Bitwarden : un gestionnaire de mots de passe auto-hébergé et open source
Aussi pratiques soient-ils, les 1Password.com, Dashlane et autres LastPass soulèvent des craintes légitimes : en n’étant pas open source, on ne peut pas examiner leur code pour vérifier leur intégrité, et en hébergeant les données sur les serveurs de leur éditeur, on confie ses données à un tiers.
Bitwarden est un gestionnaire de mots de passe en ligne qui répond à ces deux préoccupations : il est open source et vous pouvez l’héberger sur le serveur de votre choix. Déployer Bitwarden à l’aide de Docker n’est pas aussi simple que créer un compte 1Password.com, mais vous aurez entièrement la main sur les données et le fonctionnement… et c’est gratuit (hors frais habituels d’hébergeur). Les données sont chiffrées de bout en bout en AES 256 bits.
Si vous cherchez plutôt une solution clé en main, Bitwarden propose plusieurs offres. L’utilisation est gratuite jusqu’à deux utilisateurs et deux collections (des groupes de mots de passe). Une option premium à 10 $/an ajoute 1 Go de stockage, l’authentification à deux facteurs avec les clés USB, la prise en charge du second code de validation dans les applications et l’assistance prioritaire.
En payant 1 $/mois, vous bénéficiez de l’offre familiale qui comprend cinq utilisateurs, un nombre illimité de collections, 1 Go de stockage et l’auto-hébergement en option. Il y aussi une offre pour les équipes jusqu’à 5 personnes à 5 $/mois et une autre pour les entreprises à 3 $ par utilisateur et par mois avec des fonctions avancées supplémentaires.
Bitwarden a des extensions pour tous les navigateurs, à l'exception de Safari, des applications pour iOS et Android, et une web app. Pas d’application native pour Mac ou PC, en revanche, mais cela va venir. Le développeur Joshua Stein, qui documente son passage à Bitwarden, a créé un outil pour migrer les données de 1Password vers ce service.
C'est plutôt pas mal pour le service rendu, et en plus le coût est bien inférieur à Dashlane par exemple pour celles & ceux qui veulent une offre clé en main.
J'ai un serveur dédié chez Online et là pour le coup, ça me tenterait bien de tester pour m'affranchir de Dashlane, j'utilise également Keepass 2 en local, ce serait faire d'une pierre 2 coup.
L'app iOS est entièrement traduite en français, la version web est pour le moment uniquement dispo en anglais.
C'est très intéressant, j'vais tâcher de trouver le temps de tester ce soft prometteur.
@Julienlavergne
«Keepass 2 quelle horreur ce soft ! L’interface des années 90 !»
Keepass a été développé pour Windows sur .NET en C#… le support de MacOS et Linux passe par Mono. L’interface est celle de cet environnement :(
Mais ici le premier élément a considérer c’est la sécurité et l’efficacité. L’apparence c’est secondaire.
1password a une jolie interface mais il s’agit d’un soft totalement opaque et les mot de passe sont hébergés sur des serveurs privés… Aucun audit possible!
Ce problème est celui de tous les concurrents de 1stpassword.
On confie ses mots de passe a un tiers, une société privée, qui n’offre aucune garanties de confidentialité, de sécurité ou même d’intégrité. Ces sociétés sont soumises aux obligations légales et doivent fournir - sur demande administratives - les mots de passe dont elles disposent…
Au-dela du danger de l’exploitation directe des mots de passe par l’entreprise, se pose le problème de leurs piratage.
On peut espérer que les mots de passe sont chiffrés et dissociés de leurs propriétaires sur les serveurs, mais il n’y a aucune garantie de cela.
Autre risque: si un service fait bien son travail, il ne stocke pas le mot de passe mais sa signature (généralement SHA256 ou similaire).
Donc en cas de piratage des ordinateurs du service le pirate ne peut récupérer que des signatures mais pas les mots de passe. Et les signatures ne permettent pas de « calculer » le mot de passe.
