Sécurité renforcée
• KeePass prend en charge la norme de cryptage avancée (AES, Rijndael) et l'algorithme Twofish pour crypter ses bases de données de mots de passe. Ces deux chiffrements sont considérés comme très sûrs. AES, par exemple, est devenu une norme du gouvernement fédéral américain et est approuvé par la National Security Agency (NSA) pour les informations top secrètes.
• La base de données complète est cryptée, pas seulement les champs de mot de passe. Ainsi, vos noms d'utilisateur, notes, etc. sont également cryptés.
• SHA-256 est utilisé comme hachage de mot de passe. SHA-256 est une fonction de hachage unidirectionnelle sécurisée cryptographiquement 256 bits. Votre mot de passe principal est haché à l'aide de cet algorithme et sa sortie est utilisée comme clé pour les algorithmes de chiffrement.
• Contrairement à de nombreux autres algorithmes de hachage, aucune attaque n'est encore connue contre SHA-256.
• Protection contre les attaques par dictionnaire et par devinette : en transformant très souvent la clé principale finale, les attaques par dictionnaire et par devinette peuvent être rendues plus difficiles.
• Protection des mots de passe en mémoire : vos mots de passe sont cryptés pendant l'exécution de KeePass. Ainsi, même lorsque le système d'exploitation met en cache le processus KeePass sur le disque, cela ne révélera de toute façon pas vos mots de passe.
• Flux en mémoire protégés : lors du chargement du format XML interne, les mots de passe sont chiffrés à l'aide d'une clé de session.
• Contrôles d'édition de mot de passe renforcés par la sécurité : KeePass est le premier gestionnaire de mots de passe qui propose des contrôles d'édition de mot de passe renforcés par la sécurité. Aucun des espions de contrôle d'édition de mot de passe disponibles ne fonctionne contre ces contrôles. Les mots de passe saisis dans ces contrôles ne sont même pas visibles dans la mémoire de processus de KeePass.
• La boîte de dialogue de la clé principale peut être affichée sur un bureau sécurisé, sur lequel presque aucun enregistreur de frappe ne fonctionne. Auto-Type peut également être protégé contre les enregistreurs de frappe.
Cryptage de la base de données
Les fichiers de la base de données KeePass sont cryptés. KeePass crypte la base de données complète, c'est-à-dire pas seulement vos mots de passe. Les noms d'utilisateur, notes, etc. sont également cryptés.
Les bases de données sont chiffrées à l'aide de l'un des chiffrements par blocs suivants :
| Chiffrer |
Taille de bloc |
Taille de la clé |
|---|
| Norme de chiffrement avancée (AES / Rijndael) |
128 bits |
256 bits |
| Deux Poisson |
128 bits |
256 bits |
Ces algorithmes sont bien connus, analysés en profondeur et considérés comme très sûrs. AES, par exemple, est devenu une norme du gouvernement fédéral américain et est approuvé par la National Security Agency (NSA) pour les informations top secrètes.
Les chiffrements par blocs sont utilisés dans le mode de chiffrement par blocs CBC (cipher-block chaining). En mode CBC, les modèles de texte en clair sont masqués.
Pour les deux algorithmes, un vecteur d'initialisation (IV) de 128 bits est généré de manière aléatoire chaque fois que vous enregistrez la base de données. Cela permet à plusieurs bases de données d'être chiffrées à l'aide de la même clé sans que des modèles observables ne soient révélés.
Hachage et dérivation de clé
Afin de générer la clé de 256 bits pour les chiffrements par blocs, l'algorithme de hachage sécurisé SHA-256 est utilisé. Cet algorithme compresse la clé utilisateur fournie par l'utilisateur (constituée d'un mot de passe et/ou d'un fichier de clé) en une clé de taille fixe de 256 bits. Cette transformation est à sens unique, c'est-à-dire qu'il est informatiquement impossible d'inverser la fonction de hachage ou de trouver un deuxième message qui se comprime dans le même hachage.
