KeePassXC — avec / sans fichier clé et/ou YubiKey • Cyber Security Roanne

KeePassXC — avec / sans fichier clé et/ou YubiKey

Créez un coffre .kdbx robuste : mot de passe maître seul, + fichier clé, + YubiKey (challenge-response), ou combinaison. 100% local : vos notes restent dans sessionStorage.

🧩 Multi-facteur 🔐 Hors ligne 💻 Windows / macOS / Linux 🖨️ PDF

1) Choisir votre modèle de protection

A — Mot de passe maître
Rapide, suffisant si passphrase 16+ et 2FA sur les comptes.

B — Mot de passe + fichier clé
Deux facteurs : stocker la clé séparément (clé USB), jamais dans le cloud.

C — Mot de passe + YubiKey (HMAC-SHA1)
Nécessite de configurer la YubiKey en challenge-response.

D — Mot de passe + fichier clé + YubiKey
Le plus fort — prévoir 2 YubiKey configurées.

J’ai 2 YubiKey (primaire + secours) Je veux ouvrir le coffre sur mobile

2) Créer le coffre (.kdbx)

Ouvrir KeePassXC → Base de données > Nouvelle.
Définir un nom et une passphrase (16+).
(Option) Ajouter un fichier clé si modèle B/D.
(Option) Ajouter une YubiKey (challenge-response) si modèle C/D (insérer la clé et suivre la demande).
Paramètres par défaut OK (Argon2id). Enregistrer le fichier .kdbx.

Emplacement du coffre (.kdbx)

Emplacement du fichier clé (.keyx) si utilisé

3) Configurer la YubiKey (HMAC-SHA1 challenge-response)

Installer YubiKey Manager (Yubico). Ouvrir > Applications > OTP > Challenge-Response.
Choisir Slot 2 (recommandé) > HMAC-SHA1 > Generate et valider. Refaire pour la seconde YubiKey avec le même secret (sauvegardez-le temporairement en lieu sûr puis détruisez-le).
Dans KeePassXC : créer/changer la clé de base > cocher YubiKey challenge-response > présenter la clé quand demandé.

Conseil : gardez une clé sur vous, l’autre hors site. Testez l’ouverture du coffre avec les deux.

4) Sauvegarde & synchronisation

OK de synchroniser le .kdbx (cloud). Ne synchronisez jamais le fichier clé dans le même cloud.
Plan 3-2-1 : copie locale + sauvegarde hors-site. Notez l’emplacement de la clé physique.
Conservez votre passphrase maître dans un gestionnaire (ou scellée papier si besoin).

5) Mobile & compatibilité

Android/iOS : apps KeePass (ex. KeePassDX, KeePassium) lisent .kdbx + fichier clé. Le challenge-response YubiKey n’est pas toujours supporté sur mobile.
Si usage mobile requis, préférez modèle B (fichier clé) ou B+D (coffre ouvert avec fichier clé sur mobile, YubiKey utilisée sur PC).

6) Perte d’un facteur

Perte YubiKey : utilisez la seconde. Sans doublon, l’accès est perdu.
Perte fichier clé : impossible d’ouvrir le coffre sans sauvegarde de la clé + passphrase.
Oubli passphrase : irrécupérable. Conservez un rappel en lieu sûr.

7) Modèle “Procédure KeePassXC” (copier-coller)

Cliquez pour copier le modèle puis adaptez-le à votre contexte.

PROCÉDURE KEEPASSXC — SYNTHÈSE 1) Modèle : D (mot de passe + fichier clé + 2×YubiKey). 2) Coffre : .kdbx synchronisé ; fichier clé hors cloud (clé USB dédiée). 3) YubiKey : 2 clés configurées HMAC-SHA1 (slot 2), testées. 4) Passphrase : 16+ caractères (passphrase) ; stockée dans un coffre mdp/boîte scellée. 5) Sauvegarde : plan 3-2-1 ; journal des tests d’ouverture trimestriels.

8) Notes (journal interne)

Vos notes

Retour à l’accueil