Sauf qu’une signature est unique pour un mot de passe. Si on dispose d’une liste de mot de passe on peut générer facilement les signatures et après on en fait un « annuaire inversé ». Il est alors très facile de trouver le mot de passe relié a une signature.
Les sociétés hébergeant les mot de passe sont sont des « mines » a fortes valeurs pour les pirates et cybercriminels…. En récupérant les mot de passe, même non lié a leur propriétaire, ils peuvent constituer des « dictionnaires inversés » …
J'ai un certain nombre de mots de passe, mais de là à ce qu'ils occupent 1 Go…
@Madalvée
Il y a peut être des gens qui enregistrent leurs mots de passe en faisant des vidéos 😬
Ok je sors
ce genre de soft/service incite aussi à y placer des documents scannés ou des pdf, ce qui peut nécessiter quelques Mo. Bon avec 1Go ils sont larges du coup :)
On peut lier les mots de passe a des documents permettant de renforcer le mot de passe.
Par exemple on peut definir un mot de passe et une image pour valider un acces.
Pour valider une authentification, il faut donner le mot de passe et l'image...
@Madalvée
Éventuellement des images... ?
Après en entreprise, dans des grands groupes, ça peut toujours servir.
Dans le lien pour l'installer avec Docker: "adjust Docker so that it has at least 4 GB of RAM available". Heu, on parle bien d'un truc pour stocker quelques dizaines de mots de passe?
Moi j'ai mon petit algorthme mental pour générer un mot de passe unique sur chaque site / compte; impossible d'oublier mon mot de passe, de me faire voler mon coffre fort, de pas avoir le bon plugin sur chaque appareil / logiciel. Et c'est gratuit.
@jerome74
L'image docker fait tourner du .Net et Sql server...
Ah bon, ça me rassure… Mais faut pas oublier de virtualiser Docker, enfin non, autant émuler la machine virtuelle en javascript!
@jerome74
XD
.
« Bitwarden a des extensions pour tous les navigateur »
Le site semble indiquer qu’il n’existe pas de version Safari...
Vraiment très intéressant comme soft en tout cas, je vais tester aussi !
Je viens d’essayer ce soft. Ca marche tres bien et la version gratuite est largement suffisante.
Du coup, je vais abandonner keepass et utiliser celui-ci.
Question pour igeneration: quand prevoyez vous son integration dans l’appli igeneration sur ios ??
( pour le moment vous avez uniquement intégré 1 password)
@sbouquet
iGen utilise l’icône de 1Password, mais il peut utiliser n’importe quel gestionnaire de mots de passe.
Sinon, il a Enpass.
Version MacOS et Windows gratuite
Version iOS 10€ sans abonnement
Bon candidat pour remplacer 1password
@miketee
C’est ce que j’ai fais et je ne regrette pas et si on souhaite synchroniser iCloud (et d’autres bien sûr) est pris en charge. L’application iOS est top (prise en charge Touch ID) et vaut largement son prix (d’autant qu’il n’y a pas d’abonnement à payer) on peut même l’utiliser gratuitement (dans la limite de 20 mots de passe si je me souviens bien).
Je cherche justement à savoir si enpass vaut le coup car je dois renouveler Dashlane que je trouve très pratique mais hésite face à 1password depuis l'article sur la sécurité que MacG à fait.
@EBLIS
Fonce sans hésiter!
@miketee
Bien d’accord, Enpass et le meilleur gestionnaire de mdp que j’ai eu pour le moment. Synchronisation avec mon Nas en WebDAV, pas d’histoire d’abonnement ni rien, application Mac Pc iOS, que demander de plus?
@lapinzed
Et la migration de 1Password à Enpass, c’est comment?
Franchement j'ai des gros doutes sur l'outil ...
Nous avons regardé le produit :
Développé en C# donc avec du Microsoft, pas simple à modifier
S'appuyant sur du MS/SQL ... euh ...