Le tutoriel suivant va vous guider pas à pas dans l'intégration d'un contrôle de la fiabilité de vos mots de passe dans le gestionnaire de mots de passe KeePass.
Ces vérifications s'appuieront sur la dernière base de données de mots de passe divulgués (piratés, dérobés) d'Haveibeenpwned.com, elles seront exécutées localement pour que vous n’ayez pas à vous soucier de la fuite de hachage de mots de passe sur Internet.
Cet article est une traduction libre avec quelques compléments de celui publié par Martin Brinkmann le 18 janvier 2019 sur le site ghacks.net.
KeePass est un excellent gestionnaire de mots de passe qui stocke ses bases de données localement par défaut.
Nous allons utiliser un service qui va nous permettre de vérifier si l’un de vos comptes en ligne a été compromis par une atteinte à la protection des données.
Certains gestionnaires de mots de passe sont fournis avec une fonctionnalité permettant de vérifier les mots de passe par rapport à cette base de données.
Les utilisateurs de KeePass peuvent en faire de même, mais uniquement localement.
Voyons cela ensemble. 
Voici ce qu’il faut pour cela :
1) vous avez besoin d'une copie de KeePass,
2) de télécharger la dernière version du plugin KeePass HIPB Offline Check. KeePass supporte de nombreux plugins qui peuvent améliorer la sécurité et d'autres fonctionnalités.
3) et enfin de télécharger le dernier fichier de la base de données des mots de passe SHA-1 (classés par hachage) d'Have I Been Pwned. [ Descendez tout en bas de la page ]
Sachez que les 551 509 767 mots de passe de cette base de données ont déjà été utilisés dans ' le monde réel ' et ont déjà faits l'objet d’atteintes à la protection des données.
Cette exposition les rend impropre à une utilisation continue, car ils sont beaucoup plus susceptibles d’être utilisés pour reprendre d’autres comptes.
Ils sont consultables en ligne et peuvent être téléchargés pour être utilisés dans d’autres systèmes à des fins de contrôles.
Placez le fichier du plugin dans le dossier « Plugins » des plugins KeePass.
Le répertoire d'installation de KeePass se trouvent sous C:\Programmes(x86)\KeePass par défaut.
Pour la version portable ce sera à l'endroit que vous aurez choisi.
Après vérification Sha1 du gros fichier téléchargé, extrayez le fichier de la base de données des mots de passe et placez-le quelque part sur le Système.
Notez qu’il a une taille de 23 Gigaoctets en format texte, l'archive téléchargée a une taille d’environ 9 Gigaoctets.
- Démarrez ensuite le gestionnaire de mots de passe KeePass et sélectionnez Outils > HIBP Offline Check dans l'interface du programme.
- Cliquez sur Parcourir et sélectionnez le fichier de base de données de mots de passe que vous avez extrait dans le Système.
Vous pouvez modifier d'autres paramètres, par exemple le nom de la colonne dans KeePass ou le texte qui s’affiche pour les mots de passe sécurisés et non sécurisés.
- Enfin, sélectionnez Affichage > Configurer les colonnes…
- .…et activez la colonne Have I Been Pwned pour afficher les résultats de la vérification dans l’interface.
Vérification des mots de passe KeePass dans la base de données d'Have I Been Pwned.
Vous disposez de plusieurs options pour vérifier les mots de passe par rapport au fichier de base de données.
1 Double-cliquez sur le champ du mot de passe sur la ligne de n’importe quelle entrée (dans la colonne créée pour le contrôle) pour vérifier le mot de passe.
2 Sélectionnez plusieurs éléments, cliquez avec le bouton droit de la souris sur la sélection et choisissez Entrées sélectionnées > et Have I Been Pwned?.
Le plugin vérifie automatiquement tout mot de passe mis à jour par rapport à la base de données.
Il vérifie aussi le hachage du mot de passe par rapport à la base de données de hachage pour déterminer s’il y a eu une fuite.
Un résultat positif ne signifie pas nécessairement que le mot de passe est connu de tiers, car il dépend de la force du mot de passe et de la capacité du tiers à le décrypter.
Ce que vous pouvez faire avec les mots de passe divulgués.
Il est toujours recommandé de changer les mots de passe qui se trouvent dans la base de données d'Have I Been Pwned.
Il vous suffit de visiter le site ou le service en question et de lancer le processus de changement de mot de passe sur le site.
Vous pouvez utiliser KeePass pour générer des mots de passe sécurisés qui sont vérifiés automatiquement par rapport à la base de données d'Have I Been Pwned afin que vous puissiez également les vérifier à cette occasion.
Conclusion.
Le principal avantage de cette méthode est que tous les contrôles sont effectués localement.
L’inconvénient est que vous avez besoin de télécharger régulièrement de nouvelles versions pour vérifier par rapport à la dernière version du fichier de base de données de mots de passe divulgués.
Et vous, quel gestionnaire de mots de passe utilisez-vous ?
Ginbi2.
Les autres articles de Ginbi2 :
***
Vous avez envie comme Ginbi2 de publier sur Sospc un article sur un sujet qui vous passionne ?
Je vous propose de vous rendre ICI pour en savoir plus.
Christophe, Administrateur.