En effaçant mon compte mozilla j’ai aussi décidé d’arrêter le gestionnaire de mot de passe de firefox, qui sans synchronisation n’est juste plus assez pratique. Le site de Librewolf (un fork de firefox sans la télémétrie et avec des options par défaut plus orientées vie privée) recommande KeePassXC, donc j’ai essayé puisqu’il est dans les dépôts de debian.

J’ai importé le CSV que le gestionaire de mots de passe de firefox peut exporter, et j’ai activé l’option de l’importeur de KeePassXC pour utiliser la première ligne pour nommer les colonnes. Après il faut faire correspondre manuellement les champs en commun : url, utilisateur, mot de passe, et pour le titre j’ai juste mis l’url. Je dis ça comme si c’était facile mais j’ai du m’y reprendre à deux-trois fois pour trouver cette solution.

Bref, depuis un peu plus d’une semaine j’explore KeePassXC, et je me rends compte que c’est vraiment juste un bon logiciel : pas de crash intempestif, rapide, plein d’astuces ergonomiques (notamment sur les raccourcis clavier), et si les options sont un peu fouillies, ça reste clair et on est loin de la difficulté de configuration par GUI d’un kmail, ou de devoir lire le code source pour savoir ce qu’on peut mettre dans un fichier de configuration (exemple récent pour moi, Readeck).

Il y a une extension pour navigateurs, elle aussi très bien, mais si on utilise pas les navigateurs les plus connus, il faut aller dans paramètres > Intégration aux navigateurs > Avancé, et corriger le chemin dans “Emplacement de configuration”. Avec librewolf c’est ~/.librewolf/native-messaging-hosts. Elle peut mettre la fenêtre de keepass au premier plan pour déverrouiller la base de données de mots de passe, mettre à jour des identifiants, et en rajouter.

KeePassXC a aussi dans le menu “base de données” l’option “Rapport de base de données” qui ouvre une sous-fenêtre très utile pour voir les mots de passe faibles et ceux qui sont réutilisés. Il y a aussi une option pour comparer ses mots de passe à une base de donnée publique des mots de passe compromis.

Si vous utilisez des clés SSH, KeePassXC peut aussi les sauvegarder, avec le mot de passe de déchiffrement, et les envoyer à un agent SSH. Après avoir activé le mode client d’agent SSH dans les paramètres généraux, on crée une nouvelle entrée dans la base de données des mots de passe, on va sur la section “Agent SSH”, et on peut lui donner le fichier de clé privée. On peut aussi d’abord dans “Avancée” mettre en pièce jointe la clé privée, et ensuite dans “Agent SSH” lui dire que c’est elle la clé privée. Le logiciel peut automatiquement les envoyer à l’agent SSH quand on déverrouille la base de données.

Enfin, sur android, il y a KeePassDX qui fait presque aussi bien, et peut lire les bases de données de KeePassXC.

Alors non, il n’y a pas de synchronisation automatique. Ou alors il faut utiliser un partage samba ou webdav ou utiliser dropbox/onedrive/etc ou utiliser syncthing, dans lesquels on mettra juste ses bases de données keepass.

Perso j’ai opté pour la copie manuelle de la base de données. D’ailleurs KeePassXC et DX offrent la possibilité de fusionner des bases de données. Je préfère ça car sinon ça veut dire avoir un service H24 exposé à internet, et si c’est pas trop grave pour un webdav avec des images de catboys, ou ma liste de podcasts dans gpodder2go, pour une base données de mots de passe, même chiffrés, j’étais pas fan.