Gestionnaire de Mots de passe : Keepass2 ou KeepassXC Le sujet est résolu

[dezix]

Bonjour,

Comme évoqué dans la discussion : Mots de Passe : Générer et vérifier la force,

utiliser des mots de passe longs/compliqués, "incrackables" ou presque,
c'est bien et c'est même une nécessité pour éviter des problèmes,

mais cela tourne au casse-tête s'il faut les taper manuellement à chaque connexion
et surhumain s'il faut les mémoriser.

Des gestionnaires spécialisés existent pour alléger ces tâches laborieuses et répétitives.

Il en existe de nombreux indépendants ou intégrés aux Bureaux (Gnome ; KDE) ou à certaines applications (p.ex aux navigateurs)

Voici des pistes :

• Debian — Résultats de recherche sur : "password manager" (non-triés)
• List of password managers - Wikipedia

Parmi lesquels Keepass semble un "incontournable" pour certains de nos membres les plus éminents (Piratebab et Lol pour ne pas les citer ;-),
suivant leurs conseils, je suis en face d'un choix :

• keepass2
  ou
• keepassxc

Comme KeePassXC est un fork de KeePassX lui-même fork de KeePass,
j'écarte keepassx qui est beaucoup moins actif que keepassxc


Pour Debian stable (buster),
on a les paquets suivants à disposition :

KeePass :

Exact hits

• keepass2 - buster (stable) (utils): Password manager 2.41+dfsg-1: all

Other hits

• keepass2-doc - buster (stable) (doc): Password manager - Documentation 2.41+dfsg-1: all
• keepass2-plugin-keepasshttp - buster (stable) (utils): KeePass2 plugin to expose password entries securely over HTTP 1.8.4.2+dfsg1-2: all

KeePassXC

Exact hits

[*] keepassxc - buster (stable) (utils): Cross Platform Password Manager 2.3.4+dfsg.1-1: amd64 arm64 armel armhf i386 mips mips64el mipsel ppc64el s390x

Other hits

TESTING / UNSTABLE

• webext-keepassxc-browser - bullseye (testing) (web): Web browser extension to organize web site credentials in KeePassXC 1.6.2+repack-1: all
• webext-keepassxc-browser - sid (unstable) (web): Web browser extension to organize web site credentials in KeePassXC 1.6.3+repack-2: all

À première vue,
je pencherais pour KeePassXC qui a un look plus moderne parfaitement intégré à mon Bureau XFCE/GTK
et qui semble avoir les mêmes fonctionnalités que KeePass2


Je pose donc la question à ceux qui en ont déjà l'expérience :

À part l'aspect de l'interface,
qu'est-ce qui pourrait influencer le choix entre keepass2 et keepassxc ?


Question annexe :

Peut-on faire confiance à webext-keepassxc-browser l'extension pour intégration aux principaux navigateurs web ?

Je dirais a priori : " Moins... mais à quel point ? "

donc je pose quand-même la question aux plus avisés,
car il serait dommage de "ruiner" bêtement les efforts consentis.


Merci.

[lol]

Hello,
Merci d'avoir mis ce sujet sur le tapis.

J'utilise Keepass2 depuis un moment, c'est vrai que c'est imparfait. Mais je l'utilise depuis longtemps, et je suis pas emmerdé (Argument de vieux...).

Par contre KeepassXC a été développé nativement pour être multiplateforme. Il doit forcément être mieux adapté à Linux que Keepass2 qui est au départ une application Windows...
Je vais tester KeepassXC (Les formats de bases sont les mêmes).

Ça fait du bien aux petites cellules grises de se faire bousculer de temps en temps.
Je suis persuadé que KeepassXC fait aussi bien (voir mieux) le job.

[dezix]

Salut !

J'ai installé les 2 pour voir avant de poster,
basiquement ça se ressemble beaucoup,
d'où mon questionnement,
car sans expérience pas évident de faire un choix.

Donc si tu testes KeepassXC
tu nous diras ce que tu en penses dans quelques temps.
Merci.

[piratebab]

Pareil pour moi je reste avec mes vielles habitudes.
Je ne ma sers pas de keepass avec firefox. J'ai une utilisation basique, pour remplacer la feuille de papier qui contient tous les logins et mot de passe et qui traine à coté du clavier.

[lol]

Hello,

KeepassXC est pas mal, il offre a peu près le même fonctionnalités.
Je vais utiliser les deux en parallèle pendant un moment, mais je pense basculer sur XC d'ici peu.

Le seul truc qui éventuellement m'agacerais, c'est de ne pas me replacer au dernier dossier/identifiant sur lequel j'étais positionné au moment de l'enregistrement...

[dezix]

Comment bien faire la transition vers KeePass(XC)
(ou un autre gestionnaire)

Je m'adresse plus particulièrement aux utilisateurs de Firefox
(mais le même principe doit s'adapter aux autres navigateurs)

Comme décrit en intro :

L'adoption de Keepass devrait être le moment de perdre cette mauvaise habitude
d'utiliser le même ou quelques MdP assez facile à mémoriser pour plusieurs sites,
et
de commencer à utiliser pour chaque compte un MdP long, aléatoire, difficile à craquer et à mémoriser.

