Keepass or not Keepass?

[Lyaume]

Bonjour communauté,

j'ai besoin de votre expérience concernant un logiciel de sauvegarde de MdP. Celui qui a retenu mon attention est Keepass car il est OpenSource et le code est lisible par tous. Cependant il existe d'autres alternatives apparemment.

 

Ne connaissant que très peu ces différents logiciels, je voulais connaitre votre avis et savoir si Keepass est vraiment essentiel maintenant.

Je commence à avoir pas mal de MdP pour différents comptes sur le net, applications, etc.

De ce fait je voulais tout centraliser dans un logiciel de gestion de MdP.

 

En plus de votre avis la dessus, j'ai plusieurs questions sur ce logiciel :

- la bdd étant en local, est-elle cryptée? Ce qui signifie qu'on pourrait la mettre dans le cloud sans souci et y avoir accès partout?

- est-ce qu'il permet également de gérer ses MdP pour tout ce qui est Steam, Uplay, Origin, applications, etc? (je les ai pas toutes )

- l'utilisation est-elle transplateforme (entre Linux, WP, W8 par exemple)?

 

J'avoue que je me souci de la sécurité sur le net, mais j'ai un peu délaissé ce genre de logiciel, y voyant le mal incarné. Mais mon cerveau commence à me jouer des tours et je commence de plus en plus à confondre tout mes MdP...

 

Je vous remercie par avance pour vos contributions.

[Cronycs]

Hello,

 

J'utilise KeePass depuis un moment à mon boulot et je le trouve très pratique. Ca me permet d'utiliser des mots de passe complexes générés automatiquement et différents pour chaque application. Comme la bdd Keepass est chiffrée, quelqu'un qui te la vole ne peut rien en faire sans la passphrase. Si tu utilises une passphrase robuste et que tu la changes de temps en temps, tu n'as donc rien à craindre.

 

Ce qui m'a poussé sur Keepass, c'est qu'il est opensource et qu'il existe pas mal de clients crossplateforme.

 

Pour répondre à tes questions :

- Oui la bdd est chiffrée, heureusement, c'est même d'ailleurs un des intérêts principaux de ce type de solution

- Oui tu peux gérer les mdp de tout type d'application, tu peux même faire des macro clavier/souris pour qu'ils se rentrent automatiquement dans les dites applications

- Oui l'utilisation est transplateforme, il existe beaucoup de clients keepass, je ne sais pas pour Windows Phone, mais pour Windows 8 et Linux, c'est sûr que oui.

[Aranud]

Bonjour,

 

Tu en n'as un Keepass pour Android en libre et gratuit : https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=fr

 

Après tu as aussi Dashlane alors le "gros inconvénient" c'est que ce n'est pas libre mais il est beaucoup plus ergonomique et accessible (pas compatible Linux).

[Carpe_Diem]

J'ajouterais de faire confiance au papier pour la sauvegarde en cas de crash PC avec restauration de sauvegarde KO.

[Arcy]

J'utilise également Keepass depuis des années, aucun problème.

 

La seule chose que je lui reproche (sauf s'il le fait, j'ai pas vérifié), c'est de pouvoir stocker certains ID de connexions ailleurs.

Genre pour ma banque et autres, c'est dans une BdD et pour le reste, dans une 2ème que je peux synchroniser avec ma tablette.

 

Mais le tout en une seule fois (pas de besoin de changer de BdD quand je suis sur mon PC fixe).

[Cronycs]

Tu peux tout à fait créer plusieurs BDD et en ouvrir plusieurs ou qu'une seule selon le terminal où tu te trouves.

Effectivement il est important de sauvegarder sa bdd régulièrement sinon c'est la merde.

[RaphAstronome]

Au travail on utilise KeePassX sous Linux cela fonctionne bien.

La seule fonction qui manque est de pouvoir exporter une sélection de MdP.

 

- Les fichiers de base de données sont chiffrés. Il n'y a pas d'option spécifique cloud mais rien ne t’empêche de mettre la BDD sur un cloud.

 

- Il peut stocker à peu plus tout ce qui est mot de passe (c'est pas un trousseau de clés PGP mais je ne crois pas que ce soit ton usage).

 

- Portabilité non testée. Si tu souhaite utiliser une BDD sur un téléphone évite de mettre trop de tours au hashage du mot de passe principal sinon cela sera très lent d'y accéder sur une machine peu puissante.

[Lyaume]

Merci à vous pour les réponses.

J'ai du coup adopté Keepass. Il est simple d'utilisation et rempli parfaitement mes critères.

De plus j'ai vu qu'on pouvait synchronisé avec un url. Je vais donc tenter de le synchroniser avec un cloud pour voir si je peux y accéder partout.

 

Ne connaissant pas le trousseau PGP, je vais également me renseigner à ce sujet.

[Arcy]

Vois sur le site de l'éditeur, des modules existent pour remplir automatiquement les formulaires des sites.

Pour Firefox, c'est Keefox et 0 problème.

[RaphAstronome]

Le trousseau PGP c'est pour les clés de chiffrement PGP, ce n'est pas pour les mots de passe.

[Ricard]

Keepass... Tous tes mots de passes contrôlés par un seul.....

Quelle excellente idée pour la sécurité...lol.

[Lyaume]

Keepass... Tous tes mots de passes contrôlés par un seul.....

Quelle excellente idée pour la sécurité...lol.

Puisque tu as l'air d'avoir un meilleur moyen pour gérer tout les mots de passe, n'hésite pas à le partager.

Tout ceci en ayant un mdp différent pour chaque site et doté d'une bonne robustesse, entre autre.

 

Personnellement je suis preneur de toute astuce.

