1. Le coffre-fort de mot de passe Keepass
    1. Description
    2. Quel est l'interêt ?
    3. Comment l'installer ?
      1. PC sous Windows géré par les services communs
      2. PC sous Windows hors services communs
      3. Apple & Linux
      4. Android & iOS
    4. Première utilisation
    5. Ajouter des entrées login/mdp
    6. Fonctions de base inclues dans Keepass
      1. Copier-coller de login / password
      2. Générer un mot de passe
    7. fonctions avancées
      1. Lien avec le navigateur
      2. Comment utiliser le ssh-agent avec keepass_?
        1. Créer une bi-clé ssh
        2. Activer le module SSH
        3. Ajouter une clé privée SSH sous Keepass
        4. Comment l'utiliser_???
        5. Agent-SSH + Yubikey
      3. clé Yubikey
      4. Multi-facteur type otp (code qui change toutes les 30sec)
        1. Keepass OTP avec le webmail
        2. Utilisation de l'OTP

Le coffre-fort de mot de passe Keepass

Description

Keepass est un coffre-fort de mot de passe qui fonctionne en local sur votre ordinateur. Il crée un fichier chiffré avec l'extension « .kdbx » dans lequel tous vos mots de passe sont stockés.

Quel est l'interêt ?

Il suffit de taper un seul mot de passe pour ouvrir le coffre-fort, puis vous avez accès à l'ensemble de vos mots de passe. Comme les mots de passe sont de plus en plus complexes, comme on nous recommande d'avoir des mots de passe différents partout, c'est l'outil parfait pour tous les mémoriser.

Comment l'installer ?

L'application se nomme Keepass sous Windows, KeepassXc (Windows, Linux et Mac) et d'autres possibilités en fonction de l'OS.

Pour installer l'application, plusieurs solutions suivant votre cas de figure.

PC sous Windows géré par les services communs

L'application est disponible par le self-service Wapt. C'est simple, pas besoin de droit admin, vous ne pouvez pas vous tromper.

documentation pour l'utilisation du self-service wapt

PC sous Windows hors services communs

Il faut télécharger l'application sur le site officiel : https://keepass.info/download.html

Apple & Linux

La méthode d'installation est visible sur la page :

souvent l'application est présente dans les dépôts officiels

  • Debian/Ubuntu : sudo apt install keepassxc
  • MacOS : brew install --cask keepassxc

Android & iOS

L'application est aussi disponible pour les téléphones mobiles. Sur le site officiel, vous retrouvez la liste.

Première utilisation

En raison de l'interopérabilité de Keepass, ce tuto se base sur la version KeepassXC.

Lors de la première utilisation, il va vous demander de créer votre base « .kdbx ». C'est dans ce fichier chiffré que seront stockés tous vos mots de passe.

présentation

nouvelle base

nouvelle base

/!\ Le mot de passe pour y accéder doit être robuste ! C'est le mot de passe à retenir. voir l'article du BIOP pour choisir un bon mot de passe.

/!\ Pensez à bien sauvegarder ce fichier. Si votre PC ne fonctionne plus, ou si vous changez d'ordinateur, il suffira de ré-installer l'application, remettre ce fichier « .kdbx » et vous retrouverez tous vos mots de passe.

Ajouter des entrées login/mdp

Pour créer votre premier couple login / mot de passe pour un site ou une application :

cliquez sur le bouton +, ou via le menu « Entrées --> nouvelle entrée (ctrl n)

  • renseigner le titre

  • le nom d'utilisateur (login)

  • le mot de passe

  • en option l'URL du site (option pratique)

  • en option des notes

et enfin

  • cliquez sur ok

la base est ouverte

ajout d'une nouvelle entrée

la base est ouverte avec la nouvelle entrée visible

Fonctions de base inclues dans Keepass

Copier-coller de login / password

  • « copier-coller de login » (raccourcis « Ctrl+b » pour copier le login, puis « Ctrl+v » pour coller)

  • « copier-coller de mot de passe » (raccourcis « Ctrl+c » pour copier le mot de passe, puis « Ctrl+v » pour coller)

  • « copier-coller de l'URL » (raccourcis « Ctrl+u » )

À noter :

  • Les « copier » ne sont gardés en mémoire que 10 sec, après 10 sec le coller du mot de passe ne fonctionne plus afin d'éviter les erreurs. Ce « timeout » peut être modifié.

  • Utiliser l'URL en mémoire dans Keepass permet de s'assurer qu'on est sur le bon site. À privilégier pour la banque, le webmail et tous comptes critiques...

  • Vous pouvez utiliser le clic droit de votre souris pour effectuer ces copier/coller.

l'attribut

Générer un mot de passe

Si vous avez du mal à choisir un mot de passe, vous avez, via l'icône en forme de dé, la possibilité de générer un mot de passe aléatoire.

C'est simple d'utilisation. Et comme vous n'avez pas à le retenir, pourquoi perdre du temps à en inventer un ?

Attention toutefois aux caractères «_' " \ / espace » qu'il est préférable d'éviter pour des problèmes de compatibilité. Ils sont souvent mal interprétés par les sites.

générer un pwd

fonctions avancées

Maintenant que vous connaissez le produit, vous allez peut-être vouloir aller plus loin ?

