Bitwarden se prépare aussi à un futur sans mots de passe

Florian Innocente |

Les développeurs de Bitwarden ont du pain sur la planche pour les mois à venir, leur planning prévoit plusieurs ajouts importants au gestionnaire de mots de passe d'ici la fin de l'année.

Dans la roadmap publiée récemment, le plus gros morceau est la prise en charge de l'option d'une connexion sans mot de passe. Où Bitwarden, sur un smartphone par exemple, pourra servir à valider une identification effectuée sur le navigateur ou dans une app sur un ordinateur à proximité. Son concurrent 1Password a déjà clairement signifié sa volonté d'aller dans cette direction, ouverte par Apple, Google et Microsoft.

Le gestionnaire de mots de passe 1Password se prépare à un futur sans mot de passe

Le gestionnaire de mots de passe 1Password se prépare à un futur sans mot de passe

Le plan de l

Le plan de l'industrie pour se débarrasser des mots de passe

Importante aussi, l'intégration souhaitée avec les autres applications de bureau lorsqu'il est nécessaire de décliner ses identifiants. Bitwarden veut aller au-delà des seuls navigateurs web. L'éditeur compte également ajouter une fonction de partage d'un élément de son coffre-fort, comme le fait 1Password.

Son concurrent a un autre avantage que Bitwarden entend effacer : l'édition d'un élément lorsqu'on est hors-ligne. Actuellement, avec la version iOS, si la connexion réseau est absente, vous ne pouvez enregistrer aucune de vos modifications ni confirmer la création d'une nouvelle entrée.

L'application, aussi étonnant que cela puisse paraître en 2022, passe en lecture seule. Cette amélioration risque toutefois de ne pas être offerte cette année, elle fait partie des projets sans date. Parmi les évolutions 2022, le planning cite l'utilisation du centre de notifications et plus de choix dans les catégories utilisées pour classer ses identifiants.

Bitwarden est utilisable gratuitement avec un nombre illimité d'identifiants, la première formule payante revient à 1$/mois (10$ par an) pour des fonctions plus avancées.


Source
Tags
avatar Adodane | 

Un service gratuit pour avoir toutes mes mots de passe dans la nature ! 🤔

Ils peuvent aller se brosser chez bitwarden, je garde mon fichier Excel à moi ! 😅😁

avatar s1n3d | 

@Adodane

application Open Source donc possibilité de vérifier le code.
Et si ils "s'amusent" à divulguer les mots de passe stockés dans le coffre-fort, c'est tout leur business model qui part en vrille...

avatar Adodane | 

@s1n3d

Du code open source sur leurs serveurs ?! Mon cul oui!! 😂 😂 😂

avatar nukeo | 

@Adodane

O_o

Si tu savais 😅

avatar JayPritchett | 

@s1n3d 👍🏻

avatar lmouillart | 

Le business model est de vendre des forfaits supérieur. La version gratuite est à considérer dans ce sens comme version d'essai longue durée.
Le logiciel Bitwarden est libre ce qui permet de faire tourner le serveur ailleurs ou chez soi.

Le fichier Excel doit être ce qu'il y a de pire après le Post-it et le fichier texte, il est très aisé d'en extraire les données. Même si maintenant les fichiers sont encodés en AES 256, les données en mémoire sont en libre accès pour les malware & co.

avatar Adodane | 

@lmouillart

Il est très bien mon fichier Excel, ça fonctionne ainsi depuis de longues années.
Mais j'utilise aussi un service tiers ( Microsoft authentificator), ça me rempli mes mots de passe tour seul sur les applications, sur navigateur PC ou mobile. Certains utilisent le service de google ou Apple équivalent.

