Discussion :

[Patrick Ruiz]

Le gestionnaire de mots de passe open source Bitwarden lève 100 millions de $ et attire les regards des utilisateurs sur ses atouts
Dans un contexte de comparaisons de diverses solutions

Le gestionnaire de mots de passe Bitwarden annonce la réussite d’une levée de fonds de 100 millions de dollars. La nouvelle attise les regards des utilisateurs sur ses atouts, notamment, l’ouverture de son code source. Elle tombe dans un contexte de comparaisons de diverses solutions avec une question qui revient : quels sont les atouts que réunit le gestionnaire de mots de passe idéal ?

Le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le nuage. Si l’utilisateur n’est pas à l'aise avec le stockage de ses mots de passe dans le nuage Bitwarden, il peut héberger l'infrastructure sur votre propre serveur, en utilisant Docker.

Sur la base des examens de tiers et les avis d'experts en sécurité, il est possible d’établir la plus large sélection possible de gestionnaires de mots de passe établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises à jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36*$ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui ajoute des fonctionnalités, telles que la sauvegarde dans le nuage, la synchronisation et l’authentification à deux facteurs.

Il dispose d’une option Famille à 48 dollars par an. Elle couvre jusqu'à cinq utilisateurs, et les plans d'entreprise coûtent 35 dollars par utilisateur et par an. Des réductions sont disponibles pour les achats pluriannuels.

Dashlane

Dashlane n'a pas la longévité de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une réputation de facilité d'utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de données de mots de passe comprend moins de 50 entrées et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend également en charge l'authentification à deux facteurs. Dashlane ne propose pas d’option pour famille, mais il permet le partage des mots de passe entre les comptes.

La version Premium est à 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrés et d'appareils synchronisés et inclut une option VPN. En outre, l'offre Premium Plus à 120 dollars par an ajoute une assurance contre le vol d'identité et une surveillance du crédit. Enfin, les versions d'entreprise comprennent les mêmes fonctionnalités que la version Premium, à 48 dollars par utilisateur et par an, avec des options de provisionnement et de déploiement ainsi que la possibilité de séparer les informations d'identification professionnelles et personnelles.

Les gestionnaires fournissant des services payants

1Password

Bien que ce produit ait gagné sa réputation sur les appareils Mac et iOS d'Apple, il a aussi été adopté par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d'identification, suggère des mots de passe et fournit une authentification à deux facteurs dans Chrome, Firefox et Microsoft Edge. Après un premier essai gratuit de 30 jours, vous êtes invité à souscrire à un abonnement qui coûte 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui coûte 60 dollars par an.

1Password fonctionne mieux si ses fichiers de données sont synchronisés à partir des serveurs de 1Password, mais vous avez également la possibilité d'enregistrer les mots de passe localement et de synchroniser le fichier de données avec votre propre réseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrôle d'accès avancé et des journaux d'activité et des politiques de sécurité gérées de manière centralisée. Ils coûtent 96*$ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit lié pour chaque utilisateur.

Keeper

Keeper est arrivé sur le marché en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l'usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services gérés. Les forfaits personnels commencent à 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimité de mots de passe et de les synchroniser sur un nombre illimité d'appareils. Un forfait de 60*$ par an ajoute la fonction de messagerie cryptée KeeperChat, le stockage sécurisé de fichiers et un service de surveillance des brèches.

Ce dernier analyse les mots de passe enregistrés pour trouver ceux qui sont connus pour être compromis. La version familiale de chaque forfait double le coût et prend en charge jusqu'à cinq utilisateurs. Keeper stocke les fichiers de données synchronisées sur le cloud Amazon Web Services. Les forfaits étudiants sont à moitié prix.

Hypervault

Hypervault est arrivé sur le marché fin 2018, et été conçu à l'origine pour un usage interne par ses développeurs. La version 2, lancée en avril 2019, tient certaines des promesses de la société pour un gestionnaire de mots de passe axé sur les besoins des équipes. La version 2 s’accompagne d’une interface utilisateur remaniée ainsi que des autorisations de groupe et une structure basée sur les droits pour les membres de l'équipe. L’abonnement commence à 2,50 dollars par utilisateur et par mois, avec des réductions à partir des seuils de 10 et 50 utilisateurs et des réductions supplémentaires pour les achats annuels.

La société dispose d'un journal des modifications et d'une feuille de route bien documentés, et une version autohébergée est “à venir”.

Les gestionnaires de mots de passe open source

KeePass Password Safe

Si vous avez la phobie du cloud ou si vous insistez sur les logiciels à source ouverte, c'est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stockés localement, et vous voudrez maîtriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L'intégration au navigateur est possible grâce à des plugins tiers. En outre, KeePass Password Safe offre également la possibilité de l’utiliser sur un grand nombre d’appareils.

