Gestion des mots de passe

Les pirates ne dorment jamais

Des campagnes de phising ont lieu en permanence , celles-ci ont pour but de vous faire ouvrir un mail , qui exécutera un script pour:

  • voler des informations sur votre ordinateur
  • exploiter une faille de votre navigateur internet
  • vous ammener à cliquer sur un lien qui mènne vers un faux site
    • pour vous sous-tirer des informations, voir accéder à votre compte bancaire

C’est le meme problème avec les réseaux wifi dit ouvert (gratuit), il est plutot facile de mettre en place un faux portail de connexion afin d’usurpé le portail légitime, toujours dans le but de vous voler les identifiants de connexion ou vos données bancaires.

Mais je disgresse..

Quelques règles d’hygiène informatique

  1. Ne pas enregistrer les mots de passe dans le navigateur internet
  2. Ne pas utiliser d’information personnelle (date de naissance, nom, etc.)
  3. Ne pas utiliser le même mot de passe partout
  4. Utiliser des mots de passe complexes contenant majuscules, minuscules, chiffres, et caratères spéciaux
  5. Essayer d’utiliser des passphrases
  6. Mieux utiliser un gestionnaire de mot de passe

keepassXC

KeepassXC est une gestionnaire de mot de passe opensource, multiplateforme, qui foncionne en local sur votre machine et non sur une plateforme en ligne.

KeepassXC ou l’ensemble des gestionnaires de mots de passe vous permettent de:

  • garder vos mots de passe en sécurité
  • de créer des mots de passe complexes
  • de créer des mots de passe différents
  • d’utiliser votre base de mots de passe sur des appareils différents

:bangbang: Attention aux plateformes en ligne

Je dissuade formellement l’utilisation de ce genre d’outil.

  1. Ils sont soumis à de forte amende en cas de vol de données, s’il est avéré qu’ils n’ont pas observé le RGPD , ils ne vous diront pas la vérité, chercheront à gagner du temps et se déroberont à leurs obligations.
  2. Vous n’avez strictement aucune maitrise sur l’outils
  3. Vous etes totalement dépendant d’une connexion.
  4. Elles sont attaquées en permanence.

Installation

Rendez-vous sur le site de keepassXC, à la page de téléchargement.

Pour votre android utilisez le projet keepassDX disponible sur le playstore et sur F-Droid (dépot d’application libre et open-source).

keepass.com

Installez simplement comme vous le feriez avec n’importe quelle application.

Ces applications utilisent le format de base de type kdb , ce qui fait que vous pouvez parfaitement utiliser la meme base sur des systèmes différents. C’est ce que je fais.

Fonctionnement

:bangbang: La base est chiffrée , ne perdez le mot de passe principal , même les développeurs ne pourraient pas vous aider à la récupérer.

Si vous perdez votre mot de passe principale= vous perdez tous vos mots de passe.

Création d’une base de données

On créé donc une nouvelle base de mots de passe, le répertoire pour la ranger, et on lui donne un nom.

Saisir alors 2 fois le mot de passe fort, ou une passphrase , si c’est rouge , c’est que les 2 mots de passe ne correspondent pas.

Cliquer sur le petit icone pour faire apparaitre les mots de passe et corriger.

Fichier clé

Créer ensuite un fichier clé.

Dans l’idéal , la stocker sur un autre support , comme une clé USB. Ce qui rendra votre base inviolable.

Par contre il ne faut pas perdre sa clé, ou conserver une copie en lieu sûre.

Ici , il est dans le même répertoire que la base.

On valide en faisant Ok

Options

Beaucoup d’options son activées par défaut, permettant d’assurer un minimum de sécurité lors de l’utilisation de keepassXC.

Comfort

Intégration web

Il est possible d’intégrer l’utilisation de keepassXC au navigateur internet.

Pour cela, simplement ajouter le addons à firefox, si vous utilisez Firefox.

Connecter la base avec le navigateur en créant une clé. La base est automatiquement détectée.

Test de la connexion

Par exemple , j’avais essayé ghost.org comme plateforme de blog..

Bon ma periode d’essai est dépassée… mais ça fonctionne pas mal.

!bangbang! Attention , en cas d’erreur, vérifier que les champs soient propre et que des mot comme username, ou password ne soient en trop.

Création d’un mot de passe

L’avantage d’un gestionnaire, c’est qu’il permet la création de mots de passe réellement très fort.

Ce qui permet de limiter fortement le nombre de candidats au brute-force.

Voyons ce que raconte cette enquête sur le palmares des mots de passe les plus utilisés.

lesnumériques

N’écoutez pas les fatalistes, ou les farfelus qui vous parleront d’ordinateur quantique. Ils ne sont pas en phase avec la réalité.

Cliquer sur la petite clé

Lui donner un nom, et un utilisateur.

A ce niveau , vous indiquez simplement si c’est le bon coin, zalando, carrefour, et le compte qui y correspond.

Assistant de création

Utiliser le pour créer un mot de passe aléatoir en activant les majuscules, les minuscules, les caractères spéciaux, le nombre de caractères à 22 c’est pas mal.

L’ANSSI, l’Agence National de Sécurité des Systèmes d’Informations , propose un outils pour controler la robustesse de votre mot de passe.

Plus de détails technique ici

On peut ajouter une icone pour reconnaitre plus facilement un compte en fonction de son utilisation.

Voilà

On peut ensuite créer des groupes comme boite mail.

Il suffit de glisser déposer ensuite le mot de passe dans le bon group.

On pourra également importer d’autres bases de mots de passe stockés aux formats, CSV (perso ça n’a pas bien fonctionné), ou fusionner d’autres bases KDB (ça j’ai déjà fait).