Dérivation de clé :
Si seul un mot de passe est utilisé (c'est-à-dire aucun fichier de clé), le mot de passe plus un sel aléatoire de 128 bits sont hachés à l'aide de SHA-256 pour former la clé finale (mais notez qu'il y a un prétraitement : protection contre les attaques par dictionnaire). Le sel aléatoire empêche les attaques basées sur des hachages pré-calculés.
Lorsque vous utilisez à la fois le mot de passe et le fichier de clé, la clé finale est dérivée comme suit : SHA-256(SHA-256(mot de passe), contenu du fichier de clé), c'est-à-dire que le hachage du mot de passe principal est concaténé avec les octets du fichier de clé et l'octet résultant la chaîne est à nouveau hachée avec SHA-256. Si le fichier de clé ne contient pas exactement 32 octets (256 bits), ils sont également hachés avec SHA-256 pour former une clé de 256 bits. La formule ci-dessus devient alors : SHA-256(SHA-256(password), SHA-256(key file content)).
Génération de nombres aléatoires
KeePass a besoin de générer plusieurs octets aléatoires (pour l'IV, le sel de la clé principale, etc.). Pour cela, plusieurs sources pseudo-aléatoires sont utilisées : nombre de ticks en cours, compteur de performances, date/heure système, position du curseur de la souris, état de la mémoire (mémoire virtuelle libre, etc.), fenêtre active, propriétaire du presse-papiers, divers identifiants de processus et de threads, diverses poignées de fenêtre (fenêtre active, bureau, ...), pile de messages de fenêtre, état du tas de processus, informations de démarrage de processus et plusieurs structures d'informations système. De plus, KeePass utilise des octets aléatoires fournis par le CSP RNG par défaut du système.
Ces données pseudo-aléatoires sont collectées dans un pool aléatoire. Pour générer 16 octets aléatoires, le pool est haché (SHA-256) avec un compteur. Le compteur est incrémenté après 16 octets générés. De cette façon, autant d'octets aléatoires sécurisés peuvent être produits efficacement que nécessaire.
Protection contre les attaques par dictionnaire
KeePass prend en charge une protection contre les devinettes et les attaques par dictionnaire.
Vous ne pouvez pas vraiment empêcher ces attaques : rien n'empêche un attaquant d'essayer toutes les clés possibles et de regarder si la base de données se déchiffre. Mais ce que nous pouvons faire (et KeePass le fait), c'est rendre les choses plus difficiles : en ajoutant un facteur de travail constant à l'initialisation de la clé, nous pouvons les rendre aussi difficiles que nous le souhaitons.
Pour générer la clé finale de 256 bits utilisée pour le chiffrement par bloc, KeePass hache d'abord le mot de passe de l'utilisateur à l'aide de SHA-256, chiffre le résultat N fois à l'aide de l'algorithme AES (Advanced Encryption Standard) (appelé tours de transformation de clé à partir de maintenant) , puis le hache à nouveau à l'aide de SHA-256. Pour AES, une clé aléatoire de 256 bits est utilisée, qui est stockée dans le fichier de base de données. Comme les transformations AES ne sont pas pré-calculables (la clé est aléatoire), un attaquant doit également effectuer tous les cryptages, sinon il ne peut pas essayer de voir si la clé actuelle est correcte.
Un attaquant a désormais besoin de beaucoup plus de temps pour essayer une clé. S'il ne peut essayer que quelques touches par seconde, une attaque par dictionnaire n'est plus pratique. N est un facteur de travail, seulement indirectement un facteur de temps. Un super ordinateur peut essayer une clé beaucoup plus rapidement qu'un PC standard, mais de toute façon, tester une clé avec N tours de transformation prendra N fois plus de temps que d'essayer une clé sans tours de transformation sur le super ordinateur.
