Keepass2Android Review

Keepass2Android

ProPrivacy.com But
8 sur 10

Sommaire

Keepass2Android (K2A) est un port souse ouvert de l'excellent gestionnaire de mots de passe KeePass pour Windows vers la plate-forme Android.

Les avantages

Il existe un certain nombre de ports KeePass pour Android. La plupart d'entre eux sont open source et peuvent ouvrir et manipuler des fichiers KeePass réguliers. J'utilise K2A car:

  1. Il a une bien meilleure intégration Android que les autres ports Keepass. Ou, en effet, que la plupart des produits commerciaux que nous avons examinés.
  2. Il ne dépend pas de la fonction de presse-papiers non sécurisée d'Android pour fonctionner. Ces deux avantages sont liés à la fonction de clavier personnalisé de K2A (voir ci-dessous).

Désavantages

Le principal inconvénient de K2A est qu'il n'est disponible que via le Google Play Store, et est donc mis à jour via les services Google Play. Cela signifie que, en théorie, Google pourrait à tout moment insérer du code malveillant dans une mise à jour.

Nous sommes à l'aise avec le compromis entre ce risque et les avantages énumérés ci-dessus. Pour ceux qui se méfient de Google, je recommande d'utiliser à la place KeePass DX ou KeePass Droid.

Ces deux applications sont disponibles sur F-Droid et atténuent le problème du presse-papiers avec un délai d'expiration du presse-papiers. Ce n'est pas aussi sûr que la solution de clavier K2A mais minimise le problème.

Le clavier K2A

La plupart des gestionnaires de mots de passe Android (y compris la plupart des ports KeePass) fonctionnent à l'aide de la fonction de presse-papiers intégrée d'Android. Cela vous permet de copier et coller les noms d'utilisateur et les mots de passe d'une base de données KeePass ouverte vers l'application ou la page Web où ils sont nécessaires.

«De nombreuses applications [de mot de passe] ignorent complètement le problème du reniflage du presse-papiers, ce qui signifie qu'il n'y a pas de nettoyage du presse-papiers une fois que les informations d'identification y ont été copiées. [...] Nous avons constaté que, par exemple, les fonctions de remplissage automatique des applications pouvaient être utilisées abusivement pour voler les secrets stockés de l'application de gestion des mots de passe en utilisant des attaques de «phishing caché». »

K2A résout ce problème en fournissant son propre clavier. Cela peut accéder directement à la base de données KeePass et entrer des noms d'utilisateur et des mots de passe dans des formulaires sans avoir besoin de stocker des données dans le presse-papiers d'Android.

Le clavier est également bon pour l'intégration Android, car il fonctionne avec toutes les applications. Aucune forme d'intégration personnalisée ou de module complémentaire de navigateur n'est nécessaire. Il peut être installé à côté d'autres claviers, peut être facilement échangé avec d'autres claviers.

Nous trouvons le clavier K2A un peu basique pour une utilisation quotidienne comme clavier Android. Il ne comporte aucune prédiction de texte, par exemple, aucune correction automatique personnalisée ou entrée de balayage sophistiquée.

Clavier Keepass

Mais ce n'est pas nécessairement une mauvaise chose. Ces fonctionnalités peuvent constituer un grave risque pour la confidentialité. Le clavier K2A, d'autre part, est complètement autonome et n'envoie aucune information à personne.

Cependant, nous sommes à l'aise de sacrifier un peu d'intimité pour plus de commodité, et n'utilisons donc que le clavier K2A pour saisir des mots de passe. Désolé, mais je suis juste paresseux! Pour les plus soucieux de leur vie privée, le clavier K2A serait un excellent pilote quotidien.

Fichiers KeePass de synchronisation dans le cloud

Il est facile de synchroniser en toute sécurité les mots de passe entre les appareils à l'aide de n'importe quel service cloud. Cela inclut les goûts de Dropbox et de Google Drive. Avant de vous opposer, je suis bien conscient que des services comme celui-ci sont un cauchemar pour la vie privée. Le truc c'est que ça n'a pas d'importance.

Chaque fichier .kbdx est chiffré par vous-même à l'aide d'un chiffrement solide comme le roc. Par défaut, K2A utilise un chiffrement AES-256 avec l'authentification de hachage SHA-256. C'est très sûr, mais des options encore plus fortes sont disponibles.

La seule façon d'accéder au fichier est d'utiliser un mot de passe principal qui ne doit être connu que de vous-même. Alors choisissez-en un bon! Il existe également la possibilité d'améliorer encore la sécurité en exigeant qu'un fichier clé (créé par vous-même) soit présent lors de l'ouverture du fichier .kbdx.

