KeePass ne propose pas de support natif d'une double authentification à travers une clef de sécurité, via le protocole U2F ou un autre procédé. Son dérivé KeePassXC a récemment ajouté la gestion des Yubikey afin de renforcer l'accès à votre base de mot de passe. Voici comment en profiter.
KeePass est connu pour être un gestionnaire de mots de passe open source de référence (voir notre analyse). Il permet de les organiser de manière simple, tout en exploitant un format de fichier ouvert : KDBX (qui en est à sa v4).
Mais il n'est pas exempt de défauts. Outre son interface un peu datée, il n'était proposé au départ que sous Windows (il est désormais possible d'utiliser Mono), et certains estiment que des fonctionnalités relativement pratiques lui manquent. Ainsi, de nombreuses alternatives existent, que ce soit pour des OS mobiles ou pour ordinateurs.
De KeePassX à KeePassXC
Parmi eux, KeePassX a fait parler de lui il y a quelques temps, avec la volonté de proposer une solution multi-plateformes (Linux, macOS et Windows), offrant des options complémentaires. Mais son développement n'était plus très suivi (le dernier commit date d'octobre 2016) et des développeurs ont décidé de reprendre le projet en main à travers un nouveau dérivé : KeePassXC.
Il exploite une plateforme C++/Qt et son code est diffusé via GitHub. Il propose des fonctionnalités que l'on retrouve déjà pour certaines dans KeePass, d'autres non : le remplissage automatique sur les trois plateformes supportées, une gestion en lignes de commande, un créateur de mots/phrases de passe, un import de fichier CSV, la fusion de bases de mots de passe, les Timed One-Time Password (TOTP), la fermeture de la base de mots de passe avec la session utilisateur, etc.
Un support natif des Yubikey
Plusieurs d'entre elles ont été introduites avec la mouture 2.20, sortie au début de l'été, qui ajoutait une autre possibilité : le support natif des Yubikey Neo, Neo-n, 4 et 4 Nano. Il s'agit de clés de sécurité qui gèrent plusieurs standards, dont nous avons déjà parlé dans le cadre de nos articles sur l'U2F, de notre dossier sur GnuPG et le chiffrement ou encore lors d'un test avec un plugin d'intégration à KeePass.
KeePassXC 2.2.0 permet d'utiliser leur fonctionnalité « Challenge-response » (voir notre précédente analyse) afin de composer la clé maître qui protège l'accès à votre base de mots de passe. Celle-ci peut être composée de deux autres éléments : un mot de passe et un fichier-clé.
Pour utiliser votre Yubikey, c'est relativement simple, notamment par rapport à l'intégration du plugin KeePass :
- Ouvrez votre base de mots de passe ou créez-en une
- Cliquez sur le menu Database puis Changer la clef maître
- Insérez votre Yubikey dans un port USB de votre machine
- Cochez la case Challenge Response puis cliquez sur Refresh
Quelques points à connaître
Vous pourrez alors sélectionner votre Yubikey. Si jamais celle-ci n'apparait pas, c'est que vous n'avez pas activé le mode Challenge-Response sur l'un de ses slots.
Pour le faire, il vous faudra récupérer l'application de personnalisation de la clé, afin de la configurer. Vous pourrez choisir si un appui sur la clé est nécessaire ou non via la case Require user input, et générer une clé privée :
Attention tout de même, l'implémentation actuelle est encore assez basique. Ainsi, si vous perdez la clé ou qu'elle vient à ne plus fonctionner, vous ne pourrez plus accéder à votre fichier. Il n'est en effet pas encore possible d'utiliser la clé privée afin de retrouver l'accès en cas de souci pour le moment comme via le plugin KeePass. On apprécierait aussi de pouvoir lier plusieurs clés à un même fichier afin de pouvoir les utiliser comme alternatives.
Notez enfin que cela empêchera le fichier en question de fonctionner depuis un autre client qui ne proposerait pas un accès similaire. Bref, cela devra s'affiner afin d'être totalement exploitable sur le long terme, mais c'est un bon début. Espérons au passage que cela poussera d'autres gestionnaires de mots de passe à faire de même, ou à proposer au moins une intégration du standard FIDO U2F, déjà proposé par certaines applications comme Dashlane par exemple.
Commentaires (23)
#1
Simple question : peut-on utiliser la base actuelle de KeePass dans le KeePassXC ? Ou doit-on tout se refader ?
#2
#3
Je viens de tester, tu peux utiliser ton fichier kdbx directement
#4
C’est tout l’avantage de KDBX :) Après il faut juste ne pas utiliser une clef maître composée d’éléments que la nouvelle application ne gère pas pour assurer le transfert :)
PS : ils supportent les différentes versions de base, excepté KDBX4 qui est en cours d’implémentation
#5
Ainsi, si vous perdez la clé ou qu’elle vient à ne plus fonctionner, vous ne pourrez plus accéder à votre fichier. Il n’est en effet pas encore possible d’utiliser la clé privée afin de retrouver l’accès en cas de souci
Arg ! C’est un peu brutal si seule la yubikey connait le secret.