Par défaut, KeePass définit N sur 6 000 cycles de chiffrement (les chiffrements complets sont entendus ; N n'a rien à voir avec les cycles de chiffrement internes d'AES). Ce nombre a été choisi afin d'assurer la compatibilité avec les versions d'appareils portables (les processeurs Pocket PC sont plus lents, donc le calcul de la clé prend plus de temps).
Si vous utilisez KeePass sur PC uniquement, il est fortement recommandé d'augmenter le nombre de tours de transformation de clé. Vous pouvez modifier le nombre dans la boîte de dialogue des options de la base de données. À droite du terrain pour les rondes, vous trouverez un bouton. Lorsque vous cliquez sur ce bouton, KeePass calcule le nombre de tours qui entraîne un délai d'une seconde. Attendre 1 seconde à l'ouverture de la base de données n'est pas un problème, mais pour un attaquant, bien sûr. Mais, le nombre peut être librement réglé sur un nombre de votre choix ; le bouton ne devrait vous donner qu'une idée approximative du nombre de tours pouvant être calculés en 1 seconde sur votre ordinateur.
Cette fonction de protection n'est utile que pour les mots de passe principaux ; les fichiers de clé sont de toute façon aléatoires, il n'est pas nécessaire de transformer le contenu du fichier de clé. Deviner le contenu du fichier clé est tout aussi difficile qu'une attaque par force brute sur la clé finale.
KeePass utilise le multithreading pour calculer les transformations (la clé principale est divisée en deux parties de 128 bits, ce qui correspond à la taille du bloc AES). Sur les processeurs dual/multi core, le calcul peut être deux fois plus rapide que sur un processeur single core.
Sur Windows Vista et supérieur, KeePass peut utiliser l'API CNG/BCrypt de Windows pour les transformations de clé, ce qui est environ 50 % plus rapide que le code de transformation de clé intégré de KeePass.
Protection de la mémoire de processus
Pendant que KeePass est en cours d'exécution, les données sensibles (comme le hachage de la clé principale et les mots de passe d'entrée) sont stockées de manière cryptée dans la mémoire de processus. Cela signifie que même si vous videz la mémoire du processus KeePass sur le disque, vous ne trouverez aucune donnée sensible.
De plus, KeePass efface toute la mémoire critique pour la sécurité lorsqu'elle n'est plus nécessaire, c'est-à-dire qu'il écrase ces zones de mémoire avant de les libérer (cela s'applique à toute la mémoire critique pour la sécurité, pas seulement aux champs de mot de passe).
KeePass utilise le DPAPI de Windows pour chiffrer en mémoire les données sensibles. Avec DPAPI, la clé de chiffrement en mémoire est stockée dans une zone de mémoire sécurisée et non échangeable gérée par Windows . DPAPI est disponible sur Windows 2000 et supérieur. KeePass utilise toujours DPAPI lorsqu'il est disponible ; par défaut, l'utilisation de DPAPI est activée ; s'il est désactivé, KeePass utilise l'algorithme de chiffrement ARC4 avec une clé aléatoire ; notez que c'est moins sécurisé que DPAPI, principalement pas parce qu'ARC4 n'est pas très fort du point de vue cryptographique, mais parce que la clé pour le chiffrement en mémoire est également stockée dans la mémoire de processus échangeable ; de même, KeePass revient au chiffrement de la mémoire de processus à l'aide de Salsa20, si DPAPI n'est pas disponible). Sur les systèmes de type Unix, KeePass utilise Salsa20, car Mono ne fournit aucune méthode efficace de protection de la mémoire.
Pour certaines opérations, KeePass doit mettre à disposition des données sensibles non chiffrées dans la mémoire de processus. Par exemple, pour afficher un mot de passe dans le contrôle d'affichage de liste standard fourni par Windows , KeePass doit transmettre le contenu de la cellule (le mot de passe) sous forme de chaîne non chiffrée (sauf si le masquage à l'aide d'astérisques est activé). Les opérations qui entraînent des données non chiffrées dans la mémoire de processus incluent, mais sans s'y limiter : l'affichage de données (pas d'astérisques) dans les contrôles standard, la recherche de données, le remplacement des espaces réservés (pendant la saisie automatique, le glisser-déposer, la copie dans le presse-papiers, ...), et calculer des estimations de la qualité des mots de passe.
