- Le coffre fort de mot de passe Keepass
Le coffre fort de mot de passe Keepass
Description
Keepass est un coffre fort de mot de passe qui fonctionne en local sur votre ordinateur. Il crée un fichier chiffré avec l'extension «.kdbx» dans lequel tous vos mots de passe sont stocké.
Quel est l'interet?
Il suffit de taper une seul mot de passe pour ouvrir le coffre fort, puis vous avez accés a l'ensemble de vos mot de passe. Comme les mots de passe sont de plus en plus complexe, comme on nous recommande d'avoir des mots de passe différent partout, c'est l'outils parfait pour tous les mémoriser.
Comment l'installer
L'application se nomme Keepass sous windows, KeepassXc (Windows, Linux et Mac).
Pour installer l'application, plusieurs solution suivant votre cas de figure
pc Windows géré par les services commun
L'application vous est fournis par la DIO (équipe Milan). Elle est disponible dans l'application Wapt. C'est simple, pas besoin de droit admin, vous ne pouvez pas vous tromper.
documentation self service wapt
Windows autre
il faut télécharger l'application sur: https://keepass.info/download.html
Mac & Linux
La méthode d'installation est visible sur la page :
souvent l'application est presente dans les depots officiel
- debian/ubuntu : sudo apt install keepassxc
- mac : brew install --cask keepassxc
Android
- KeePassDX : https://www.keepassdx.com/
Première utilisation
En raison de l'interopérabilité de keepassXC le tuto se base sur cette version.
Lors de la première utilisation il va vous demander de créer votre base «.kdbx». C'est dans ce fichier chiffré que sera stocké tous vos mots de passe.
Le mot de passe pour y accéder doit être robuste ! voir l'article du BIOP pour choisir un bon mot de passe.
Pensez a bien sauvegarder ce fichier. Si votre pc ne fonctionne plus, ou si vous changez d'ordinateur il suffit de reinstaller l'application, remettre ce fichier «.kdbx» et vous retrouverez tous vos mot de passe.
Ajouter un login / mot de passe
Pour créer votre premier couple login / mot de passe :
cliquez sur le bouton +, ou via le menu « Entrées --> nouvelle entrée (ctrl n) »
- renseigner le titre
- le nom d'utilisateur (login)
- le mot de passe
- en option l'url du site (option pratique)
- en option des notes
et enfin cliquez sur ok
Fonction de base inclus dans Keepass
Copier coller de login / password
- « copier / coller de login » (raccourcis « ctrl b » pour copier le login, puis « ctrl v » pour coller)
- « copier / coller de mot de passe » (raccourcis « ctrl c » pour copier le mot de passe, puis « ctrl v » pour coller)
- « copier / coller de l'URL » (raccourcis « ctrl u » )
A noter :
- les « copier / coller » ne sont gardé en mémoire que 10 sec, après 10 sec le coller du mot de passe ne fonctionne plus afin d'éviter les erreurs.
- Utiliser l'URL en mémoire dans keepass permet de s'assurer qu'on est sur le bon site. A privilégier pour la banque, le webmail et tous comptes critique...
Générer un mot de passe
Si vous avez du mal à choisir un mot de passe, vous avez, via l'icône en forme de dé, la possibilité de générer un mot de passe aléatoire.
C'est simple d'utilisation. Ce sont les meilleurs mot de passe. Et comme vous n'avez pas à le retenir, pourquoi perdre du temps à en inventer un ?
Attention toutefois aux caractère ' " \ / qu'il est préférable d'éviter pour des problèmes de compatible
fonction avancée
Maintenant que vous connaissez le produit, vous allez peut être vouloir aller plus loin ?
Lien avec le navigateur
Nous n'allons pas nous étaler sur cette fonction qui n'est pas spécialement recommandé d'un point de vu sécurité. Par principe on évite les liens entre une application et son coffre fort.
Elle reste possible via un plugin dans votre navigateur ex keepassXc-Browser
Outils --> Paramètres --> intégration aux navigateur
Comment utiliser le ssh-agent avec keepass
Keepass permet de stocker les informations de l'agent ssh (ssh-agent). Pour les linuxien ou les mangeurs de pomme il s'agit d'une fonction bien pratique. Toutefois rappelons que d'un point de vue sécurité la fonction ssh-agent, qu'elle soit utilisé via keepass ou non n'est pas recommandé car elle met en mémoire la clé privé ssh.
