Bitwarden simplifie l’installation sur son propre serveur, mais est-ce une bonne idée ?
Nicolas Furno |
La débâcle LastPass, dont l’infrastructure attaquée pendant l’été a conduit à la récupération des mots de passe des utilisateurs, a relancé les débats sur les gestionnaires de mots de passe. S’ils permettent bien de renforcer la sécurité des identifiants sur le web en générant des mots de passe forts et uniques à chaque site ou service, ils peuvent aussi constituer le talon d’Achille si le coffre virtuel qui stocke ces mots de passe est vulnérable.
Bonne nouvelle 🎉 Je vais suivre l’évolution de cette image.
Merci pour l’information 😊
murapom |
Finalement qui est le plus sécurisé (pour mdp uniquement) : le trousseau -1password ou Bitwarden ?
thierry37 |
@murapom
Trousseau puisqu'ils ne gardent pas nos mots de passe sur leurs serveurs, mais pas autant de fonctions que 1Password.
valcapri |
@thierry37
Uniquement si tu ne le synchronise pas via iCloud. Sinon, c’est quand même stocker sur les serveurs d’iCloud. Maintenant, la double authentification demande par Apple est de très bonne facture et l’est encore plus avec les clés de sécurité et le chiffrement complet ( sauf pour Mail, Calendrier) disponible de bout en bout.
Et il me semble qu’Apple demande d’autres confirmations avant de relancer le processus de synchronisation du trousseau.
Sometime |
@murapom
puisque l’on pose la question a la lumière de de qui s’est passé pour LastPass, cela depend principalement de deux choses:
- la sécurité des infrastructures
- la protection des données sensibles elle-meme.
Sur le premier point, difficile de trancher. On a vu ce qui est arrivé pour LastPass. On peut a tout le moins noter que tout ce qui est fait par un particulier a la maison peut souffrir de limites qui rendent les choses peu sécurisées.
Sur le second une recherche rapide ne permet pas de trancher, mais il semble que Bitwarden utilise peu ou prou le meme schéma que Lastpass: une clé de chiffrement obtenue en étendant le mot de passe maitre: la sécurité est donc probablement très liée a la qualité du mot de passe initial.
iCloud semble utiliser des clés asymétriques, et le processus de synchronisation est plus complexe. Enfin d’après le recent article ici 1Password semble utiliser un mécanisme de chiffrement plus fort - avec des clé fortes générée sur l’appareil
Bref tout ceci est a verifier et je n’affirme rien, mais ca tend a montrer que les choses ne sont pas si simples.
Pour le trousseau Apple, je n'aime pas le fait qu'il faille bricoler dans les préférences pour retrouver un enregistrement par rapport a un site que l'on est entrain de visiter. Avec 1P il est simple d'avoir la liste des enregistrements : on clique sur le bouton 1P !
thierry37 |
Ce serait bien si le trousseau pouvait nous ajouter une ou deux fonctions, pour sauver autre chose que les simples mot de passe....
Au passage se 1Password 8 avec abonnement, j'ai essayé de m'en passer pour tout rajouter sur trousseau iCloud... mais il me manque souvent les cartes bancaires et autres infos sécurisées comme un compte bancaire, etc...
Brice21 |
@thierry37
"les cartes bancaires "
Elles sont dans Safari, désormais avec le CVC.
bunam |
@thierry37
Dans 1P j'ai aussi les licences logicielles...
Maintenant il y a la 2FA pour Paypal qui est très bien faite (même trop on va dire)
murapom |
@thierry37
Effectivement il manque quelques fonctionnalités sur le trousseau, mais quand toutes les notes pourront être sécurisées (facilement) j’avoue que 1password ne me sera plus indispensable - J’utilise aussi bien entendu des postes Win10 et 1 sous Mint mais sans gestionnaire de mdp …
thierry37 |
@murapom
Il y a un petit truc qui me manque vraiment sur Apple Watch. C'est la facilité à afficher ma carte VISA (virtuelle / usage internet) pour faire mes paiements sur site ponctuel.
1password le fait tellement bien.
C'est la chose qui me manquait le plus au quotidien quand j'ai essayé de me débarrasser de 1P pour iCloud.
Mais c'est pas les 2-3 paiements dans le mois qui m'obligent à payer un abonnement pour avoir la Visa sur ma watch... :-)
murapom |
@thierry37
Effectivement c’est bien pourquoi j’envisage sérieusement de passer au trousseau.
Concernant les Notes je vais probablement mettre un cadenas sur pratiquement 80% en attendant la nouvelle sécurisation.
charly20 |
KeePass avec Strongbox : mes données sont stockées sur iCloud et non pas un service tiers comme LastPass ou 1Password.
