Cet article étape par étape décrit le processus d'intégration des vérifications de sécurité des mots de passe dans le gestionnaire de mots de passe KeePass. Les vérifications utilisent la dernière base de données Have I Been Pwned, où les mots de passe divulgués sont stockés, et tout cela fonctionne localement, vous n'avez donc pas à vous soucier de la possibilité de fuites de hachage de mot de passe sur Internet.
KeePass est un excellent gestionnaire de mots de passe de bureau qui stocke les bases de données localement par défaut. Il est riche en opportunités et depuis 2016, il est régulièrement
audité .
Have I Been Pwned est un service en ligne pour vérifier si l'un de vos comptes en ligne a été compromis lors d'une fuite de mot de passe.
Certains gestionnaires de mots de passe, par exemple 1Password, offrent la possibilité de vérifier le mot de passe dans cette base de données.
Personnalisation
Les utilisateurs de KeePass peuvent faire de même, uniquement localement. Voici ce dont vous avez besoin pour cela:
- Installez KeePass .
- Téléchargez la dernière version du plugin HIPB Offline Check . KeePass prend en charge un tas de plugins qui peuvent améliorer la sécurité et fournir d'autres fonctionnalités.
- Téléchargez la dernière base de données de mots de passe depuis Have I Been Pwned (hachée triée).
Placez le plugin dans le répertoire du plugin KeePass. Il a du code open source, et vous pouvez le faire à partir de zéro si vous avez les bonnes compétences. Par défaut, KeePass est défini sur C: \ Program Files (x86) \ KeePass.
Décompressez la base de données avec des mots de passe dans n'importe quel répertoire. Sous forme de texte, il occupe 23 Go et compressé pour le téléchargement - 9 Go.
Lancez KeePass et sélectionnez Outils> Vérification hors ligne HIBP. Cliquez sur Parcourir et sélectionnez le fichier de mot de passe décompressé plus tôt.
Dans la boîte de dialogue, vous pouvez modifier d'autres paramètres, par exemple, le nom de la colonne dans KeePass ou le texte affiché pour les mots de passe sûrs et dangereux.
Enfin, sélectionnez Affichage> Configurer les colonnes et activez la colonne Have I Been Pwned pour voir les résultats des recherches dans la base de données.
Vérification des mots de passe KeePass dans la base de données Have I Been Pwned
Il existe plusieurs façons de vérifier la présence de mots de passe dans la base de données.
- Double-cliquez sur le champ avec n'importe quel mot de passe.
- Vous pouvez sélectionner plusieurs éléments, cliquer avec le bouton droit de la souris et sélectionner les entrées> Base de données Have I Been Pwned.
Le plugin vérifie automatiquement la présence de tout mot de passe mis à jour dans la base de données. Le plugin compare le hachage du mot de passe avec le hachage de la base de données pour voir s'il a fuit.
Faire correspondre la base de données des mots de passe divulgués ne signifie pas automatiquement que le mot de passe est devenu connu de tiers - tout dépend de la complexité du mot de passe et de la capacité des tiers à le décrypter.
Que peut-on faire avec des mots de passe divulgués
Nous pouvons recommander de changer les mots de passe trouvés dans la base de données Have I Been Pwned. Rendez-vous simplement sur le site ou sélectionnez le service souhaité et modifiez le mot de passe manuellement.
KeePass peut être utilisé pour générer des mots de passe sécurisés; ils sont automatiquement vérifiés pour la présence de Have I Been Pwned dans la base de données, vous ne pouvez donc pas vous en soucier.
Résumé
Le principal avantage de cette méthode est la localisation de tous les contrôles. L'inconvénient est que vous devez télécharger régulièrement les nouvelles versions de la base de données et vérifier les mots de passe pour elles.
Quel gestionnaire de mots de passe utilisez-vous?