Lien avec le navigateur

Nous n'allons pas nous étaler sur cette fonction qui n'est pas spécialement recommandée d'un point de vue sécurité. Par principe, on évite les liens entre une application et son coffre-fort.

Elle reste possible via un plugin dans votre navigateur par exemple keepassXc-Browser

Outils --> Paramètres --> intégration aux navigateurs

intégration-navigateur

Comment utiliser le ssh-agent avec keepass_?

Keepass permet de stocker les informations de l'agent ssh (ssh-agent). Pour les linuxiens ou les mangeurs de pomme, il s'agit d'une fonction bien pratique.

Toutefois, rappelons que d'un point de vue sécurité la fonction ssh-agent, qu'elle soit utilisée via keepass ou non n'est pas recommandée, car elle met en mémoire la clé privée ssh.

Créer une bi-clé ssh

Si vous possédez déjà une bi-clé ssh, vous pouvez passer cette étape, car il est bien entendu possible de reprendre une clé existante.

ssh-keygen -t ed25519 -C "nom souhaité"

Activer le module SSH

Dans votre base Keepass, activer le module ssh_:

outils --> paramètres --> agent SSH --> cocher activer l'intégration de l'agent ssh

intégration-navigateur

Ajouter une clé privée SSH sous Keepass

créer une nouvelle entrée dans keepass (« Ctrl+n » ou bouton +) puis_:

  • lui donner un nom ex « ssh key for bastion »

  • dans le champs mot de passe, mettre la passphrase de la clé

nouvelle entrée

  • cliquer sur avancée (dans la colonne de gauche)

  • ajouter la clé privée (dans la rubrique fichiers joints)

(en option on peut ajouter la clé publique si c'est plus simple pour retrouver la clé publique associée)

nouvelle entrée avancée

  • sélectionner « Agent SSH » sur la gauche

puis cocher_:

  • «ajouter la clé à l'agent si la base de données est ouverte ou déverrouillée»

  • «supprimer la clé à l'agent si la base de données est fermée ou verrouillée»

  • enfin sélectionner la clé privée juste en dessous

  • enregistrer en cliquant sur « ok »

nouvelle entrée ssh

Comment l'utiliser_???

Il suffit de fermer et ré-ouvrir la base et votre agent-ssh sera chargé.

Sinon pour vérifier

ssh-add -l

Agent-SSH + Yubikey

Si vous possèdez une bi-clé ssh ed25519-sk utilisée avec une clé multifacteur compatible « fido2 » type Yubikey, il est tout à fait possible de mettre dans keepass cette bi-clé ssh.

Ainsi une fois Keepass ouvert, l'agent chargera cette bi-clé. Vous pourrez alors faire ssh sur votre serveur et appuyer sur le bouton de la yubikey en guise de double facteur.

clé Yubikey

Certaines clés Yubi peuvent être utilisées pour déverrouiller la base keepass, mais pas les clés de base fido2, il faut un modèle plus cher.

https://keepass.info/help/kb/yubikey.html

Multi-facteur type otp (code qui change toutes les 30sec)

totp code

Une fonction rarement connue de Keepass est la fontion multi-facteur type « otp » pour One Time Password. En principe pour tous les sites proposent cette fonction, il est possible de stocker l'information sous Keepass.

/!\ Attention le OTP se base sur le temps, il est donc impératif d'avoir un pc à l'heure. Comme l'Observatoire de Paris est la référence temps en France, j'espère que tous les pc sont à l'heure !!!!

Principe de fonctionnement_:

  • on échange un code donné par le site, qu'on place dans keepass en plus du couple login / mot de passe

  • ce code permet en fonction de l'heure de générer un code temporaire qui change toutes les 30sec

  • si le serveur et le pc sont à la même heure, ce code sera identique

otp configuration otp configuration2

/!\ attention comme souvent l'otp est fait pour etre utilisé avec un téléphone, l'otp s'échange par QRcode. Ici, il ne sera pas possible de scanner un qrcode, il faut donc récuperer le code de l'URL si le site ne le communique pas autrement.

L'authentification unique «cerbere.obspm.fr» utilisé pour plusieurs sites web internes, ou encore le «webmail.obspm.f» permettent l'otp.

Keepass OTP avec le webmail

  • Connectez-vous avec vos identifiants de messagerie sur le site https://webmail.obspm.fr

  • A coté de votre nom, cliquez sur l'engrenage dans le menu général selectionnez « Activer l'authentification à deux facteurs »

Là vous n'avez droit qu'à un simple QRcode... non n'exploitable pour Keepass.

Quand on laisse la souris sur le QRcode, on voit dans l'URL secret=xyz C'est cette information dont Keepass a besoin.

  • soit on recopie à la main.... mais ce n'est pas pratique

  • soit on enregistre l'image et on la décode

sous linux_:

clic droit enregistrer l'image sous

sudo apt install zbar-tools
zbarimg --raw ~/Pictures

Utilisation de l'OTP

Après avoir validé le login/pwd, un champ supplémentaire apparaîtra, vous devrez alors entrer le code otp. Celui-ci est facilement utilisable, comme pour le login, le mot de passe et l'URL vous pouvez faire :

  • copier-coller de l'OTP « Ctrl+t »

La configuration est plus compliquée si le code à échanger n'est disponible qu'au travers du QRcode, mais à l'usage c'est plus simple.