1Password va aussi stocker les clés d’accès des infrastructures serveur
1Password a présenté récemment une extension de son abonnement destiné aux entreprises. Avec 1Password Secrets Automation, il est désormais possible de relier son infrastructure serveur aux serveurs de 1Password.com pour y piocher des clés d’accès privées. Ce sera notamment utile dans le cadre des processus d’intégration continue (CI), ou encore pour gérer l’accès à une base de données ou à un serveur distant.
L’idée derrière cette nouvelle fonction est de déporter ces clés de sécurité dans le stockage en ligne sécurisé de 1Password. Ces clés peuvent déjà être stockées dans le gestionnaire de mots de passe, mais un serveur n’y avait pas accès jusque-là, il fallait qu’un humain copie et colle une clé, par exemple. Avec ce nouveau mécanisme, une entreprise peut ajouter à ses propres serveurs une application qui se connectera aux serveurs de 1Password pour récupérer les clés privées et les transmettre aux autres applications installées sur les serveurs.
Cette nouvelle fonction est gratuite pour toutes les entreprises qui ont souscrit un abonnement 1Password Business, facturé 8 $ par mois et par utilisateur. La mise en place passe par l’installation de 1Password Connect, soit sur les serveurs de l’entreprise, soit sur un service de cloud type AWS ; les instructions sont disponibles à cette adresse, sachant qu’il est recommandé de passer par Docker ou Kubernetes. Une clé unique devra être générée pour faire le lien avec les serveurs du gestionnaire de mot de passe et une API permet ensuite aux apps serveurs de demander une clé privée.
Pour commencer, 1Password Secrets automation gère trois langages (Go, Node.js et Python) et quatre apps destinée à la gestion des serveurs (Ansible, Terraform, Kubernetes et Hashicorp Vault backend). L’API sous-jacente peut également être exploitée pour prendre en charge une app serveur qui ne l’est pas aujourd’hui, la documentation est disponible à cette adresse.
1Password.com oblige, l’accès aux clés privées est soumis au même contrôle granulaire que les mots de passe. L’administrateur peut ainsi accorder un droit d’accès à une partie des employés seulement, pour que seuls les administrateurs réseau puissent y avoir accès, par exemple.
Je n’utilise plus 1Password. J’ai trouvé l’alternative d’une application à l’achat unique : SECRETS (iOS et macOS).
22 euros chacune et ça fonctionne de merveille. Maj régulièrement faites, une interface agréable. Que demander de plus ?
@Tech
Bitwarden est gratuit et fait la même chose :-)
@nicolaspatate
Rien n’est gratuit. C’est vous le produit.
@Tech
Non c’est open source et gratuit
@Tech
Bien sûr qu’il y a des logiciels gratuits sans qu’on soit le produit...
@armandgz123
Gratuit ? Mdrr il y a n’a qui croient toujours au Père Noël
@Tech
Les logiciels open source, LibreOffice tu connais ? Bah y’en a plein comme ça
@armandgz123
Bien sûr. Il y a des gentils partout...
@Tech
À quel moment je dis ça ?
Un peu comme avec MacOs? MDR
Plus sérieusement, faut un peu arrêter de toujours balancer cette remarque bateau dès que l'on parle de gratuit.
Tous les développeurs ne sont pas de vautours à vouloir s'enrichir à tous prix. Certains ont l'intelligence de proposer de bonne solutions en trouvant un bon compromis financier permettant d'offrir une solution gratuite, mais limitée, et offre payante plus complète.
@Avenger
Oui, et pour la version limitée, c’est les données personnelles qui remplace un abonnement ou un achat.
Arrêter de croire que nous vivons dans un monde merveilleux.
@ Tech,
Je suis bien conscient que nos sommes loin d'être dans un monde merveilleux et que des malveillantes existent. Mais de là à me dire que tout le monde est malveillant, il y a un pas que je ne franchis pas.
@Tech
Open source. On peut l’installer sur un NAS avec Docker ça fonctionne à merveille. 👌
@nicolaspatate
Bof, le 2 factor est payant alors qu’avec KeePassium tout est gratuit. Et en local KeePassX.
J'aimerais bien passer à Secrets, mais pas moyen de partager des éléments avec d'autres personnes :(
@Tech
Que le modèle d’affaire ne passe pas à l’abonnement...
@Tech
Si c’est sûr iOS et macOS pour ne pas passer via le trousseau d’Apple ? C’est directement intégré et gratuit.
Je crains que toute cette offre "entreprises" (dont je ne nie pas l'intérêt évident) ne rende 1Password une cible de plus en plus séduisante pour les hackers. J'espère qu'ils en prennent toute la mesure…
@YAZombie
C’est effectivement se qui me bloque à passer sur ce genre de solution, la centralisation me fais peur, c’est comme si il y avais plus de diversité génétique pour se protéger d’une maladie 🥲😂
J'espère que l'API permettra de ne pas exposer la clé privée avec la partie signature du protocole exécuté directement sur les serveurs de 1password.
@koko256
Ils sont pas si bête 😜 C’est très simple de faire de signer ses requêtes. Par exemple toutes les plateformes de crypto font du HTTPS plus signature du message. Rien n’est en clair même si HTTPS est cassé.
@tupui
Pour clarifier (la réponse est ambiguë), je ne veux pas dire que la clé est transmise sur un canal chiffré (encore heureux 🙃) mais que la clé ne sort même pas du serveur de 1password.
@koko256
Ba en fonction de se que tu fais avec le secret il va bien falloir pourtant 🤷♂️ Comment signer une release ou passer des logins autrement ? Il faudrait que 1password implémentent une solution en concertation avec tous les acteurs (pas que GitHub mais pypi aussi par exemple) = improbable.
@tupui
Non c'est faisable facilement car tous utilisent TLS ou SSH (cela se fait déjà avec des dispositifs physiques). À voir si les ingénieurs de 1p sont bons ou non.
Mouais. Ca me parait un peu cher leur affaire. D’autant que chaque cloud provider a sa solution de management des secrets, souvent assez documentée pour les plus petites entreprises, et que les plus grosses ont tout autant de deployer leur propre solutions - tiens au hasard Hashicorp vault qui est mentionné ou meme Ansible Vault.
Mais il doit bien y avoir un marché...