Je n’ai pas confiance que mes mots de passe soient stockées par une sociétés tierces.
Dans la cas d’iCloud, c’est juste un service cloud. Apple a bien plus de resources financières pour assurer la sécurité, qu’une petite société Canadienne (1Password).
Sometime |
@charly20
c’est un raisonnement qui a ses limites. Ce n’est pas parce que vous êtes plus gros ou avez plus de moyens que vos systèmes sont nécessairement plus sécurisés.
Je savais que 1Password avait levé plusieurs centaine de millions de $.
Ce n’est rien par rapport aux $200 milliards en cash qu’Apple a en banque.
1Password est très petit par rapport à Apple avec des moyens bien plus limités.
Je ne fais pas confiance de donner mes passwords chez eux. Par contre, je prends le risque de la solidité d’iCloud.
C’est un choix personnel.
mauy |
Précisons que vaultwarden est le backend où les applications mobiles ou plugins de bitwarden se connectent à la place de la version officielle (le serveur donc) mentionnée dans l’article. Les deux sont donc compatibles.
Toutefois il faut garder à l’esprit que bitwarden paye des audits externes pour valider le code de l’ensemble de écosystème en termes de sécurité. Ce qui n’est pas le cas de vaultwarden qui est un projet indépendant qui n’a pas de lien avec bitwarden en dehors de se connecter à ses logiciels clients.
A titre personnel, j’ai une instance de base avec les divers containers requis bitwarden qui fonctionne dans une VM chez OVH avec 1vCPU et 2 GB Ram et qui est en dessous des minima requis normalement et qui coûtent le prix d’un café ou deux par mois. Cela fonctionne très bien pour un usage personnel.
Par ailleurs , l’installation est très simple si vous suivez la documentation officielle d’autant que le gros est fait par le script qu’il faut télécharger sur le serveur cible.
Mais il est clair qu’il faut savoir un minimum ce qu’on fait surtout pour la partie serveur et sauvegarde. L’avantage des approches self host pour moi étant de ne pas dépendre d’un fournisseur ou fabricant et surtout de ne pas leur faire confiance par défaut avec le cœur de sa sécurité numérique sans devoir pour autant sacrifier la facilité d’usage. Ce que vous vend finalement LastPass, 1password ou Dashlane. Ou même Bitwarden dans sa version payante complètement gérée.
Facilité d’usage perdue lorsqu’on part sur des solutions comme Keepass au profit d’une sécurité encore accrue.
powergeek |
Si seulement on pouvait avoir accès au Trousseau sur des appareils non Apple...
Brice21 |
@powergeek
"Si seulement on pouvait avoir accès au Trousseau sur des appareils non Apple..."
Tu as accès au Trousseau sur des PC sous Windows.
Faabb |
@powergeek
C’est possible avec Windows 10/11 : Apple développe une extension Edge qui permet d’accéder à ses mots de passes du trousseau iCloud. Je m’en sers, ça fait le travail.
balooforever |
Pour la part j ai abandonné l i stance auto hébergé Bitwarden (petit passage chez Vaultwarden mais je ne me voyais pas l exposé sur le net pour des raisons de sécurité) pour Enpass qui me convient très bien (en achat unique bien entendu :))
Malouin |
Monsieur MacGe, votre affirmation est fausse : « la récupération des mots de passe des utilisateurs ».
Les mots de passe étaient cryptés par un mot de passe maître.
Même si vous avez raison sur la forme, vous avez tort sur le fond.
Et je trouve ça navrant pour un début d’année !
Nicolas Furno |
@Malouin
Ben non, ils ont bien récupéré les mots de passe. Je n’ai pas écrit « en clair », qu’ils soient chiffrés n’enlève rien au fait qu’ils les ont. 🤔
Malouin |
@nicolasf
C’est vrai…
Mails crypté, cela ne sert pas à grand chose.
Même si cela reste un vrai souci pour les malheureux utilisateurs de ce service.
Bilbo |
La sécurité de Bitwarden est basée sur le chiffrement et c'est pleinement solide si vous avez un mot de passe maître costaud. De mon point de vue, l'autohébergement n'apporte rien en matière de sécurité. Par ailleurs, la pérennité de l'accès à vos mots de passe en ligne est probablement meilleure chez Bitwarden que dans votre NAS ou votre VPS lié à un abonnement. Last but not least, Bitwarden propose une procédure “Emergency Access” qui peut vous sauver la mise en cas d'accident de vie. Certes elle n'est disponible qu'en version Premium (10 € par an) mais les accès d'urgence créés restent en place si vous cessez de payer.
e2x |
Bitwarden même version basique fait un bon remplaçant.