Mais bitwarden 🤮, plutôt donner mes mots de passe à mon voisin, ils seront plus en sécurité 😁

avatar Eyquem | 

@Adodane

Quand on ne sait pas, on ne devrait pas autant le montrer…

avatar Sillage | 

@Eyquem

“Quand on ne sait pas, on ne devrait pas autant le montrer…”

+1

👍

avatar JayPritchett | 

@Eyquem 🤣

avatar DG33 | 

@Eyquem

Il supporte son pseudo comme personne 😉

avatar julien74 | 

@Adodane

C’est vrai que Bitwarden hébergé sur une VM chez moi, c’est équivalent à donner mes mots de passe à mon voisin.
Comme à dit un autre intervenant, quand on ne sait pas on ne critique pas pour le plaisir, et on ne montre pas avec autant de véhémence son ignorance dans un projet open source.

avatar Adodane | 

@julien74

Est ce que j'ai parlé de bitwarden hébergé chez soi à un moment ou un autre ? 🤔

avatar julien74 | 

@Adodane

Tu commentes un article sur Bitwarden. Ton commentaire est donc pour critiquer 1password? Précise le alors.
Tu parles de solution gratuite. Bitwarden hebergé chez soi est justement gratuit.
Donc exactement ton commentaire.

Or un bitwarden hébergé chez soi je ne vois pas où les mots de passe sont dans la nature.

avatar irishboy | 

@julien74

Pas besoin de lui répondre je pense ^^ c’est juste du troll ! Comment recevoir des conseils de sécurité de quelqu’un qui entrepose ces mdps dans un fichier Excel? c’est le Niveau 0 de la sécurité la ! Sauf si stocke dans un volume cryptomator dans ce cas là on aurait un début !

avatar Adodane | 

@julien74

Bitwarden possède un service dans le cloud à zéro euros ou les mots de passe sont effectivement dans la nature. 👌😅

avatar julien74 | 

@Adodane

Quand tu as le choix d’une solution Cloud que (tu) ne trouves pas secure ;
Et une solution on premisce qui n’a rien à voir (d’autres faiblesses de sécurité que le cloud),

Au même prix, pourquoi baver sur la solution Cloud? À toi de faire le bon choix en fonction de ta religion.
Ou alors reste avec ton fichier Excel ;-)))

Je vais pas critiquer les gens en 2CV si j’aime pas cette voiture. J’ai juste à faire le choix de pas l’acheter.

avatar nukeo | 

@Adodane

Ton fichier Excel, il est chiffré / dans un volume chiffré pas constamment monté ?

Tu le synchronises comment avec tes autres appareils ?

Si synchronisation il y’a, est-ce que d’autres périphériques peuvent lire le fichier Excel en claire ?

Si tu utilises le chiffrement des fichiers Office, as-tu créé le fichier avec une version récente de la suite ?

avatar Sillage | 

@Adodane

« Il est très bien mon fichier Excel, ça fonctionne ainsi depuis de longues années. »

Parfait exemple d’un homme des cavernes qui pensent qu’utiliser du silex pour couper quelque chose est bien car ça fonctionne depuis des années. Vive l’évolution et le suivi.

Vous me faites penser à des gens dans l’industrie qui refusent d’évoluer et vivent sur leurs acquis. Perte de business.

Bref, votre fichier Excel, c’est même pire que de faire confiance à votre voisin.

Vous et les conseils en sécurité, pour reprendre votre expression, c’est : 🤮

avatar Adodane | 

@lmouillart

Je peux aussi crypter mes mots de passe dans mon fichier Excel avec une méthode connue seulement de moi même, méthode qui peut être très simple.

avatar julien74 | 

@Adodane

Enfin le service fourni par un fichier Excel est à 1000 lieux d’un gestionnaire de mots de passe:
- comment y accèdes tu en mobilité? De ton smartphone, avec les dizaines de lignes? Lol
- où es-t-il stocké donc? Dans un mail, un cloud? Si en local, comment tu le synchronises?
- tu dis que tu cryptes par une méthode à toi. Comment rempli donc tu le champ password d’un site web, tu le tapes à la main? Tes mots de passe ont donc évidemment 20 caractères avec des caractères spéciaux bien sûr.
- ces manipulations te font perdre combien de temps versus un soft (pour certain) gratuit?
- etc etc….