Entrez la clé principale sur Secure Desktop (protection contre les enregistreurs de frappe)
Remarque : KeePass a été l'un des premiers (peut-être même le premier) gestionnaire de mots de passe qui permet de saisir la clé principale sur un bureau différent/sécurisé !
KeePass a une option (dans 'Outils' -> 'Options' -> onglet 'Sécurité') pour afficher la boîte de dialogue de la clé principale sur un bureau différent/sécurisé (pris en charge sur Windows = 2000), similaire à Windows ' Contrôle de compte d'utilisateur (UAC ). Presque aucun enregistreur de frappe ne fonctionne sur un bureau sécurisé.
L'option est désactivée par défaut pour des raisons de compatibilité.
Verrouillage de l'espace de travail
Lors du verrouillage de l'espace de travail, KeePass ferme le fichier de base de données et ne mémorise que son chemin.
Cela offre une sécurité maximale : le déverrouillage de l'espace de travail est aussi difficile que l'ouverture normale du fichier de base de données. De plus, cela empêche la perte de données (l'ordinateur peut planter lorsque KeePass est verrouillé, sans endommager la base de données).
Affichage/Modification des pièces jointes
KeePass dispose d'un visualiseur/éditeur interne pour les pièces jointes.
Le visualiseur/éditeur interne travaille avec les données de la mémoire principale. Il n'extrait/ne stocke pas les données sur le disque.
Lorsque vous essayez d'ouvrir une pièce jointe que le visualiseur/éditeur interne ne peut pas gérer (par exemple, un fichier PDF), KeePass extrait la pièce jointe dans un fichier temporaire (crypté EFS) et l'ouvre à l'aide de l'application par défaut associée à ce type de fichier. Après avoir terminé la visualisation/l'édition, l'utilisateur peut choisir d'importer ou d'annuler les modifications apportées au fichier temporaire. Dans tous les cas, KeePass supprime ensuite en toute sécurité le fichier temporaire (y compris en l'écrasant).
Autotests
Chaque fois que vous démarrez KeePass, le programme effectue un auto-test rapide pour voir si les chiffrements par blocs et les algorithmes de hachage fonctionnent correctement et réussissent leurs vecteurs de test. Si l'un des algorithmes ne réussit pas ses vecteurs de test, KeePass affiche une boîte de message d'exception de sécurité.
Logiciels espions spécialisés
Cette section donne des réponses à des questions telles que les suivantes :
• Le chiffrement du fichier de configuration augmenterait-il la sécurité en empêchant les modifications par un programme malveillant ?
• Le chiffrement de l'application (fichier exécutable, éventuellement avec le fichier de configuration) augmenterait-il la sécurité en empêchant les modifications par un programme malveillant ?
• Une option pour empêcher le chargement des plugins augmenterait-elle la sécurité ?
• Le stockage des options de sécurité dans la base de données (pour remplacer les paramètres de l'instance KeePass) augmenterait-il la sécurité ?
• Verrouiller la fenêtre principale de manière à ce que seul le type automatique soit autorisé augmenterait-il la sécurité ?
La réponse à toutes ces questions est : non. L'ajout de l'une de ces fonctionnalités n'augmenterait pas la sécurité.
Toutes les fonctionnalités de sécurité de KeePass protègent contre les menaces génériques telles que les enregistreurs de frappe, les moniteurs de presse-papiers, les moniteurs de contrôle de mot de passe, etc. (et contre les attaques non-runtime sur la base de données, les analyseurs de vidage mémoire, ...). Cependant, dans toutes les questions ci-dessus, nous supposons qu'il existe un logiciel espion en cours d'exécution sur le système, spécialisé dans l'attaque de KeePass.
