Objectif

L’objectif décrit dans cet article est le suivant: mettre en place un système de gestion de mot de passe sûr, robuste, multiplate-forme, et facile à utiliser au quotidien.

Cette solution repose sur:

  • Un gestionnaire de mot de passe, keepass
  • Un hébergement dans le « cloud », dropbox
  • Un plugin pour lier les deux, keecloud
  • Un addon pour rendre lier keepass avec Firefox, keefox

Notez qu’il existe un « port » de keepass sous linux (keepassx), malheureusement ce dernier ne gère pas encore les plugins. Cette solution n’est donc pas développée, mais il se pourrait que pour sa prochaine mouture, keepassx intègre le plugin « keepasshttp » permettant de l’utiliser avec des extensions disponibles pour Firefox ou Chrome (PassIfox par exemple).

Installation de Keepass (et configuration)

Il faut tout d’abord télécharger Keepass et l’installer, je recommande la version 2, aussi connue sous le nom professional edition (qui reste libre et gratuite).

Une fois installé, il faut regarder la configuration de plus près pour rendre l’ensemble plus facile à utiliser au quotidien:

2016-02-11 12-20-48

Keepass configuration options

Paramètres

Les paramètres de verrouillage de l’application: il faut trouver le bon compromis entre « sécurité » et « facilité d’utilisation ». Renseigner son « master password » à chaque fois que l’on souhaite accéder à une ressource finit par lasser…

Les paramètres suivants permettent d’avoir le comportement suivant:

  • Keepass se lance au démarrage, et reste en zone de notification (system tray)
  • Keepass ne se ferme pas, mais se « réduit » en zone de notification (évite de devoir relancer l’application lorsqu’on ferme la fenêtre)
  • La base de donnée reste ouverte tant qu’on est actif sur le PC: cela évite de devoir taper son « master password » tout le temps. Evidemment, c’est moins sécurisé, à ajuster en fonction de vos besoins et de vos risques.

Security

  • Je désactive
    • lock workspace after keepass inactivity -> cela permet de garder ouverte la base de mots de passe tant qu’on est actif sur le PC
  • J’active
    • lock workspace after global user inactivity -> cela permet, si je m’absente un certain temps, de ne pas garder la base ouverte
    • lock workspace when
      • locking the computer
      • when the computer is about to be suspended
      • when remote control changes

Interface

J’active:

  • Close button [X] minimises the main windows instead of terminating the application
  • Minimise to tray instead of taskbar

Integration

J’active:

  • Run keepass at Windows Startup

Créer une base de donnée

Dialogue de création de base de donnée:

2016-02-10 18-52-38

Keepass database creation menu

Utiliser un mot de passe « fort »

Evidemment il faut un mot de passe « fort » sinon tout cela ne sert à rien.

Il existe de nombreuses lignes directrices sur ce que devrait contenir un mot de passe « fort » (minuscules, majuscules, chiffres et lettres, caractères spéciaux, au moins 10 caractères). Pour autant, je vous conseille la lecture de cet article de Wired (malheureusement en anglais), qui explique bien la facilité avec laquelle des mots de passe jugés pourtant « forts » peuvent être retrouvés facilement.

De fait, la seule bonne stratégie repose sur :

  • Le fait de générer des mots de passe avec une forte entropie (qui en gros est l’incertitude délivrée par une source d’information. Les humains sont de façons générale mauvais à générer des informations avec forte entropie).
  • Le fait de générer des mots de passe de manière réellement aléatoire (cf au dessus, les humains sont nuls à cela)
  • Le fait de ne pas utiliser de termes pouvant se retrouver dans des « dictionnaires d’attaques »

Tout cela veut donc dire qu’un mot de passe facile à mémoriser n’est pas un mot de passe fort (d’une manière générale).

Je suggère d’utiliser le générateur de mot de passe inclus dans Keepass, en utilisant les critères énoncés plus haut.

Au quotidien, ce n’est pas forcément très pratique. Si vous acceptez donc de réduire la force de votre mot de passe (il s’agit ici d’un compromis), sachez qu’il existe un plugin (Pronounceable Password Generator) permettant de générer des mots de passe « prononçables » (et donc plus facile à retenir).

