avec un dossier de votre téléphone.
Extensions
KeePass a une tonne de plugins vous permettant de le personnaliser pour toutes sortes de choses. Il existe des plugins pour l’intégrer dans votre navigateur, synchroniser des fichiers sur toutes sortes de protocoles et de services, exporter, importer, ajouter des fonctionnalités visuelles et autres.
Je n’utilise aucun plugin, car chaque plugin a accès à votre base de données et peut être une vulnérabilité possible. Le plug-in Chrome de LastPass a divulgué des informations de connexion il y a un certain temps, alors voilà.
En utilisant les raccourcis clavier standard sur PC, vous pouvez déjà faire du chemin. Assurez-vous de consulter la documentation de remplacement de type automatique si vous avez un site Web qui ne fonctionne pas bien avec les valeurs par défaut. Vous pouvez trouver un moyen de le faire fonctionner pour 99% des sites Web. Les 1% restants ont un UX vraiment pas opti.
M365 Journey 