Dans cette situation, les meilleures fonctionnalités de sécurité échoueront. C'est la loi n°1 des 10 lois immuables de la sécurité : "Si un méchant peut vous persuader d'exécuter son programme sur votre ordinateur, ce n'est plus votre ordinateur".
Par exemple, considérez le logiciel espion très simple suivant spécialisé pour KeePass : une application qui attend que KeePass soit démarré, puis masque l'application démarrée et imite KeePass lui-même. Toutes les interactions (comme la saisie d'un mot de passe pour déchiffrer la configuration, etc.) peuvent être simulées. La seule façon de découvrir ce spyware est d'utiliser un programme que le spyware ne connaît pas ou ne peut pas manipuler (bureau sécurisé) ; en aucun cas il ne peut s'agir de KeePass.
Pour protéger votre PC, nous vous recommandons d'utiliser un logiciel antivirus et un outil comme Heimdal Pro qui maintient à jour les logiciels critiques pour la sécurité et offre une protection améliorée contre les logiciels malveillants. Utilisez un pare-feu approprié, n'exécutez que des logiciels provenant de sources fiables, n'ouvrez pas de pièces jointes inconnues, etc.
Clés utilisateur multiples
• Un mot de passe principal décrypte la base de données complète.
• Vous pouvez également utiliser des fichiers clés. Les fichiers clés offrent une meilleure sécurité que les mots de passe principaux dans la plupart des cas. Vous n'avez qu'à emporter le fichier clé avec vous, par exemple sur une disquette, une clé USB, ou vous pouvez le graver sur un CD. Bien sûr, vous ne devriez pas perdre ce disque alors.
• Pour encore plus de sécurité, vous pouvez combiner les deux méthodes ci-dessus : la base de données demande alors le fichier clé et le mot de passe pour se déverrouiller. Même si vous perdez votre fichier clé, la base de données restera sécurisée.
• De plus, vous pouvez verrouiller la base de données sur le compte d'utilisateur Windows actuel. La base de données ne peut alors être ouverte que par la même personne qui l'a créée.
Portable et aucune installation requise, accessibilité
• KeePass est portable : il peut être transporté sur une clé USB et fonctionne sur les systèmes Windows sans être installé.
• KeePass ne stocke rien sur votre système. Le programme ne crée aucune nouvelle clé de registre et ne crée aucun fichier d'initialisation (INI) dans votre répertoire Windows . La suppression du répertoire KeePass ne laisse aucune trace de KeePass sur votre système.
• KeePass nécessite Microsoft- .NET Framework (qui peut être téléchargé gratuitement sur le site Web de Microsoft-) ou Mono. Windows Vista et supérieur incluent déjà le framework .NET ; pour Windows 98 / ME / 2000 / XP, vous devez l'installer, s'il n'est pas déjà installé. Avec Mono, KeePass fonctionne également sous Linux, Mac OS X, BSD, etc.
• Accessibilité : KeePass propose une option avancée qui optimise explicitement l'interface utilisateur pour les lecteurs d'écran.
Exporter vers des fichiers TXT, HTML, XML et CSV
• La liste de mots de passe peut être exportée vers différents formats tels que TXT, HTML, XML et CSV.
• La sortie XML peut être facilement utilisée dans d'autres applications.
• La sortie HTML utilise des feuilles de style en cascade (CSS) pour formater le tableau, de sorte que vous pouvez facilement modifier la mise en page.
• La sortie CSV est entièrement compatible avec la plupart des autres coffres-forts de mot de passe comme le gestionnaire de mot de passe à source fermée commerciale et l'agent de mot de passe à source fermée, également les CSV peuvent être importés par des applications de tableur comme Microsoft-s Excel ou OpenOffice's Calc.