Creer un bi-cle ssh
Si vous possedez déjà une bi-clé ssh vous pouvez passer cette étape, car il est bien entendu possible de reprendre une clé existante.
ssh-keygen -t ed25519 -C "nom souhaité"
Activer le module SSH
dans votre base keepass activer le module ssh:
outils --> parametres --> agent SSH --> cocher activer l'intégration de l'agent ssh
Ajouter une clé privé SSH sous keepass
créer une nouvelle entrée dans keepass (« ctrl n » ou bouton +) puis :
- lui donner un nom ex «ssh key for bastion» dans le champs mot de passe mettre la passphrase de la clé
- cliquer sur avancer (dans la colonne de gauche) ajouter la clé privé (dans la rubrique fichiers joints)
(en option on peut ajouter la clé publique si c'est plus simple pour retrouver la clé publique associé)
- Selectionner « Agent SSH » sur la gauche
puis cocher:
- «ajouter la clé à l'agent si la base de données est ouverte ou déverrouillée»
- «supprimer la clé à l'agent si la base de données est fermée ou verrouillée»
enfin sélectionner la clé privé juste en dessous enregistrer en cliquant sur « ok »
Comment l'utiliser???
Il suffit de fermer et réouvrir la base et votre agent-ssh sera charger
Sinon pour vérifier ssh-add -l
Agent-SSH + yubikey
Si vous possèdez une bi-clé ssh ed25519-sk utilisé avec une clé multifacteur compatible « fido2 » type yubikey, il est tout à fait possible de mettre dans keepass cette bi-clé ssh.
Ainsi une fois keepass ouvert, l'agent chargera cette bi-clé. Vous pourrez alors faire ssh sur votre serveur et appuyer sur le bouton de la yubikey en guise de double facteur.
clé yubikey
Certainne clé yubi peuvent être utilisé pour déverrouiller la base keepass, mais pas les clés de base fido2 il faut un modèle plus cher.
https://keepass.info/help/kb/yubikey.html
Multi-facteur type otp (code qui change toutes les 30sec)
Une fonction rarement connu de keepass est la fontion multi-facteur type « otp » pour One Time Password. En principe pour tous les sites qui propose cette fonction, il est possible de stocker l'information sous keepass.
Attention le OTP se base sur le temps, il est donc impératif d'avoir un pc à l'heure. Comme l'Observatoire de Paris est la référence temps en France, j'espère que tous les pc sont à l'heure !!!!
Principe de fonctionnement:
- on échange un code donnée par le site, qu'on place dans keepass en plus du couple login / mot de passe
- ce code permet en fonction de l'heure de générer un code temporaire qui change toutes les 30sec
- si le serveur et le pc sont a la même heure se code sera identique.
attention comme souvent l'otp est fait pour etre utilisé avec un téléphone, l'otp s'échange par qrcode. Ici il ne sera pas possible de scanner un qrcode, il faut donc récuperer le code de l'url si le site ne le communique pas autrement.
l'authentification unique cerbere.obspm.fr utilisé pour plusieurs site web interne, ou encore le webmail.obspm.fr permettent l'otp.
Keepass OTP avec le webmail.obspm.fr
Connectez vous avec vos identifiants de messagerie sur le site webmail.obspm.fr
A coté de votre nom cliquez sur l'engrenage dans le menu général selectionnez « Activer l'authentification à deux facteurs... »
La vous n'avez droit qu'a un simple qrcode... non n'exploitable pour Keepass. Quand on laisse la souris sur le qrcode on voit dans l'url secret=xyz C'est cette information dont keepass a besoin.
- Soit on recopie à la main.... mais ce n'est pas pratique
- soit on enregistre l'image et on la décode
sous linux:
- clic droit enregistrer l'image sous
- sudo apt install zbar-tools
- zbarimg --raw ~/Pictures
Utilisation de l'OTP
Après avoir validé le login/pwd un champ supplémentaire apparaitra, vous devrez alors entrer le code otp. Celui-ci est facilement utilisable, comme pour le login, le mot de passe et l'url vous pouvez faire :
- copié / coller de l'OTP « ctrl t »
La configuration est plus compliqué si le code a échanger n'est disponible qu'au traver du qrcode, mais a l'usage c'est plus simple.