Justification du KeePass [fermé]

13

J'ai personnellement environ 20 comptes (mon identifiant personnel sur de nombreuses machines). Pour les comptes "système" partagés, il y en a environ 45 par environnement; développement, test et production. J'ai accès à 2 d'entre eux, donc mon total personnel se situe autour de 115 comptes. Les mots de passe doivent comprendre au moins 15 caractères avec des contraintes de complexité étendues mais standard et doivent être modifiés tous les 60 jours environ (comptes système chaque année). Ils ne devraient pas non plus être les mêmes pour différents comptes, mais cela n'est pas appliqué. Pensez aux normes de type DoD. Il n'y a aucun moyen de s'en souvenir et de se tenir au courant. Ce n'est tout simplement pas humainement possible, en ce qui me concerne.

Cela pourrait être une bonne justification d'un système de gestion de compte centralisé, à la LDAP ou ActiveDirectory, mais c'est une bataille totalement différente.

Actuellement, la solution est une feuille de calcul Excel. Ils utilisent Excel pour y mettre un mot de passe, puis la plupart des gens font une copie et suppriment le mot de passe. Cela me fait tourner l'estomac.

J'utilise KeePass pour ce problème et il gère très bien tout mon compte. J'aime les fonctionnalités telles que la saisie automatique, le regroupement, les plugins, la génération de mots de passe, etc. Il utilise le cryptage AES-256 via le framework .Net, et bien qu'il ne soit pas compatible FIPS, il a une très bonne réputation.

Le seul problème est qu'ils ne nous permettent pas d'utiliser des logiciels téléchargés au hasard. Nous devons donc justifier chaque logiciel sur nos postes de travail. On m'a dit qu'ils ne voulaient vraiment pas que j'utilise cela, en raison de la "nature sensible" du stockage des mots de passe. soupir Ma justification doit être "TRÈS TRÈS forte".

J'ai été chargé de rédiger une justification pour KeePass, je voudrais toute contribution que je peux obtenir de la communauté. Que recommandez-vous? Y a-t-il quelque chose de mieux ou de plus respecté que KeePass? Y a-t-il des experts en sécurité qui disent des choses intéressantes sur ce sujet? Tout va aider à ce stade. Merci.

Jeff Walker
la source
autant que j'aime cette question (bien qu'elle soit un peu subjective et plus discutée que nous ne le souhaitons), je pense qu'elle est plus appropriée pour notre site frère pour les professionnels de l'informatique, Server Fault . ne pas crosspost; il sera migré si nécessaire.
Quack Quichote
Déjà fermé? Je suis probablement d'accord avec le charlatan, je n'étais pas vraiment clair sur la différence entre le superutilisateur et le défaut de serveur. Je ne suis toutefois pas d'accord avec la clôture. Bien qu'une justification de la gestion des mots de passe soit un peu étroite, la discussion sur la justification de la gestion des mots de passe est nécessaire dans la communauté. Pas assez de cela est utilisé et / ou discuté. Merci quand même.
Jeff Walker

Réponses:

12

Je suis un utilisateur de KeePass depuis longtemps, et si j'étais chargé de la justification, je ferais probablement ce qui suit:

  • Parcourez la FAQ des sites pour tous leurs détails sur la sécurité. Tout ce que j'y ai vu se vendra pratiquement.
  • Montrez la longévité et le soutien du projet, indiquant qu'il ne sera pas abandonné de si tôt.
  • Montrez quelques fonctionnalités, telles que le fait que les mots de passe sont affichés cryptés par défaut (vous ne savez pas si vous mettez un masque dans la feuille de calcul Excel ou non). Cela seul empêche les regards indiscrets.
  • Vous pouvez double-cliquer sur l'entrée de mot de passe pour la copier dans le presse-papiers et la faire vider automatiquement en 10 secondes. Cela garde le mot de passe à l'abri des regards.
  • Montrez comment la base de données de mots de passe elle-même peut être verrouillée via un mot de passe, un fichier de clé ou même un compte Windows, ce qui vous permet de stocker la base de données de mots de passe dans un emplacement central et de la gérer de cette façon.
  • Le générateur de mots de passe vous aide à obtenir des mots de passe non "conviviaux" qui peuvent être générés dans presque n'importe quel format que vous souhaitez.

L'essentiel est que vous obtenez une base de données solide pour stocker les mots de passe qui peuvent être gérés et transférés sans craindre d'être piratés. De plus, il existe de nombreuses fonctionnalités qui simplifient la gestion des mots de passe, ce qui contribue à la vue d'ensemble.

J'espère que cela vous donne quelques idées à considérer. Je ne suis pas du tout impliqué dans le programme, j'adore ça. Je l'utilise quotidiennement à la maison et au travail.

Dillie-O
la source
4
Je suis également un utilisateur de longue date. J'ajouterais également que le développeur est sensible aux rapports de bogues avec l'application et essaie de les résoudre rapidement.
Mike Chess
Je voudrais également mentionner que la Commission européenne parraine des primes pour trouver des failles de sécurité dans KeePass 2.x depuis 2019 (l'audit de l'UE Keepass en 2016); Aussi keepass.info/ratings.html peut aider à convaincre aussi bien.
xaa