C'est bien entendu la raison d'être de Keepass qui propose un générateur de MdP aléatoire intégré.



Mais à ce stade !!!! Je me pose la Question suivante :

Si à la prochaine connexion,
je remplace mon MdP habituel (présent dans Firefox et dans ma mémoire)
par un nouveau MdP long et peu mémorisable
et
que je fasse une boulette avec KeePass (nouveau pour moi... keepass pas les boulettes )

⇒ je risque de perdre nombre de mes identifiants !


En général, le lien "Mot de passe perdu" du site permet de rattraper le coup,
mais cela risque d'être fastidieux si les sites sont nombreux,
voire impossible dans certains cas.

Keepass enregistre les MdP et autres infos associées
dans une base de donnée (DB) indépendante et facile à sauvegarder (copie)
mais,
si la "boulette" arrive entre la modification et la sauvegarde suivante ???


D'où la question suivante :

Serait-ce une bonne idée au niveau de la sécurité,
de continuer d'utiliser le gestionnaire interne de Firefox
qui va demander à la prochaine connexion si je veux mettre à jour le MdP ?

De cette façon,
une fois tous les mots de passe remplacés ,
je pourrais faire une sauvegarde globale :

• DB de Keepass
• DB de Firefox

avant de supprimer tous les MdP de Firefox et désactiver son gestionnaire.


Je récapitule la Question :

Poursuivre l'utilisation du gestionnaire de MdP de Firefox pendant la migration vers Keepass,
peut limiter grandement le risque de perte des identifiants,
mais cela induit-il un risque de compromission des nouveaux MdP ?



FIREFOX => SAUVEGARDE / RESTAURATION des Mots de Passe
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Pour ceux que cela intéresse,
le gestionnaire de Mots de passe natif de Firefox (config via (about:preferences) : Édition >> Préférences >> Vie privée et sécurité >> Identifiants et mots de passe )
stocke les MdP de façon indépendante pour chaque profile.

Dans : Aide >> Information de dépannage on trouvera le chemin du répertoire du profile utilisé.

Note : Toutes les manipulations sur les profiles doivent être faites après avoir : "QUITTER" Firefox

Si le profile se nomme <profil> les fichiers qui le constituent,
sont normalement dans : ~/.mozilla/firefox/xxxxxxx.<profil>

où xxxxxx est une chaîne aléatoire générée lors de la création du profile p.ex: 4prsig627

Dans ce répertoire,
les fichiers responsables des Mots de passe enregistrés sont :

• key3.db
• key4.db
• logins.json

ces fichiers ne sont peut-être pas tous présents
et peut-être y-a-t-il d'autres key_.db

Faire une copie de ces fichiers
et remplacer ceux présents le jour venu,
est suffisant pour la restauration des MdP du profile.

Penser aux autres profiles !... et faire de même.

[lol]

Salut,
Des boulettes c'est possible avec tous les systèmes.

J'utilise Keepass depuis 10 ans (au moins) et je n'ai jamais été coincé au point de perdre un accès.

- Tu as l'option de faire un backup à chaque sauvegarde dans les paramètres. Ça couvre déjà une grande palette de conneries possibles.
- Une synchro vers un cloud est le deuxième moyen de se protéger d'un crash majeur.

J'utilise aussi "Firefox Lockwise" pour les mots de passes "courants". Ça me permet d'avoir mes accès sur tous mes postes de travail et appareils.
Le principal est d'avoir un mot de passe maître un peu costaud.

Tout le monde est potentiellement piratable ...
Ça ne m'est jamais arrivé (ni un serveur, ni un mail, ni un accès que un site...), je dois être prudent.

[dezix]

Bon tout ça est rassurant !

Je joue aussi les "Candides" pour les futurs lecteurs un peu frileux,
et
pour avoir une idée "vraie" de la fiabilité pour le cas où c'est vraiment indispensable... Banzaï!


Je trouve très sympa la fonction [Ctrl+Maj+V] qui remplit les champs login et Mdp

[lol]

Je joue aussi les "Candides" pour les futurs lecteurs un peu frileux,

En tout cas en ce qui me concerne je n'ai plus la tête encombrée par les mots de passes.
Ma grosse centaine de mots de passes sont tous très compliqués...

Mais je n'en connais plus qu'un seul... Un peu costaud de 20 caractères.

J'administre des centaines d'accès, il est tout à fait impossible:
- De n'avoir qu'un seul mot de passe
- De se souvenir de tous

Keepass(2/XC) est la seule et unique solution.
C'est fiable et robuste, jamais eu un seul soucis en 10 ans.

[piratebab]

Perso je me sers au quotidien du gestionnaire de mot de passe de firefox. Je n'ai qu'un poste de travail qui va sur le net.
Je ne me sert de keypass que comme un bloc note dans un coffrefort.

[dezix]

Merci pour vos retours.