Enfin bon, une pirogue ça fonctionne très bien…. Ca ne coule pas, ca permet de se déplacer sur l’eau. Mais on ne fait pas la même chose qu’avec un hors bord.

avatar DG33 | 

@Adodane

Chiche ! Puisque tu es si sûr de toi poste donc un lien vers ton fichier Excel, protégé par mot de passe si tu veux, crypté si tu veux… 🍿

avatar julien74 | 

@Adodane

Trop gros troll…. Pas discret.

avatar Sillage | 

@Adodane

Haha. C’est sur mon NAS que c’est sauvegardé, pas sur leur serveurs. C’est là toute la beauté de bitwarden.

avatar ingmar92110 | 

Pas difficile d’auto héberger une instance dans un docker sur son Nas par exemple, comme ça ils ne sont pas dans la nature…

avatar monsieurg33K | 

@ingmar92110

C’est clair, je vais demander à ma grand mère si elle peut le faire pour moi.

avatar julien74 | 

@monsieurg33K

Il y en a pour tous les publics.
De ceux au fichier Excel, de ceux qui préfèrent payer un service type 1password / Dashlane etc et encore d’autres qui savent (ou prennent plaisir à) faire fonctionner Bitwarden on-premisce.

avatar Chris K | 

@ingmar92110

Sur un NAS qui ne subit pas des tentatives d’intrusions alors… 😁

avatar Adodane | 

@ingmar92110

Si c'est difficile ! Déjà faut avoir un nas ! 😅

avatar Nicolam | 

Bonjour à tous,

Pour moi c'est Bitwarden le meilleur ;-)

je ne peux plus m'en passer, que ce soit au boulot ou personnellement sur tous mes bidules (pc, mac, iphone, ipad) ! Certes, le plus sécurisé reste de bien compartimenter ses mots de passe dans le meilleur des coffre fort physique "son cerveau". Mais aujourd'hui avec la complexité que l'on doit de plus en plus apporter auxdits mots de passe, les renouvellements fréquents, l'usage en mobilité etc... cela devient incontournable. Ce logiciel Opensource (quasi gratuit en premium), permet un mot de passe maitre connu de son auteur uniquement (le seul à mémoriser par son cerveau) et la double identification complète le blindage.

avatar shaba | 

Au fait, quelle solution est prévue si l'on veut se connecter à un service mais que le smartphone n'est pas dispo (plus de batterie, volé...) ?

avatar Adodane | 

@shaba

Si le second facteur d'authentification est aussi son téléphone ( sms par exemple, ou application d'authentification), ça devient très compliqué.

avatar DG33 | 

@shaba

Une prise de courant ou une batterie chargée, le câble adéquat, et quelques minutes disponibles.😁😉

avatar Tetaroide Bleu | 

L’intégration du gestionnaire au champs de connexion me manque beaucoup chez Bitwarden. Et j’ai eu récemment le cas d’un code 2fa disponible par QR code uniquement, sans sa clé secrète associée . Et les extensions navigateurs bitWarden ne permettent pas de scanner un QR code. Le logiciel évolue dans le bon sens, mais trop lentement je trouve. Pour l’instant il n’est pas au niveau de 1password.

avatar hawker | 

Bitwarden est super et j’en suis client.
J’espère juste que l’extension web s’améliore mais sinon c’est tellement plus clean et honnête que la concurrence, je risque pas de partir.
C’est bien de voir qu’ils veulent être à la pointe.

avatar bengir | 

L’application continue de progresser. j’apprécie la gestion de plusieurs comptes avec passage facile de l’un à l’autre, l’ouverture par biométrique même depuis le navigateur, la modernisation de l’interface.

avatar Almux | 

Avoir besoin de mettre en ligne pour sécuriser ses appareils? Alors que c'est justement en ligne que règne le danger! Je peine à suivre la logique, là... Il me semble que les sécurités devraient plutôt se trouver d'abord en local (appareil seul ou réseau), et unifier-protéger son système d'authentification à l'endroit où se trouve l'utilisateur.

