Visiter le contenu principal directement Nous envoyer un e-mail directement

Améliorer la sécurité des mots de passes avec du libre

Cet article a d'abord été publié sur le blog Hackitude. Malheureusement, le site n'était plus actif, car nous manquons de membres pour continuer le projet, nous avons décidé de le fermer pour éviter de consommer des ressources inutilement. Nous avons republié les articles les plus intéressants sur Pikselkraft. Nous en profitons en même temps pour les actualiser et les faire évoluer.

Les mots de passe sont potentiellement une faille de sécurité importante pour de nombreux internautes. Il y a plusieurs règles de base à suivre pour limiter les piratages. Mais ces règles sont compliquées et il est difficile de retenir des mots de passe sécurisés de tête. Heureusement, il existe des outils pour vous aider et sécuriser notre vie en ligne.

Les règles de base pour les mots de passe

  • Un mot de passe unique par compte et service.
  • Un mot de passe compliqué, minimum 12 caractères avec des types de caractères différents (majuscules, minuscules, chiffres, caractères spéciaux).
    • Plus les données sont sensibles plus le mot de passe doit être long.
  • Le mot de passe ne doit pas avoir de lien avec vous (date de naissance, nom, lieu, etc.).
  • Ne pas stocker les mots de passe en ligne ou sur son ordinateur sans protection.
  • Ne pas envoyer des mots de passe par émail ou messagerie.
  • Ne pas utiliser les navigateurs pour enregistrer vos mots de passe
  • Renouveler les mots de passe fréquemment (90 jours)

Avec seulement 10 services, le respect de ces règles est très difficile. Il est donc nécessaire d'avoir une alternative plus ergonomique.

Keepass, le protecteur des mots de passe 

Keepass est un gestionnaire de mots de passe, c’est un coffre-fort numérique. C’est un outil qui va stocker et organiser les mots de passe dans une base de données sur votre ordinateur.

Il existe différents gestionnaires de mots de passe, mais Keepass est gratuit, libre et sa sécurité a été reconnu par des professionnels de la sécurité. Malheureusement son utilisation est plus compliquée que les gestionnaires de mots de passe dans le cloud, mais le temps d’apprentissage permet un gain de liberté.

Disponible sur tous les supports (Linux, Windows et Mac) et même mobile. Les mots de passe sont chiffrés, ce qui rend ce système plus sécurisé qu’un simple tableur. En effet pour déverrouiller Keepass, vous devez retenir un mot de passe principal qui permet d’ouvrir (déchiffrer) la base de données.

Pour commencer il faut télécharger la version officielle de KeePass

Keepass n’a pas de version française de base. Il faut changer la langue avec un fichier disponible sur la page des traductions. Le fichier sera un ZIP, il faut l’ouvrir et l’ajouter dans le dossier de KeePass (fichier : French.lngx). Vous pouvez redémarrer Keepass et choisir la langue française. Il n’existe pas de traduction pour KeepassXC.

La première étape est de créer sa base de mots de passe (Fichier-> Nouvelle base de données) et saisir un nom pour le nouveau fichier kdbx (votre coffre-fort). Ce fichier va contenir les mots de passe. Il faudra ouvrir ce fichier pour accéder à vos mots de passe.

Le plus important est de définir le mot de passe principal. Ce mot de passe principal doit être solide, idéalement 5 mots aléatoires comportant une à deux majuscules, un caractère spécial (@, ?, $, etc.) et des chiffres. Il faudra uniquement retenir celui-ci.

Ensuite, vous pouvez ajouter de nouveaux mots de passe via le menu. Chaque mot de passe contient un nom, une URL, un mot de passe et si nécessaire une note. Si vous utilisiez un autre logiciel, il est possible d’importer sa base de données.

Keepass sur navigateur

Il existe une extension pour Firefox qui permet de faciliter le copier-coller des mots de passe sur navigateur. Vous devez installer l’extension sur Firefox et configurer Keepass pour le lier à l’extension (paramètres>navigateur extension>activer). 

Keepass sur mobile

Il est possible d’utiliser Keepass sur mobile grâce à des extensions. Avec ces extensions vous pouvez copier-coller vos mots de passe plus facilement. Il est nécessaire d’avoir le ficher kdbx sur mobile pour l’utiliser.

Synchroniser ces mots de passe

Il est possible de sauvegarder sa base de données dans le cloud pour la synchroniser. Elle est protégée par un mot de passe ce qui protège vos mots de passe. Mais nous recommandons d'utiliser un outil de cryptage (VeraCrypt ou Cryptomator) pour ajouter une couche de sécurité supplémentaire. Vous pouvez utiliser un service de cloud répandu (Dropbox, Drive, etc.), mais aussi un cloud qui respecte mieux votre vie privée comme disroot.org ou Kdrive.

Keepass, un changement nécessaire

Keepass est difficile à maitriser, mais son interface austère cache une sécurité nécessaire pour la protection des mots de passe. C’est aussi une bonne introduction pour appréhender les logiciels libres. Ce temps d’apprentissage compense largement le gain de liberté comparé aux offres commerciales.