• De nombreux autres formats de fichiers sont pris en charge via les plugins KeePass.
Importer à partir de nombreux formats de fichiers
• KeePass utilise le format d'exportation CSV commun de divers coffres-forts de mots de passe comme Password Keeper et Password Agent. Les exportations de ces programmes peuvent être facilement importées dans vos bases de données KeePass.
• KeePass peut analyser et importer les sorties TXT de CodeWalletPro, un coffre-fort commercial à mot de passe à source fermée.
• KeePass peut importer des fichiers TXT créés par Password Safe v2 de Bruce Schneier.
• Prêt à l'emploi, KeePass prend en charge l'importation de plus de 35 formats.
• De nombreux autres formats de fichiers sont pris en charge via les plugins KeePass.
Transfert de base de données facile
• Une base de données de mots de passe se compose d'un seul fichier qui peut être facilement transféré d'un ordinateur à un autre.
Prise en charge des groupes de mots de passe
• Vous pouvez créer, modifier et supprimer des groupes dans lesquels les mots de passe peuvent être triés.
• Les groupes peuvent être organisés sous forme d'arborescence, de sorte qu'un groupe peut avoir des sous-groupes, ces sous-groupes peuvent eux-mêmes avoir des sous-groupes, etc.
Champs de temps et pièces jointes d'entrée
• KeePass prend en charge les champs horaires : heure de création, heure de la dernière modification, heure du dernier accès et heure d'expiration.
• Vous pouvez joindre des fichiers aux entrées de mot de passe (utile pour stocker des fichiers de signature PGP dans KeePass par exemple).
• KeePass dispose d'un puissant visualiseur/éditeur interne pour les fichiers texte, les images et les documents. Vous n'avez même pas besoin d'exporter les fichiers joints pour les visualiser/modifier !
Type automatique, raccourci clavier global de type automatique et glisser-déposer
• KeePass peut se minimiser et saisir les informations de l'entrée actuellement sélectionnée dans des boîtes de dialogue, des formulaires Web, etc. Bien sûr, la séquence de frappe est 100% personnalisable par l'utilisateur, lisez le fichier de documentation pour en savoir plus.
• KeePass dispose d'une touche de raccourci globale de type automatique. Lorsque KeePass s'exécute en arrière-plan (avec une base de données ouverte) et que vous appuyez sur la touche de raccourci, il recherche l'entrée correcte et exécute sa séquence de saisie automatique.
• Tous les champs, titre, nom d'utilisateur, mot de passe, URL et notes peuvent être glissés et déposés dans d'autres windows .
Gestion intuitive et sécurisée du presse-papiers Windows
• Double-cliquez simplement sur n'importe quel champ de la liste d'entrées pour copier sa valeur dans le presse-papiers de Windows .
• Effacement minuté du presse-papiers : KeePass peut effacer automatiquement le presse-papiers quelque temps après que vous y ayez copié l'un de vos mots de passe.
Recherche et tri
• Vous pouvez rechercher des entrées spécifiques dans les bases de données.
• Pour trier un groupe de mots de passe, cliquez simplement sur l'un des en-têtes de colonne dans la liste des mots de passe, vous pouvez trier par n'importe quelle colonne.
Prise en charge multilingue
• KeePass peut être traduit très facilement dans d'autres langues.
• Plus de 30 langues différentes sont disponibles !
Générateur de mot de passe aléatoire fort
• KeePass peut générer des mots de passe aléatoires forts pour vous.
• Vous pouvez définir les caractères de sortie possibles du générateur (nombre de caractères et type).
• Amorçage aléatoire par saisie de l'utilisateur : mouvement de la souris et saisie au clavier aléatoire.
Architecture des plugins
• D'autres personnes peuvent écrire des plugins pour KeePass.
• Les plugins peuvent étendre les fonctionnalités de KeePass, comme fournir des méthodes d'importation/exportation supplémentaires pour d'autres formats de fichiers.