Vous avez sans doute un mot de passe favori que vous n’hésitez pas à utiliser lors d’une inscription sur Internet. Hors, il est fréquent que des sites soient piratés à cause d’une négligence, d’une erreur humaine, de l’utilisation de technologies obsolètes… pour ces raisons, vous devriez utiliser un gestionnaire de mot de passe.
En utilisant le même mot de passe, vous vous exposez à un risque. En effet, dans le cas où ce fameux code secret serait usurpé par un pirate, ce dernier pourra être en mesure de s’authentifier sur d’autres sites en utilisant vos identifiants. Imaginez qu’il accède à votre compte Google, Facebook, Amazon, etc ? Bien que certains aient mis en place une politique de sécurité à plusieurs niveaux, permettant une authentification plus forte, on ne reste jamais vraiment à l’abri.
Un expert en sécurité Microsoft avait avancé une politique de sécurité simple : utiliser des mots de passe complexes, différents pour les accès les plus sensibles (comptes Google, Apple, impôts, Banque, etc) et des mots passes plus faibles pour les autres (forums, blog, etc). Il faut dire que le préjudice est plus faible si un pirate accède à vos derniers commentaires publiés sur un blog que s’il accède à vos comptes bancaires.
Mais les besoins en sécurité augmentent au fil des années et il est fréquent que l’on vous demande lors de votre inscription, de saisir un mot de passe fort : au moins 8 caractères, une majuscule, un chiffre, un caractère spécial… Il vous faudra une bonne mémoire, utiliser une bonne vieille feuille papier ou pourquoi pas le fichier Excel qui liste vos mots de passe. Certains se reconnaîtront n’est-ce pas ? Pas très sécurisé mais pratique je vous l’accorde. Et en cas d’ultime oubli, il vous restera les liens « J’ai oublié mon mot de passe », questions secrètes et compagnie.
Personnellement, j’en ai eu assez de devoir retenir des mots de passe toujours différents, de les référencer sur un fichier non sécurisé. Je vous présente la solution que j’ai adoptée, un gestionnaire de mots de passe libre et gratuit : KeePass 2.
Un gestionnaire de mot de passe gratuit et fiable : KeePass 2
KeePass 2 est un gestionnaire de mot de passe disponible sur Windows, MAC, Linux Android, iPhone qui permet de stocker et gérer vos mots de passe en toute sécurité. L’application crée un conteneur crypté avec AES 256-bit, déchiffrable par un mot de passe et protégé contre les attaques par force brute. Vous pouvez y organiser vos données sensibles et vos codes confidentiels sans limite.
Grâce à lui, vous pouvez également générer des mots de passe forts, selon le schéma de votre choix, par exemple 20 caractères, des lettres majuscules, des chiffres, bref le bon mix pour un bon password. Vous pourrez en générer tant que vous voulez, fini d’utiliser le même mot de passe pour toutes vos identifications.
Il ne fera pas travailler votre mémoire car un simple double clic sur une cellule copie le mot de passe ou le nom d’utilisateur dans le presse-papier. Il vous suffira de le coller dans votre formulaire authentification.
Lorsque vous créez une entrée, un mot de passe est généré automatiquement également. Vous pouvez le modifier ou bien le laisser tel quel. Tous les mots de passe sont masqués par défaut mais vous pouvez les consulter en cliquant sur le bouton « …« .
Bien entendu pour accéder aux données chiffrées, vous devrez définir un mot de passe unique suffisamment fort pour bien protéger votre fichier et veiller également à ne pas le laisser traîner n’importe où votre fichier.
Synchroniser vos mots de passe avec votre smartphone Android ou iPhone
Vous pouvez facilement synchroniser vos identifiants enregistrés dans votre gestionnaire de mot de passe sur votre ordinateur avec votre smartphone en utilisant les applications KeePass2Android pour Android ou MiniKeePass pour iPhone.
La méthode est simple, il suffit de stocker votre fichier KeePass (avec l’extension .KDBX) sur un stockage en ligne de type Cloud (comme Google Drive, Drop Box ou One Drive) et de le partager entre votre ordinateur et votre smartphone. Vous pourrez ensuite ouvrir le fichier .KDBX avec l’application et il se tiendra à jour automatiquement sur chacun de vos appareils.
Vous obtiendrez la même réplique de votre gestionnaire de mot de passe entre votre ordinateur et votre smartphone, pratique pour stocker les codes CB, interphone, code autoradio, .. Choses dont vous pouvez avoir besoin dans votre quotidien.
Authentification à deux niveaux
L’authentification à deux niveaux ajoute une sécurité supplémentaire à vos mots de passe. Vous pouvez coupler Keepass à plusieurs types de sécurité à double authentification :
Double authentification avec une clé composite « maître »
Cette méthode consiste à créer avec Keepass un fichier comportant une clé de sécurité qui sera nécessaire pour déverrouiller votre fichier de mot de passe. Ce fichier pourra être stocké sur une clé USB par exemple. A noter qie vous devrez vous munir de ce fichier systématiquement pour accéder à votre base de données de mots de passe. Une fois votre fichier créé, conservez en une copie en lieu sûr, sur un support différent de votre fichier Keepass. Le détails de l’utilisation d’une clé composite est décrit ici : https://keepass.info/help/base/keys.html
Double Auth avec Google Authenticator
Le service Google Authenticator permet, via une application disponible sur smartphone, de fournir un code de sécurité généré de manière aléatoire. Ce service est largement utilisé sur Internet pour sécuriser l’accès à des sites critiques, par exemple l’accès aux Exchanges pour acheter des cryptomonnaies.
Ce service peut être associé à Keepass avec le plugin KeeOTP.
Yubikey
Il est possible également de sécuriser les données de son fichier Keepass avec une Yubikey, que vous pouvez retrouver dans notre test. Ce périphérique qui s’apparente à une clé USB, permet d’une simple pression de déverrouiller l’accès à votre fichier de mot passe. Simple et pratique d’utilisation, vous pouvez l’utiliser en suivant les instructions fournies ici : https://keepass.info/help/kb/yubikey.html
Conclusion
KeePass n’est pas le seul gestionnaire de mots de passe. Il existe également Keeper, Dashlane notamment avec leurs avantages et inconvénients. KeePass 2 a le mérite d’être totalement gratuit et de fournir une excellente sécurité. Vous pouvez aussi l’utiliser pour communiquer des mots de passe au travers d’un conteneur chiffré.
Pour télécharger et installer KeePass c’est par ici : https://keepass.info/
Pour information, KeePass a été certifié par l’agence nationale de la sécurité des systèmes d’information. Comment gérez-vous vos mots de passe et opterez-vous pour un gestionnaire de mot de passe ?
