KeePass pour gérer des mots de passe partagés

Cette document adresse les spécificités de l'usage de keePass dans le contexte d'un partage de mots de passe.

  1. Principes
  2. Condition d'utilisation du service.
  3. Pré-requis
  4. Instructions pour la mise à jour des coffres
  5. Politique de mot de passe principal du coffre
  6. Politique générale des mots de passe.

Principes

Une base chiffrée ("cryptée") au format KeePass2 est déposée sur un espace partagé webdav, un groupe de personnes autorisées peut accèder à cette base en s'authentifiant auprès du serveur webdav, chacun avec son mot de passe sésame personnel, puis en ouvrant le coffre avec une passphrase connue de tous les membres du groupe et délivrée par le RSSI de l'établissement. Le serveur est dans un réseau restreint, les accès sont tracés, les accès concurents sont gérés et les coffres forts sauvegardés. 

L'utilisateur navigue avec son navigateur sur https://kef.univ-rennes1.fr pour localiser le coffre qui le concerne. Puis il ouvre le coffre dans KeePass avec "Fichier" > Ouvrir" > "Ouvrir une adresse (URL)". Il doit alors s'authentifier avec son compte sesame, puis saisir la passphrase du coffre.

Condition d'utilisation du service.

L'ouverture du service se fait à la demande du directeur du service ou de la composante qui sera présentée remplissant les conditions d'utilisation du service et son annexe (rubrique téléchargement).

 

Pré-requis

  • KeePass version 2 (versions smartphone exclues)
  • acces interne au réseau de l'Université ou externe via le vpn SSLSRV

 

 

Instructions pour la mise à jour des coffres

  • identifiez clairement les mots de passe en renseignants les méta informations prévues dans l'application (URL, commentaires,...)
  • ne jamais faire de copie des coffres partagés sur d'autres supports que sur le serveur kef. Ceci impose de ne pas tenter d'ouvrir un fichier kdbx avec son url depuis votre navigateur car celui-ci crée une copie temporaire. Cette politique permet de garantir :
  1. qu'il n'existe pas de copie des coffres non maîtrisée.
  2. que les journaux du serveur kef.univ-rennes1.fr retracent l'intégralité des accès.
  3. que l'opération "Enregistrer" est bien répercutée sur le fichier stocké sur le serveur et non limitée à un fichier temporaire localement.
KeePass pose un lock sur les fichiers pour gérer les conflits d'écriture. Dans le cas ou vous sauvegardez un fichier qui a été modifié par un tiers, il vous propose de fusionner vos modifications avec celles intervenues sur le coffre depuis que vous l'avez ouvert. Dans ce cas, lisez avec attention les popup de KeePass et acceptez le merge (la fusion) pour ne pas écraser le travail d'un collègue.

 

Politique de mot de passe principal du coffre

 

  1. La passphrase d'accès au coffre est choisie par les RSSI. Elle est copiée dans un coffre dédié à la gestion des autres coffres et accessible uniquement par les RSSI. Il est donc interdit de changer la master passphrase d'un coffre sans le consentement du RSSI.
  2. Les passphrases des coffres sont distribuées par les RSSI aux personnels désignés par le correspondant technique par un moyen chiffré par message S/MIME chiffré. Ils ne doivent pas être redistribués, imprimés ou fixés sur tout autre support, mais peuvent être stockés dans un coffre KeePass personnel.
  3. En cas de perte des clés d'un coffre, il est donc possible d'obtenir auprès du RSSI le recouvrement du coffre concerné.

     

Politique générale des mots de passe.

  1. Les modalités de changement de mots de passe sont systématiquement documentées dans la section note de l'entrée concernée (liste des actions à entreprendre pour changer le mot de passe) ;
  2. Quand l'utilisation du générateur de mots de passe est privilégiée si possible.
  3. La fonction autotype de KeePass permet la plupart du temps de se dispenser de :
    • saisir un mot de passe complexe
    • mémoriser chaque mot de passe
  4. Quand le matériel est installé par un prestataire, qui devra le connaître pour des opérations de maintenance ultérieures, il lui est systématiquement demandé de ne pas utiliser un mot de passe déjà saisi chez d'autres clients. La personne qui fait la recette de ce travail vérifie que le mot de passe est raisonnablement complexe.

Conseils :

  • Afin de ne pas cumuler les risques, les mots de passe doivent être diversifiés chaque fois que leur surface d'exposition n'est pas la même (par exemple quand la population qui a besoin de les connaître n'est pas la même ou quand le contexte technologique est différent).
  • Toutes techniques d'allocation qui combinent des éléments déterministes est à proscrire. Elle constitue un bon moyen de pas devoir retenir les mots de passe mais la connaissance d'un seul mot de passe permet souvent d'en déduire les autres. Exemple UR1-<nom du service, de la machine, de la BDD>
  • Il convient de ne pas utiliser le même mot de passe dans un contexte de test puis de production car les environnements de test sont souvent plus exposés.
  • Le mot de passe d'administration par défaut des équipements reste est changé ;
     

Mise à jour : 08/27/2019 - 10:13