De mon côté je voudrais mettre en évidence les avantages de ce système,
qui ne sont peut-être pas si évidents de prime abord,
à savoir que :

En utilisant un gestionnaire indépendant des applications utilisatrices de MdP : on centralise tous les MdP
ce qui a pour conséquences :

1. Saisie unique
2. Facilité pour obtenir des MdP forts (générateur intégré)
3. Accessibilité des MdP pour toutes les applications
4. Facilité de sauvegarde
5. Sécurisation plus simple et renforcée (1 seule application spécialisée)

Autre point intéressant :

• Les notes (chiffrées) associées aux entrées permettant d'ajouter les détails du compte p.ex N° Client, adresse de facturation, contact ...

Mon document .odt placé dans un coffre-fort qui liste mes comptes depuis des années devient inutile ;-)

En conclusion,
dès que l'on veut utiliser des MdP avec plusieurs applications,
ou avec une application ne disposant pas d'un gestionnaire interne satisfaisant,
Keepass(XC) offre une solution simple, flexible et très sûre.

[piratebab]

je n'ai jamais vu de comparatif de niveau de sécurité entre le portefeuille de KDE, gnome, firefox, chromium ou keepass.
Je n'ai aucune idée de niveau relatif de protection entre ces solutions.

[C2G9]

Bonjour
Et est-ce que vous utilisez l'intégration aux navigateurs ?

[piratebab]

Pas pour moi, j'utilise les fonctionnalités intégrées des navigateurs.
D'ou mes questionnement sur la robustesse des différentes solutions.

[dezix]

Bonjour,

je l'ai installé juste pour tester.

Ça fonctionne avec Firefox et TorBrowser (je n'ai pas testé avec d'autres navigateurs).

Je l'ai supprimé aussitôt après
et j'utilise [Ctrl+Maj+V] pour le remplissage auto des 2 champs.

[lol]

Hello,
Moi non plus je n'utilise pas l'intégration de Keepass dans le navigateur.
J'utilise la fontion intégrée de Firefox (Firefox Lockwise).

Edition: Par contre j'utilise Nextcloud + Keepass dans mes appareils Android.

[piratebab]

Un autre gestionnaire de mots de passe, un truc hybride
https://linuxfr.org/news/bitwarden-un-g ... asse-libre

[--gilles--]

Merci pour vos retours.

De mon côté je voudrais mettre en évidence les avantages de ce système,
qui ne sont peut-être pas si évidents de prime abord,
à savoir que :

En utilisant un gestionnaire indépendant des applications utilisatrices de MdP : on centralise tous les MdP
ce qui a pour conséquences :

1. Saisie unique
2. Facilité pour obtenir des MdP forts (générateur intégré)
3. Accessibilité des MdP pour toutes les applications
4. Facilité de sauvegarde
5. Sécurisation plus simple et renforcée (1 seule application spécialisée)

Autre point intéressant :

• Les notes (chiffrées) associées aux entrées permettant d'ajouter les détails du compte p.ex N° Client, adresse de facturation, contact ...

Mon document .odt placé dans un coffre-fort qui liste mes comptes depuis des années devient inutile ;-)

En conclusion,
dès que l'on veut utiliser des MdP avec plusieurs applications,
ou avec une application ne disposant pas d'un gestionnaire interne satisfaisant,
Keepass(XC) offre une solution simple, flexible et très sûre.

C'est séduisant, j'ai un pote qui veut que je lui installe un PC, après plusieurs années de démonstration, il a accepté l'idée d'un Linux, il a vraiment besoin d'une solution sécurisée de mot de passe car il ne mettait pas de mot de passe sur son ordi et pour le reste il mets toujours le même partout et il vient de se faire arnaquer avec son PC Win, alors il est prêt à sauter le pas. Le problème, ce que je suis resté à un énorme fichier .odt ( 13 pages écrites bien serrées ) pour mon usage et que je voudrais évidemment bien tester keepassxc pour bien l'expliquer à mon pote, mais j'ai un peu peur du temps à y passer. Est-ce que la migration est rapide ?

[dezix]

Salut Gilles,
sans avoir fait ce dont tu parles,
Keepassxc permet l'import/export des bases de données en fichiers CSV (tableau)
donc en toute logique si tu parviens à refaire avec tes données un fichier qui reprend les mêmes caractéristiques,
ça doit être possible.

Si tu dois tout rentrer à la main dans la GUI,
ça risque d'être très long ... ou tu migres progressivement à chaque nouvelle connexion.

[--gilles--]

Bonjour et merci dezix,
la transformation du fichier texte .odt en un fichier tableur me prendrait trop de temps, surtout que je n'ai pas forcément mis le minimum : site, identifiant, mot de passe, mais aussi des anciennes générations de mot de passe, des commentaires, je vais donc migrer progressivement à la main. Une autre question : Un triplet : site, identifiant, mot de passe créé pour un site avec un navigateur dans keepassxc peut-il être reconstitué et être fonctionnel pour le même site avec un autre navigateur grâce à keepassxc ? Ou bien faut-il enregistrer à nouveau le triplet pour le second navigateur utilisé ?