MFA - KeePass 2XC (~10 minutes)

Mettre en place une solution de 2FA lorsque l'utilisateur ne dispose pas d'un téléphone professionnel Rédigé par Julien Blancquart - 12/12/2023

Cet article est destiné aux assurés Stoïk pour lesquels une partie ou la totalité de sa population ne dispose pas de téléphone professionnel et souhaite tout de même déployer une solution de double authentification sécurisant les accès distants pour :

  • Les accès VPN (Fortinet, Sophos, OpenVPN), RDG (Remote Desktop Gateway)
  • L'accès messagerie lors d'un accès partagé
  • L'accès à des applications SaaS sensibles.

Nous vous recommandons avant tout de consulter cet article (FIXME tableau récapitulatif des solutions de 2FA) afin de vérifier si une solution plus sécurisée serait envisageable pour vos utilisateurs (type Yubikey).

Notre choix s'est porté sur KeePass 2XC, qui à débuté comme une dérivation du gestionnaire KeePass et qui s'est imposé comme une référence du gestionnaire de mot de passe. Le dernier audit de sécurité date de 2022.

Installer KeePass 2XC pour Windows

Téléchargez puis installez l'application KeePass en suivant la procédure d'installation décrite par l'installeur.

Configurer KeePass 2XC comme TOTP - Gmail

  1. Connectez vous sur votre compte Gmail
  2. Cliquez sur Security, puis sur 2-Step-Verification

step_1-1

3. Cliquez ensuite sur Set-up Authenticator

step_2

4. Puis sur Can't scan it, la fenêtre suivante va vous transmettre une clé secrète que vous introduirez dans la prochaine étape dans KeePass 2CX:

step_3

3. Configurer KeePass 2XC

Dans l'application KeePass 2XC, cliquez sur Entry, puis New Entry pour configurer votre nouvelle entrée référence.

Faites ensuite un clic droit sur cette entrée puis sur TOTP -> Configure TOTP:

step_4

Rentrez ensuite la phrase secrète affichée dans l'étape précédente:

step_6

Votre TOTP est dorénavant configuré. Lorsque vous avez besoin de ce TOTP, vous pouvez le récupérer en faisant un clic droit sur l'entrée dans KeePass 2CX puis en sélectionnant Show TOTP:

step_5

Note : Pensez à faire des sauvegardes régulières de cette base de données KeePass 2CX car elle est sauvegardée en local, c'est à dire sur le disque dur de votre ordinateur. Dans le cas d'une infection de celui-ci ou d'une perte / endommagement, ces informations seraient perdues.

Vous pouvez inclure ce fichier KeePass dans votre processus de sauvegardes immuables ou effectuer des sauvegardes régulières sur un support déconnecté comme une clé USB par exemple.