Créer une base KeePass suffisamment sécurisée
Présentation de KeePass
KeePass est un gestionnaire de mots de passe open source réputé pour sa robustesse et ses méthodes de chiffrement éprouvées. Il se distingue notamment comme la seule solution recommandée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) pour la gestion sécurisée des identifiants. Entièrement autonome et stockant les données en local, KeePass garantit à l'utilisateur un contrôle total sur ses informations sensibles, sans aucune dépendance à un prestataire tiers. Cette approche confère un niveau de sécurité et de confidentialité optimal, répondant ainsi aux exigences les plus strictes en matière de cybersécurité.
Plusieurs forks de KeePass existent et sont globalement compatibles avec le format des bases de KeePass (KeePassXC, KeePassDX ...). Vous pouvez donc installer un équivalent sur votre smartphone et vous partager les bases depuis votre ordinateur pour toujours conserver un moyen d'accéder à vos mots de passe.
Créer une base robuste
Étape 1 : Installation
Installer l'application en laissant les options standard cochées.
KeePass va se lancer à l'issue de l'installation
Étape 2 : Créer une nouvelle base de données
Cliquez sur l'icône de la nouvelle page en haut à gauche pour créer une nouvelle base de données KeePass
Quelques rappels de prudence
Étape 3 : Choisir l'emplacement et le nom de la base
Choisissez l'emplacement de votre base et nommez la (de préférence, horodatez le nom de la base ou fonctionnez par numéro de version, ce sera beaucoup plus facile pour faire la mise-à-jour du fichier d'un équipement à un autre).
Utilisez un partage réseau si vous prévoyez de l'utiliser sur plusieurs ordinateurs.
Étape 4 : Créer le mot de passe principal
Créez à présent le mot de passe principal de déverrouillage de votre KeePasss.
Il doit être suffisamment robuste (> 120 bits)
Étape 5 : Configuration de la sécurité
Laissez "Database Name" vide (à moins que vous n'en ayez besoin) et passez immédiatement à l'onglet "Security".
Par défaut, KeePass vous propose l'algorithme "AES/Rijndael (256-bit key, FIPS 197)" qui est préférable au ChaCha20, ainsi que la fonction de dérivation de clef "AES-KDF".
Nous allons changer cette fonction pour "Argon2id" car elle combine les avantages des variantes Argon2i (résistante aux attaques par canal auxiliaire) et Argon2d (résistante aux attaques GPU massives).
Pour obtenir des réglages "satisfaisants", une bonne méthode est de cliquer sur "1 Second Delay" qui va calculer, en fonction des performances de votre ordinateur, les paramètres correspondants à un délai de déchiffrement de la base KeePass d'une seconde.
Conclusion
Votre base est à présent créée.