Dans ce cas, le moteur de synchronisation intégré du programme met à jour automatiquement la base de données des mots de passe, quel que soit l'emplacement de stockage en nuage que vous indiquez.

Passbolt

Les développeurs de Passbolt l’ont conçu pour les équipes et DevOps, en utilisant des normes de sécurité modernes à source ouverte et des outils familiers, dont le lanceur d’applications conteneurisées Docker. La version communautaire autohébergée fonctionne sur votre propre serveur et est spécifiquement destinée aux équipes agiles qui s'éloignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l'authentification multifactorielle.

L’abonnement commence à 10 euros par mois pour cinq utilisateurs, avec des réductions pour un paiement annuel.

Password Safe

Password Safe a été conçu par l’expert en sécurité Bruce Schneier. Sur le bureau, il s'agit d'un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de données sont sauvegardées localement et les fonctions de synchronisation ne sont pas intégrées. Bien que Password Safe ait une base de fans fidèles, il ne plaira probablement pas à ceux qui veulent les capacités de polissage et de synchronisation d'une application plus moderne.

La gestion des mots de passe est devenue une affaire importante dans le monde de la cybersécurité, car les attaques et les menaces de phishing sont les principaux problèmes auxquels sont confrontés les services informatiques du monde entier. Les employés travaillant à domicile - ou à la fois à domicile et au bureau - ont exacerbé le problème, et beaucoup utilisent leurs appareils pour des raisons professionnelles et personnelles.

Bitwarden n'est pas la seule startup proposant des outils de gestion des mots de passe à lever des fonds en 2022. Plus tôt cette année, la société torontoise 1Password a conclu une levée de 620 millions de dollars, ce qui a porté la valorisation de la société de cybersécurité à 6,8 milliards de dollars. D'autres sociétés de renom, telles que Tiger Global, Lightspeed Venture Partners et Accel, ont également participé à cette opération.

Source : Bitwarden

Et vous ?

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez-vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Partagez vous l'avis selon lequel l'ère des mots de passe et des gestionnaires de mots de passe est dépassée ?

Voir aussi :

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

[weed]

Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez-vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?

J'utilise Passman qui est un module sur NextCloud. Je l'utilise via mon instance NextCloud de l'association Zaclys (du consortium des chatons de Framasoft).
Personnellement, je préfère confier le stockage de mes mots de passe soit à une association, soit chez moi

Le lien passman :
https://apps.nextcloud.com/apps/passman
Il existerait également une alternative sur Nextcloud que je n'ai pas encore testé : password
https://apps.nextcloud.com/apps/passwords

Partagez vous l'avis selon lequel l'ère des mots de passe et des gestionnaires de mots de passe est dépassée ?

Non parce que cela signifierai que l'on confie nos clefs à un tiers

[yannickt]

Pour moi, Bitwarden, c'est pas envisageable. Toutes les données sont centralisées sur le serveur, et la moindre sauvegarde est compliquée. Il faut juste voir la gueule de la doc sur le sujet...

Même si l'interface est vintage, je garde Keepass : Tout est stocké dans un fichier unique. Et la possibilité de faire des synchronisations entre celui que j'ai sur le PC, le téléphone, la clef USB et le serveur WebDAV pour les maintenir à jour est proposée de base dans le logiciel. En plus, il est libre. Juste parfait.

[Steinvikel]

A moins de faire face a un manque de solution sur le marché pour des problématiques particulières, je trouve aberrant de choisir un gestionnaire sous licence non libre ...autant que de faire reposer sa sécurité sur des protocole non ouvert ...c'est un non sens.

Pour KeePass, on l'omet systématiquement dans les descriptions par facilité, mais il est important de bien lire les différences de fonctionnalités entre la branche 1.x et 2.x, qui contrairement aux apparences, n'est pas un n° de version marquant une évolution, mais un n° permettant de distinguer 2 projets au sein d'un même projet.
https://keepass.info/compare.html

PS : quelqu'un aurait-il connaissance d'un système permettant l'usage de mot de passe sans permettre son visionnage par un salarié ?
problématique >> un salarié doit pouvoir utiliser des portails web, mais pas ajouter de mot de passe, ni les visionner ...juste cliquer sur "accéder", le logiciel rempli les champs et les valide pour éviter qu'un petit malin l'affiche avant de se connecter.

[chrtophe]

quelqu'un aurait-il connaissance d'un système permettant l'usage de mot de passe sans permettre son visionnage par un salarié ?

Ne pas en utiliser et s'authentifier via un autre moyen.

- dispositifs tels que yubikey
- certificats dans une clé USB

Le service sur lequel tu t’authentifie doit supporter l’authentification via les dispositifs que j'ai cité. et c'est pas forcément simple à mettre en place.