En d'autres termes, personne n'ouvrira un fichier .kbdx correctement sécurisé, quel que soit le mode de stockage public.

Le vrai paranoïaque, cependant, peut stocker un fichier .kbdx localement sur leurs appareils Android et le synchroniser manuellement avec les fichiers .kdbx stockés sur d'autres appareils à l'aide d'un câble USB ou similaire. Si vous ne prévoyez pas d'utiliser les fonctionnalités de synchronisation en ligne de K2A, vous pouvez utiliser à la place l'installation de Keepass2Android Offline uniquement hors ligne.

Les mots de passe sont synchronisés en ligne chaque fois que vous enregistrez des modifications dans la base de données. En effet, tous vos programmes KeePass sur tous vos appareils peuvent accéder au fichier .kbdx.

Utilisation de K2A

Configuration et ouverture d'une base de données K2A

Veuillez noter que la politique de sécurité de K2A ne permet plus de prendre des captures d'écran des bases de données ouvertes. Afin d'illustrer le fonctionnement de KeePass2Android, j'ai donc utilisé quelques captures d'écran de Google Play Store.

Installez Keepass2Android Password Safe depuis le Google Play Store. Les seuls privilèges requis sont:

  • Accès à la carte SD
  • Accès Internet (installez K2A hors ligne si vous ne souhaitez pas accorder ce privilège)
  • Vibrer

Lorsque vous ouvrez K2A pour la première fois, vous avez la possibilité d'ouvrir une base de données KeePass existante (fichier .kbdx) ou d'en créer une nouvelle.

Fichier Keepass2android

Si vous ouvrez un fichier .kbdx existant, KeePass2Android prend en charge une large sélection de services cloud populaires, ainsi que diverses solutions d'auto-hébergement (y compris le stockage local). Connectez-vous simplement à votre service / solution personnelle si nécessaire et accédez à votre fichier .kbdx stocké.

Lier Keepass2Android avec des applications tierces

Alternativement, vous pouvez créer une nouvelle base de données KeePass. Par défaut, cela utilise un chiffrement AES-265, mais vous pouvez le changer en ChaCha20 ou Twofish-256. La dérivation de clé utilisée est AES-KDF avec 500 000 tours de chiffrement par défaut, mais peut être modifiée en Argon2 si vous préférez.

Vous pouvez également créer un fichier de clé pour améliorer la sécurité. Ce fichier doit être présent pour que la base de données soit ouverte. Ce fichier ne doit pas être stocké en ligne. Vous devriez plutôt en stocker des copies localement sur n'importe quel appareil avec lequel vous souhaitez ouvrir le fichier .kbdx (ou pour les vraiment paranoïaques, emportez-en une seule copie avec vous sur une clé USB bloquée ou similaire).

Pour plus d'informations sur la création d'une base de données KeePass, veuillez consulter mon examen complet de KeePass.

mot de passe maître keepass2android

Une fois qu'un fichier .kbdx a été localisé ou créé, vous pouvez l'ouvrir de deux ou trois façons:

  1. Déverrouillage par mot de passe - entrez simplement le mot de passe complet ou la phrase secrète que vous avez créée lors de la configuration de la base de données.
  2. Déverrouillage rapide (facultatif) - si une base de données a déjà été ouverte à l'aide de son mot de passe / phrase de passe complet, elle peut être rapidement rouverte en utilisant uniquement les dernières lettres du mot de passe / de la phrase de passe (trois par défaut). Bien sûr, ce n'est pas aussi sûr que d'utiliser le mot de passe complet à chaque fois. Mais c'est très pratique.
  3. Déverrouillage par empreinte digitale (facultatif). Si votre appareil dispose d'un scanner d'empreintes digitales, vous pouvez l'utiliser pour déverrouiller un fichier .kbdx. Cela remplace la nécessité de saisir le mot de passe complet ou simplement le mot de passe de déverrouillage rapide.

Dans tous les cas, le fichier de clé doit être présent si la base de données .kbdx en requiert un.

La base de données

Les mots de passe peuvent être organisés en groupes.

Capture d'écran de la base de données de démonstration Keepass2Android

Vous pouvez créer de nouveaux mots de passe, inspecter et modifier les détails du mot de passe.