Mais trousseau iCloud restera mon plan b. C’est vrai qu’il est sorti un peu de la zone d’ombre dans lequelle Apple la laisse. Franchement c’est vraiment pas ergonomique ce truc.
Quant à la fonction pourtant très intéressante de proposition automatique des mots de passe (autocomplete), je ne l’estime pas fiable puisque n’apparaissant que lorsqu’elle le souhaite. On se retrouve souvent à ouvrir les paramètres de safari pour chercher manuellement le bon. Ou utiliser les fameuse autres solutions de l’article.
bozzo |
Pour moi, seule solution pour ne pas se trouver dans la situation dans laquelle se trouvent les utilisateurs de Lastoass : ne rien héberger à l’extérieur.
Donc :
- ne pas sauvegarder le Trousseau via iCloud
- ne pas utiliser de serveur Bitwarden à l’extérieur
- ne pas utiliser les serveurs de 1Password.
De plus le mieux est d’avoir ses MDP seulement sur ses machines à soi et d’éviter un serveur personnel à la maison qui nécessite du temps et des compétences pour être géré. Et qui peut être piraté par internet.
Reste le problème de la synchronisation des MDP par exemple entre un ordi et un iPhone.
Pour cela, il faut un gestionnaire de MDP qui permette une synchronisation directe entre l’ordi et le smartphone.
L’ordi sera bien entendu crypté par FileVault et protégé par un MDP solide. Et il faut aussi un MDP solide pour le gestionnaire de MDP.
thierry37 |
@bozzo
C'est sûrement vrai pour quelqu'un qui a besoin d'une sécurité accrue.
Mais on perd aussi en ergonomie...
S'il faut synchroniser manuellement à chaque nouveau mot de passe...
Si on a oublié de le faire et qu'il faut taper manuellement le long mot de passe sur son autre appareil... etc.
bozzo |
@thierry37
La sécurité a un prix…
Ne pas oublier que tout ce qui est crypté même en 128 ou 256 bits sera décrypté un jour. Et peut-être un jour assez proche (moins de 10 ans ?.
bunam |
Appel aux anciens, il y avait un des tout premiers gestionnaires de mot de passe sur mac os 9 ?, son nom commençait par : "web..." il avait une jolie interface toute simple, une idée ?
👍 merci pour ces précisions
Bonne nouvelle 🎉 Je vais suivre l’évolution de cette image.
Merci pour l’information 😊
Finalement qui est le plus sécurisé (pour mdp uniquement) : le trousseau -1password ou Bitwarden ?
@murapom
Trousseau puisqu'ils ne gardent pas nos mots de passe sur leurs serveurs, mais pas autant de fonctions que 1Password.
@thierry37
Uniquement si tu ne le synchronise pas via iCloud. Sinon, c’est quand même stocker sur les serveurs d’iCloud. Maintenant, la double authentification demande par Apple est de très bonne facture et l’est encore plus avec les clés de sécurité et le chiffrement complet ( sauf pour Mail, Calendrier) disponible de bout en bout.
Et il me semble qu’Apple demande d’autres confirmations avant de relancer le processus de synchronisation du trousseau.
@murapom
puisque l’on pose la question a la lumière de de qui s’est passé pour LastPass, cela depend principalement de deux choses:
- la sécurité des infrastructures
- la protection des données sensibles elle-meme.
Sur le premier point, difficile de trancher. On a vu ce qui est arrivé pour LastPass. On peut a tout le moins noter que tout ce qui est fait par un particulier a la maison peut souffrir de limites qui rendent les choses peu sécurisées.
Sur le second une recherche rapide ne permet pas de trancher, mais il semble que Bitwarden utilise peu ou prou le meme schéma que Lastpass: une clé de chiffrement obtenue en étendant le mot de passe maitre: la sécurité est donc probablement très liée a la qualité du mot de passe initial.
iCloud semble utiliser des clés asymétriques, et le processus de synchronisation est plus complexe. Enfin d’après le recent article ici 1Password semble utiliser un mécanisme de chiffrement plus fort - avec des clé fortes générée sur l’appareil
Bref tout ceci est a verifier et je n’affirme rien, mais ca tend a montrer que les choses ne sont pas si simples.