[blackswan]

Je suis également preneur

 

Plus sérieusement, Keepass (1.29 ou 2.29 ou X) est très bien.

Petit avantage pour ma part au Keepass sans X pour sa fonction "auto-type" : on clique sur un bouton, ça remplit les champs concernés et ça valide

 

OK, c'est gadget mais c'est quand même sympa

 

Pour l'accès everywhere, solution qui va évidemment ne pas convenir à tout le monde mais tant pis, je stocke la BDD sur un cloud (ownCloud pour ne pas le citer) géré par une petite association française, ce qui me permet de partager cette base avec des gens ailleurs. Il faut évidemment un solide MDP mais ça fonctionne très bien jusqu'à présent.

[Amnesiac]

Pour les mdps ? Par là pour le perso : http://forum.nextinpact.com/topic/157193-bien-gerer-ses-mots-de-passe/
Pour le pro, j'utilise Keepass car je n'ai pas la main sur tous les mdp.

[blackswan]

Merci pour le lien Amnesiac, vachement bien la méthode de Killator !

 

J'avais lu un article, le gars disait :

 

- 1 mot de passe unique par site web important (genre les banques)

- 1 mot de passe complexe pour plusieurs sites importants mais non vitaux (genre les forums peut-être)

- 1 mot de passe simple pour plusieurs sites pas franchement importants (genre Netvibes)

 

Après, chacun a ses préférences. Mais c'est cool d'avoir reparlé de ça, je vais m'y attaquer sous peu pour ma part !

[RaphAstronome]

Cela fait tout de même des utilisation multiples du même mot de passe sur plusieurs sites, cela peut être dangereux même si moins suicidaire que mettre le même mot de passe pour la banque et pour des sites divers.

[John Shaft]

Perso, j'ai fait un mix KeePass / la "méthode Killator" : tous mes MdP sont générés via KeePass, sauf la passphrase de KeePass, crée via la méthode sus-mentionnée.

 

Parce que perso, le MdP des comptes root de mes serveurs, j'aurai du mal à retenir les 64 caractères et à les restituer facilement

[Ricard]

Puisque tu as l'air d'avoir un meilleur moyen pour gérer tout les mots de passe, n'hésite pas à le partager.

Tout ceci en ayant un mdp différent pour chaque site et doté d'une bonne robustesse, entre autre.

 

Personnellement je suis preneur de toute astuce.

Un pattern répété.

MonMotDeP@sse(PCINPACT)

MonMotDeP@sse(CLUBIC)

 

Exemple tout bete hein. Tu retiens le pattern, tu retiens tous tes mots de passe. C'est ça l'idée.

[Lyaume]

Un pattern répété.

MonMotDeP@sse(PCINPACT)

MonMotDeP@sse(CLUBIC)

 

Exemple tout bete hein. Tu retiens le pattern, tu retiens tous tes mots de passe. C'est ça l'idée.

Effectivement c'est une bonne idée que j'utilisais justement avant ce topic.

Cependant et vu le nombre de site dont le MdP apparait en clair et qui se font infiltrer, je pense que ce pattern peut vite être découvert. D'autant plus que cette technique commence à être ultra connu.

Du coup je pense qu'il n'est pas difficile, si les MdP en clair d'un site se font voler, de vite comprendre ce mode de fonctionnement et de l'appliquer à d'autres sites plus sensibles.

 

Du coup, je pense que Keepass, étant libre et simple d'utilisation, convient mieux pour une bonne sécurité.

 

Simple avis perso après avoir testé et approuvé Keepass.

[Ricard]

Effectivement c'est une bonne idée que j'utilisais justement avant ce topic.

Cependant et vu le nombre de site dont le MdP apparait en clair et qui se font infiltrer, je pense que ce pattern peut vite être découvert. D'autant plus que cette technique commence à être ultra connu.

Du coup je pense qu'il n'est pas difficile, si les MdP en clair d'un site se font voler, de vite comprendre ce mode de fonctionnement et de l'appliquer à d'autres sites plus sensibles.

 

Je ne parlais pas des sites http bien sur (comment faire confiance à un site qui recoit les mdp en clair (hein NextINpact) ?.  D'ailleurs, il y en a des moins en moins.

Je parlais plus des mots de passe importants (signature mail, clé GnuPG, accès à ProtonMail etc...)

[blackswan]

comment faire confiance à un site qui recoit les mdp en clair (hein NextINpact) ?

 

 

Concernant Keepass, un autre avantage est de ne pas avoir forcément à saisir le mdp, contrairement à la méthode pattern. Donc si le PC est infecté par un éventuel keylogger, pas de problème avec Keepass (et sa fonction d'auto-remplissage ).

[Ricard]

 

Concernant Keepass, un autre avantage est de ne pas avoir forcément à saisir le mdp, contrairement à la méthode pattern. Donc si le PC est infecté par un éventuel keylogger, pas de problème avec Keepass (et sa fonction d'auto-remplissage ).

Il y a aussi le clavier virtuel pour ça.

[blackswan]

Tu passes par là à chaque saisie ? 

[Lyaume]

J'ai une petite autre question.

Etant sur WP8.1, je pensais utiliser également un logiciel compatible.

J'hésite entre WinKee ou 7Pass. Quelqu'un a déjà testé un de ces logiciels?

Pour le moment mon choix s'oriente plus vers WinKee.

 

En vous remerciant pour toutes vos contributions.

[deuffe]

Bonjour,

Vos commentaires sont très intéressants, mais je me pose quand même une question fondamentale sur ce type de logiciel.

Qu'est ce qui garantit que l'auteur n'a pas glissé un petit module pour récupérer les mots de passe des utilisateurs ?