Héberger sa base de mots de passe dans le cloud

Dans le cas présent, on va utiliser Dropbox pour héberger la base dans le cloud. J’aimerais bien pouvoir utiliser d’autres fournisseurs (en particulier Hubic ou un serveur NAS synology), mais pour l’instant Keecloud ne supporte pas ces services.

Il est toutefois envisageable d’utiliser n’importe quel service de cloud, et d’ouvrir la base directement depuis le dossier synchronisé: cependant, dans cette configuration il est nécessaire de fermer la base pour que les changements soient reportés dans le cloud. Cela peut donc entraîner des conflits.

Utilisation du plugin Keecloud

  1. Télécharger Keecloud, prendre le fichier avec l’extension « pglx »
  2. Copier ce fichier à la racine du répertoire d’installation de Keepass, dans mon cas C:\Program Files (x86)\KeePass Password Safe 2
  3. Redémarrer Keepass
  4. Ouvrir la base de donnée précédemment créé (ou n’importe quelle autre base de donnée, ce qui permet à la fin du processus de sauvegarder les info de connexion, sinon il faudra les écrire sur un à la main…)
  5. Utiliser le « URL credential wizard »:
2016-02-10 18-30-37

Keepass & keecloud « URL credential wizard » menu entry

2016-02-10 18-31-00

Keecloud URL credential wizard

2016-02-10 18-31-33

Dropbox notification (browser) that keecloud request access

2016-02-10 18-33-42

Dropbox notification (browser)

Le wizard se connecte à votre compte Dropbox (dans votre navigateur), il faut autoriser l’accès:

Une fois confirmé, on peut clôturer le wizard:

2016-02-10 18-33-43

Back to the wizard – clic next to finish the configuration

A la fin du processus, le wizard indique le « username » et « password » nécessaire à la configuration de keecloud pour ouvrir la base depuis dropbox.

2016-02-10 18-36-09

URL credential to save and use to open the database directly from dropbox

IMPORTANT: Sélectionner « save as entry » pour conserver les informations dans votre base keepass (si cette option ne s’affiche pas, c’est que vous avez lancé le wizard sans avoir ouvert de base au préalable… Vous êtes bon pour sortir du papier et un stylo… ou relancer le wizard!)

2016-02-10 18-36-32

Keepass database with the newly created URL credentials for keecloud

Ici, on voit l’entrée préalablement créé enregistrée dans la base keepass.

Ouvrir la base depuis dropbox

Au préalable, je conseille:

  • De copier votre base sur dropbox
  • De copier, dans un éditeur de texte, les « credentials » crées précédemment, afin de pouvoir les copier/coller facilement.

Ensuite on ouvre la base en sélectionnant « Open > Open URL »:

2016-02-10 18-40-37

Open database menu from keepass

Le dialogue suivant s’affiche, avec les champs:

  • URL
  • Username
  • Password
  • Remember
2016-02-10 18-43-07

Open from URL menu in keepass

Les paramètres à utiliser sont les suivants:

  • URL: dropbox://chemin/vers/votrebasekeepass.kdbx
  • Username: utiliser celui précédemment créé et enregistré dans votre base
  • Password: utiliser celui précédemment créé et enregistré dans votre base
  • Remember: Remember user name and password (à moins que vous souhaitiez les remplir à chaque fois que vous voulez ouvrir votre base de donnée). Le password ici est celui de la liaison keepass > keecloud > dropbox, ce n’est pas celui de votre base keepass
2016-02-10 18-43-57

Open URL menu from keepass

Une fois validé, votre base s’ouvre, il reste encore à taper le mot de passe de la base keepass:

2016-02-10 18-42-55

Keepass master key dialog (to open the database)

Et voila ! Vous avez accès à vos mots de passe. Vous pouvez fermer la base. Heureusement, il ne faudra pas refaire l’entièreté de cette procédure pour ré-ouvrir la base, il suffit d’utiliser la fonction « Open recent » de keepass:

2016-02-10 18-45-15

Open recent menu option in keepass, very usefull !

 Intégrer keepass avec Firefox

Télécharger l’addon Firefox « keefox« .

Il existe un tutorial assez bien fait (http://tutorial.keefox.org/part1), d’ailleurs une page de configuration s’ouvre après installation du plugin.