@Sometime
Il y a chez 1Password plusieurs couches de sécurités chacune est la pour ralentir l’éventuelle catastrophe, celles-ci m'avaient marqué :
- https://support.1password.com/forgot-account-password/ (master key)
- https://support.1password.com/pbkdf2/
Je viens de tomber sur leur White Papper (pas encode lu) :
https://1passwordstatic.com/files/security/1password-white-paper.pdf
Pour le trousseau Apple, je n'aime pas le fait qu'il faille bricoler dans les préférences pour retrouver un enregistrement par rapport a un site que l'on est entrain de visiter. Avec 1P il est simple d'avoir la liste des enregistrements : on clique sur le bouton 1P !
Ce serait bien si le trousseau pouvait nous ajouter une ou deux fonctions, pour sauver autre chose que les simples mot de passe....
Au passage se 1Password 8 avec abonnement, j'ai essayé de m'en passer pour tout rajouter sur trousseau iCloud... mais il me manque souvent les cartes bancaires et autres infos sécurisées comme un compte bancaire, etc...
@thierry37
"les cartes bancaires "
Elles sont dans Safari, désormais avec le CVC.
@thierry37
Dans 1P j'ai aussi les licences logicielles...
Maintenant il y a la 2FA pour Paypal qui est très bien faite (même trop on va dire)
@thierry37
Effectivement il manque quelques fonctionnalités sur le trousseau, mais quand toutes les notes pourront être sécurisées (facilement) j’avoue que 1password ne me sera plus indispensable - J’utilise aussi bien entendu des postes Win10 et 1 sous Mint mais sans gestionnaire de mdp …
@murapom
Il y a un petit truc qui me manque vraiment sur Apple Watch. C'est la facilité à afficher ma carte VISA (virtuelle / usage internet) pour faire mes paiements sur site ponctuel.
1password le fait tellement bien.
C'est la chose qui me manquait le plus au quotidien quand j'ai essayé de me débarrasser de 1P pour iCloud.
Mais c'est pas les 2-3 paiements dans le mois qui m'obligent à payer un abonnement pour avoir la Visa sur ma watch... :-)
@thierry37
Effectivement c’est bien pourquoi j’envisage sérieusement de passer au trousseau.
Concernant les Notes je vais probablement mettre un cadenas sur pratiquement 80% en attendant la nouvelle sécurisation.
KeePass avec Strongbox : mes données sont stockées sur iCloud et non pas un service tiers comme LastPass ou 1Password.
Je n’ai pas confiance que mes mots de passe soient stockées par une sociétés tierces.
Dans la cas d’iCloud, c’est juste un service cloud. Apple a bien plus de resources financières pour assurer la sécurité, qu’une petite société Canadienne (1Password).
@charly20
c’est un raisonnement qui a ses limites. Ce n’est pas parce que vous êtes plus gros ou avez plus de moyens que vos systèmes sont nécessairement plus sécurisés.
@charly20
https://www.cbinsights.com/company/agilebits-inc/financials
Bientôt une licorne ?
@bunam
Je savais que 1Password avait levé plusieurs centaine de millions de $.
Ce n’est rien par rapport aux $200 milliards en cash qu’Apple a en banque.
1Password est très petit par rapport à Apple avec des moyens bien plus limités.
Je ne fais pas confiance de donner mes passwords chez eux. Par contre, je prends le risque de la solidité d’iCloud.
C’est un choix personnel.
Précisons que vaultwarden est le backend où les applications mobiles ou plugins de bitwarden se connectent à la place de la version officielle (le serveur donc) mentionnée dans l’article. Les deux sont donc compatibles.
Toutefois il faut garder à l’esprit que bitwarden paye des audits externes pour valider le code de l’ensemble de écosystème en termes de sécurité. Ce qui n’est pas le cas de vaultwarden qui est un projet indépendant qui n’a pas de lien avec bitwarden en dehors de se connecter à ses logiciels clients.
A titre personnel, j’ai une instance de base avec les divers containers requis bitwarden qui fonctionne dans une VM chez OVH avec 1vCPU et 2 GB Ram et qui est en dessous des minima requis normalement et qui coûtent le prix d’un café ou deux par mois. Cela fonctionne très bien pour un usage personnel.
Par ailleurs , l’installation est très simple si vous suivez la documentation officielle d’autant que le gros est fait par le script qu’il faut télécharger sur le serveur cible.
Mais il est clair qu’il faut savoir un minimum ce qu’on fait surtout pour la partie serveur et sauvegarde. L’avantage des approches self host pour moi étant de ne pas dépendre d’un fournisseur ou fabricant et surtout de ne pas leur faire confiance par défaut avec le cœur de sa sécurité numérique sans devoir pour autant sacrifier la facilité d’usage. Ce que vous vend finalement LastPass, 1password ou Dashlane. Ou même Bitwarden dans sa version payante complètement gérée.