Je préfère l’approche de KeeChallenge: la yubikey est utilisée pour chiffrer/déchiffrer le secret choisi par l’utilisateur.
#6
On peut plus commenter sauf en répondant à un message si on est pas abonné sur ce genre de news? :(
Bref petite question, KeePassXC ne supporte pas Keefox par contre d’après ce que j’ai pu voir sur le net?
Je connaissait pas du tout les fork de keepass, mais sans keefox manière pour moi c’est niet, le combo est tellement bien que je pourrais plus m’en passer maintenant.
#7
Le principe de la Yubikey me plait bien, mon soucis, c’est que j’utilise aussi l’appli sur mobiles avec le fichier synchronisé par KeeAnywhere, du coup l’usage de la Yubikey sur mobile bof bof, ce serait mieux si ils implémentaient un compatible Yubikey/TrustZone, comme ça, Yubi pour le desktop, TrustZ pour les mobiles.
#8
De mon côté j’ai un lecteur de tag NFC que je voudrais utiliser pour dé/verrouiller ma base KeePass, mais impossible de faire fonctionner le seul plugin existant : keepassrfid. Le lecteur est reconnu, les tags (Mifare classic) aussi, mais le plugin refuse d’y écrire sa première donnée.
Dommage, car mon smartphone a également un lecteur NFC et j’aurais bien voulu utiliser ça plutôt que de systématiquement retaper le mot de passe maître…
#9
Il supporte PassiFox.
Mais il y a aussi l’auto-complétion des champs qui fonctionne dans le navigateur.
Typiquement tu définis un raccourcis clavier général : il regarde l’URl et fait l’auto complétion tout seul.
C’est peut être un peut moins bien que keefox mais ça fait une extension de moins sur le navigateur.
Je teste comme ça pour l’instant de mon côté.
#10
ça marche super bien.
l’avantage étant qu’on peut jongler entre plusieurs navigateurs.
un petit ctrl+a et le tour est joué.
#11
Les deux utilisent la même approche. C’est juste que KeePassXC ne permet pas d’utiliser la clef privée comme solution de backup pour le moment
" />
#12
@David_L: tu recommandes KeePassXC pour remplacer Lastpass & Co?
#13
Tiens, en passant, est-ce qu’il existe un menu pour changer le chiffrement de sa base? Parce que depuis le temps que je l’ai, j’imagine que y’a mieux que le AES256 de l’époque…
#14
C’est toujours une question de besoin et de praticité. J’ai une tendance naturelle à préférer les solutions où je maitrise l’hébergement et le chiffrement pour ce genre de choses et pour certaines données. Après si tu veux garder un mot de passe Twitter à portée de main depuis ton smartphone, du DashLane / LastPass pourra être plus pratique, notamment pour l’intégration à l’OS.
#15
Sur KeePassXC tu as la possibilité de choisir entre AES256 et Twofish selon tes préférences, dans les paramètres de la BDD. Pour KeePass, tu as le choix avec ChaCha20, aussi dans les paramètres de la BDD (tu peux aussi changer la fonction de dérivation pour de l’Argon2)
#16
OK du coup si je comprends bien, si je passe en ChaCha20 par exemple, ma base deviendra incompatible avec KeyPassXC (et inversement si je la convertie en Twofish), c’est ça?
#17
Sans doute, après le plus simple est encore de tester (surtout que ça n’engage à rien puisque l’on peut facilement revenir en arrière :p)
#18
Keepassxc + titleurl et je remplis tous les formulaires avec un raccourci sous Firefox. Remplace relativement bien Keepass2 + keefox, keefox n’étant plus compatible avec les dernières versions de Firefox.
Et plus léger et élégant que Keepass2 avec
mono.
#19
“le support natif des Yubikey Neo, Neo-n, 4 et 4 Nano”, mais aussi de la clef classique FIDO U2F Security Key non ? J’avais compris que seule la méthode challange-response est utilisée. Quelqu’un peut confirmer ?
#20
j’utilise keepass avec yubikey en mode challenge response depuis longtemps… et ça fonctionne depuis très longtemps parfaitement..
je comprends que l’intégration est plus aisée aec keepassXC mais est-ce bien nécessaire… ?
Personnellement keepass synchronisé entre pc bureau et maison via clé usb et extension firefox.
ça marche très bien.
Yubikey fournit un “recovery mode” qui vous permet de vous connecter même sans la clé. donc pas de drame si vous perdez la clé.
le seul hic de ma conf, c’est sur android.. il y a des applications compatibles keepass, mais bien sûr rien qui gère la yubikey. Rien de top du coup; il faudrait manuellement créer un clone de la base pour android sans la double authentification, et procédé pas forcément automatisable de plus donc plus à jour …
#21
La clef U2F fait uniquement U2F, donc non elle n’est pas supportée (ou alors j’ai loupé un truc)
#22
j’ai commandé une FIDO U2F Security Key, je vais voir du coup si c’est compatible
#23