Exemple d'entrée Keepass2Android

Intégration Android

Vous pouvez couper et coller les noms d'utilisateur et les mots de passe de la base de données, mais comme indiqué précédemment, ce n'est pas très sécurisé. Le problème est atténué par un délai d'expiration du presse-papiers (5 minutes par défaut, mais cela peut être modifié), mais il est également assez lourd.

Cependant, où KeePass2Android est à des kilomètres de ses rivaux, c'est dans son intégration Android.

Le service de remplissage automatique Android

Depuis Android 8.0 Oreo, K2A peut s'intégrer au nouveau service Android Autofill. En théorie, cela propose automatiquement de saisir les noms d'utilisateur et les mots de passe partout où vous les rencontrez sur votre appareil - que ce soit dans votre navigateur ou dans les applications.

Utilisation de Keepass2Android avec remplissage automatique

En pratique, le support reste un peu inégal pour le moment. Google Chrome, par exemple, qui propose son propre mot de passe à un manager, refuse obstinément de jouer au jeu. Cependant, la fonctionnalité fonctionne parfaitement dans de nombreuses applications, et je l'ai trouvée une aubaine lors de la connexion à des comptes à l'aide du navigateur Firefox pour Android..

Lorsqu'il fonctionne (ce qui est la plupart du temps et est particulièrement utile dans Firefox), le service de remplissage automatique Android rend ridiculement facile l'utilisation de K2A..

La saisie au clavier

Pour les utilisateurs d'appareils plus anciens et lorsque les applications n'adopteront pas le service de remplissage automatique Android, la principale façon dont K2A s'intègre à Android est via son clavier. Il est installé à côté de l'application principale et peut être remplacé à chaud avec votre clavier normal si vous le souhaitez. C'est le moyen le plus sûr de saisir les informations d'identification et il est assez pratique. Il fonctionne également avec n'importe quel champ de mot de passe dans n'importe quelle application.

Sur mon téléphone Samsung, il est très facile de basculer entre les claviers une fois qu'ils ont été installés.

Keepass2Android change keyboard

Pour saisir des noms d'utilisateur et des mots de passe dans n'importe quelle page Web ou application Android, sélectionnez l'icône spéciale KeePass du clavier. Cela ouvre la possibilité de sélectionner une entrée dans votre base de données KeePass ou de laisser K2A essayer de rechercher la bonne pour vous.

Je dois admettre que je trouve que la fonction de recherche est très aléatoire, alors choisissez généralement moi-même une entrée. Si la base de données .kbdx n'est pas déjà ouverte, vous devrez l'ouvrir en utilisant l'une des méthodes décrites ci-dessus.

Connexion utilisateur Keepass2Android

Une fois la bonne entrée trouvée ou sélectionnée, K2A passe en mode de remplissage automatique. Sélectionnez simplement le champ de saisie correct et choisissez Utilisateur ou Mot de passe et le clavier saisira les informations. Facile!

Écran de connexion ProtonMail

Vous pouvez revenir au clavier conventionnel en appuyant sur le bouton ABC.

Intégration du navigateur

Comme déjà indiqué, K2A est incroyablement facile à utiliser sur les téléphones plus récents dans les navigateurs prenant en charge le service de remplissage automatique Android. Même sans cela, cependant, cela fonctionne assez bien dans n'importe quel navigateur.

Sur une page Web avec une connexion, utilisez simplement la fonction de partage de votre navigateur pour partager avec K2A.

Intégration du navigateur KeePass2Android

Déverrouillez votre base de données KeePass et K2A devrait déjà avoir trouvé la ou les entrées correctes. Je trouve que la recherche d'entrées de cette manière est plus efficace que l'utilisation de la fonction de recherche au clavier.

Vous devez toujours utiliser le clavier K2A en mode de remplissage automatique pour entrer les détails, sauf si le plug-in KeyboardSwap for K2A est installé et correctement configuré..

Conclusion

Grâce à sa nature open source de bout en bout, KeePass est le seul gestionnaire de mots de passe que je recommande vraiment *. KeePass2Android en est un excellent portage. Il est entièrement compatible avec les fichiers de base de données KeePass 2.x réguliers, se synchronise sur tous les appareils de manière transparente et s'intègre bien mieux avec Android que tout autre port KeePass que j'ai fatigué.

Sa dépendance à l'égard des services Google Play est un inconvénient, et ce serait formidable de voir une version F-Droid de l'application. À mon avis, cependant, ce problème est compensé par la sécurité supplémentaire offerte par la méthode de saisie au clavier dédiée.

* Depuis la rédaction de cet avis, je recommande également le gestionnaire de mots de passe open source Bitwarden.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me