Facilité d’usage perdue lorsqu’on part sur des solutions comme Keepass au profit d’une sécurité encore accrue.
Si seulement on pouvait avoir accès au Trousseau sur des appareils non Apple...
@powergeek
"Si seulement on pouvait avoir accès au Trousseau sur des appareils non Apple..."
Tu as accès au Trousseau sur des PC sous Windows.
@powergeek
C’est possible avec Windows 10/11 : Apple développe une extension Edge qui permet d’accéder à ses mots de passes du trousseau iCloud. Je m’en sers, ça fait le travail.
Pour la part j ai abandonné l i stance auto hébergé Bitwarden (petit passage chez Vaultwarden mais je ne me voyais pas l exposé sur le net pour des raisons de sécurité) pour Enpass qui me convient très bien (en achat unique bien entendu :))
Monsieur MacGe, votre affirmation est fausse : « la récupération des mots de passe des utilisateurs ».
Les mots de passe étaient cryptés par un mot de passe maître.
Même si vous avez raison sur la forme, vous avez tort sur le fond.
Et je trouve ça navrant pour un début d’année !
@Malouin
Ben non, ils ont bien récupéré les mots de passe. Je n’ai pas écrit « en clair », qu’ils soient chiffrés n’enlève rien au fait qu’ils les ont. 🤔
@nicolasf
C’est vrai…
Mails crypté, cela ne sert pas à grand chose.
Même si cela reste un vrai souci pour les malheureux utilisateurs de ce service.
La sécurité de Bitwarden est basée sur le chiffrement et c'est pleinement solide si vous avez un mot de passe maître costaud. De mon point de vue, l'autohébergement n'apporte rien en matière de sécurité. Par ailleurs, la pérennité de l'accès à vos mots de passe en ligne est probablement meilleure chez Bitwarden que dans votre NAS ou votre VPS lié à un abonnement. Last but not least, Bitwarden propose une procédure “Emergency Access” qui peut vous sauver la mise en cas d'accident de vie. Certes elle n'est disponible qu'en version Premium (10 € par an) mais les accès d'urgence créés restent en place si vous cessez de payer.
Bitwarden même version basique fait un bon remplaçant.
Mais trousseau iCloud restera mon plan b. C’est vrai qu’il est sorti un peu de la zone d’ombre dans lequelle Apple la laisse. Franchement c’est vraiment pas ergonomique ce truc.
Quant à la fonction pourtant très intéressante de proposition automatique des mots de passe (autocomplete), je ne l’estime pas fiable puisque n’apparaissant que lorsqu’elle le souhaite. On se retrouve souvent à ouvrir les paramètres de safari pour chercher manuellement le bon. Ou utiliser les fameuse autres solutions de l’article.
Pour moi, seule solution pour ne pas se trouver dans la situation dans laquelle se trouvent les utilisateurs de Lastoass : ne rien héberger à l’extérieur.
Donc :
- ne pas sauvegarder le Trousseau via iCloud
- ne pas utiliser de serveur Bitwarden à l’extérieur
- ne pas utiliser les serveurs de 1Password.
De plus le mieux est d’avoir ses MDP seulement sur ses machines à soi et d’éviter un serveur personnel à la maison qui nécessite du temps et des compétences pour être géré. Et qui peut être piraté par internet.
Reste le problème de la synchronisation des MDP par exemple entre un ordi et un iPhone.
Pour cela, il faut un gestionnaire de MDP qui permette une synchronisation directe entre l’ordi et le smartphone.
L’ordi sera bien entendu crypté par FileVault et protégé par un MDP solide. Et il faut aussi un MDP solide pour le gestionnaire de MDP.
@bozzo
C'est sûrement vrai pour quelqu'un qui a besoin d'une sécurité accrue.
Mais on perd aussi en ergonomie...
S'il faut synchroniser manuellement à chaque nouveau mot de passe...
Si on a oublié de le faire et qu'il faut taper manuellement le long mot de passe sur son autre appareil... etc.
@thierry37
La sécurité a un prix…
Ne pas oublier que tout ce qui est crypté même en 128 ou 256 bits sera décrypté un jour. Et peut-être un jour assez proche (moins de 10 ans ?.
Appel aux anciens, il y avait un des tout premiers gestionnaires de mot de passe sur mac os 9 ?, son nom commençait par : "web..." il avait une jolie interface toute simple, une idée ?
@bunam
j'ai retrouvé :
https://www.web-confidential.com/
et même sur le store :
https://apps.apple.com/us/app/web-confidential/id453950581?mt=12