avatar TiTwo102 | 

Et toujours pas de vraie possibilité de faire un backup avec un export crypté digne de ce nom…

avatar julien74 | 

@TiTwo102

Faire un export et ensuite crypter le fichier ne répond pas à ton besoin?

avatar lmouillart | 

Non, car le fichier est en clair en mémoire et est en clair sur le disque. Sur un SSD c'est très compliqué d'être certain que la zone dans laquelle résidaient les données a été effacée, elles sont donc quelque part en clair sur le disque. C'est embêtant avec un disque crypté comme sur tous les macs récents. C'est catastrophique quand les disques sont en clair, il suffit d'extraire le SSD et d'aller lire le disque sans avoir besoin d'accès supplémentaire, et là tous les mots de passe sont en clair même après avoir été supprimés.

avatar julien74 | 

@lmouillart

On parle la quand même de quelqu’un qui pour te pirater, arrive à avoir un accès physique à ta machine en sachant que tu es passé par un fichier non crypté dans ton processus. Si ta machine est un Mac, il va aller l’ouvrir , lui faire la peau pour accéder au SSD sur la carte mère.
Comme pour la chauve souris du sketch de Bigard « c’est vraiment toi qu’elle veut mordre ».

Si tu en es à ce genre de supposition à te faire pirater, tu achètes une clé USB à 1€ et tu passes par cette clé pour y laisser temporairement le fichier en clair. Ensuite un coup de perceuse dans la clé.
Zou.

avatar lmouillart | 

Les laptop se baladent partout et se volent très facilement.
Sur un SSD quand on sait ce que l'on cherche : un csv,json avec une paire login/mdp ça va assez vite pour scanner un disque et voir si il y a des choses intéressantes ou non.

Comme j'ai dit les macs un peu récents sont tous cryptés, pour eux il faut mieux passer par un malware.

Bonne partie de PC ne sont pas cryptés.
Concernant les puces flash qui constituent le SSD soudé sur la carte mère. On peut les dessouder puis les remettre sur un PCB adapté pour rendre le travail plus facile. (encore une fois ça ne concerne pas les macs récents)
par exemple : https://blackhoodie.re/assets/archive/flash_dumping_-_kylma.pdf

avatar julien74 | 

@lmouillart

Ouais m’enfin on en revient au point de départ: tu te rends compte de l’énergie que la personne va dépenser pour (peut être) chopper un .json effacé parce que tu as fait un export non crypté de bitwarden?
Peut être que tes mots de passe en valent la peine.
Ma pauvre personne pas du tout.

avatar Tetaroide Bleu | 

@lmouillart

Pourquoi c'est embêtant sur un disque chiffré ? les données ne sont pas en clair si quelqu'un extraie le SSD dans ce cas.

avatar lmouillart | 

C'est fâcheux car un malware présent sur la machine pendant ou après peut avoir accès aux doonées. C'est moins dramatique que dans le cas d'un disque non chiffré car l'accès est plus compliqué.

avatar Tetaroide Bleu | 

@lmouillart

Ok merci, donc le risque est minime, du moins pour les utilisateurs avertis qui font attention. Comme je suis plutôt du genre parano, je doute qu'un malware arrive sur ma machine, du moins pas sans que je m'en rende compte très rapidement et avant de faire un truc sensible.

avatar irep | 

@lmouillart

Crée une image disque cryptée pour y enregistrer ton export ou document

avatar TiTwo102 | 

Clairement, non.

C’est pas du tout grand public. Et même si je saurais le faire, ça ne reste ni pratique, ni plus sécurisé qu’un vrai export crypté avec clef indépendante comme sauvegarde, au contraire.

C’est pour moi la fonction manquante la plus importante. Sans le moindre doute.

CONNEXION UTILISATEUR