Cette multiplication de mots de passe se retrouvant dans la nature remet sur le devant de la scène la nécessité d'utiliser un mot de passe différent pour chaque site sur lequel on dispose d'un compte. Cela réduit le risque, si le mot de passe d'un de ses comptes est découvert, qu'on puisse accéder à vos autre comptes.
Bon, ça c'est la théorie et moi le premier, je ne le faisais pas. Je parle bien au passé, car j'ai fini par corriger cette mauvaise pratique de ma part. J'en ai profité pour passer à des mots de passe aléatoires de 32 caractères d'une complexité satisfaisante. Mais comment se souvenir de tous ces mots de passe ? Humainement c'est très compliqué, voir impossible. C'est là qu'intervient KeePass.

KeePass est un coffre-fort logiciel permettant de stocker vos mots de passe dont voici les principales forces :

  • Il est open source (certifié par l'OSI), ce qui permet d'avoir confiance dans le logiciel.
  • Le chiffrement utilisé pour protéger la base de mots de passe est ce qui se fait de mieux aujourd'hui (AES et Twofish).
  • Il permet via une combinaison de touches (Ctrl + Alt + a) de remplir automatiquement les formulaires avec l'identifiant approprié et son mot de passe associé.
  • Il est possible d'organiser ses mots de passe via un système de dossier.
  • Il dispose d'un générateur de mot de passe avec des modèles pour une création rapide de nouveaux mots de passe.
  • Une base de mots de passe peut être protégée par un mot de passe, un fichier clé ou un compte d'utilisateur Windows, les trois pouvant être combinés.
  • Il est disponible en français pour un grand nombre de systèmes d'exploitation : Windows 98 / 98SE / ME / 2000 / XP / 2003 / Vista / 7 / 8, en 32-bit et 64-bit, Mono (Linux, Mac OS X, BSD...) et même sur certains smartphones.
  • Il existe une version portable pouvant être mise sur une clé USB.
  • Il dispose d'un système d'extensions permettant de lui ajouter des fonctionnalités.

Recommandations

Protection de la base de mots de passe

L'accès à votre base de mots de passe doit être correctement protégée. Aussi je préconise l'utilisation d'un mot de passe fort (au moins 16 caractères comprenant des majuscules, minuscules, chiffres, ponctuations et caractères spéciaux comme #, § ou @) ou bien d'une phrase complète (ex : "Mais où ai-je mis ces fichus mots de passe !"). Utiliser en complément un fichier clé peut-être une bonne chose, mais il faut être sûr d'avoir toujours ce fichier à disposition et qu'il ne soit jamais modifié (une image par exemple). L'utilisation d'un compte utilisateur Windows ne doit pas être mise en œuvre si vous souhaitez pouvoir ouvrir votre base sur n'importe quel ordinateur.

Modèle de mot de passe

Je vous conseille de créer un modèle de génération de mots de passe qui dispose des caractéristiques suivantes :

  • Une longueur de 32 caractères
  • Des majuscules
  • Des minuscules
  • Des chiffres
  • Des tirets
  • Des soulignés
  • Des caractères spéciaux

Vérifiez l'accès à un compte fraîchement modifié

Lorsque vous changez le mot de passe d'un compte sur un site web par exemple, ne vous déconnectez pas tout de suite de la session à partir de laquelle vous avez effectué ce changement. Utilisez un autre navigateur et vérifiez que vous pouvez vous connectez avec votre nouveau mot de passe. Si vous utilisez le remplissage automatique et que cela ne fonctionne pas, vérifiez en copiant le mot de passe dans le presse-papiers. Si cela ne fonctionne toujours pas après, générez un nouveau mot de passe d'une taille inférieure, voir en ne mettant pas de caractères spéciaux. Il faut en effet parfois adapter la génération du mot de passe en fonction des critères du site.

Effectuer des sauvegardes de la base de mots de passe

Si vous perdez cette base (qui est en fait un fichier), autant dire que vous perdez tous vos accès. Il est donc nécessaire d'avoir des copies de cette base. J'utilise à cette fin les extensions KeePass suivantes :

  • DataBaseBackup qui permet d'effectuer des sauvegardes locales. Personnellement je conserve un historique de 10 versions.
  • IOProtocolExt : ajoute le support de SCP, SFTP et FTPS. Utile pour, par exemple, ouvrir/enregistrer manuellement une base depuis un serveur distant en SFTP.
  • KeePassSync : permet d'automatiser la synchronisation avec un serveur distant (dans mon cas via un accès SFTP).

Notez qu'il existe par exemple un plugin pour utiliser Dropbox.

Réglages conseillés

Onglet Sécurité

  • Activer l'option "Verrouiller l'espace de travail après une période d'inactivité de l'utilisateur". Vous pouvez tout de même augmenter la valeur par défaut pour ne pas avoir à déverrouiller sans cesse la base de mots de passe.
  • Effacement du presse-papiers après 12 secondes.
  • Effacer le presse-papiers à la fermeture de KeePass.

Onglet Interface

  • Réduire la fenêtre principale après avoir copié les données dans le presse-papiers

Onglet Intégration

  • Lancer KeePass au démarrage de Windows (pour l'utilisateur en cours)

Onglet Avancé

  • Démarrer en mode réduit et verrouillé

Le mot de la fin

J'espère que ce billet vous poussera à adopter de bons réflexes en mettant œuvre le principe du 1 compte = 1 mot de passe. De plus, en utilisant un mot de passe qui suit mes recommandations, si un fournisseur se fait voler votre mot de passe chiffré (comme Linkedin), le voleur mettra du temps avant de le déchiffrer. Ce qui vous permettra peut-être de changer ce mot de passe avant qu'il ne le découvre.
J'en ai fini sur ce sujet, mais je reviendrai vers vous pour au moins un autre billet sur la sécurisation d'un compte en ligne.