Bitwarden - Gestionnaire de mots de passe
Introduction
Suite à mon dernier billet sur les mots de passe, j’ai décidé d’accélérer le test de Bitwarden. C’est un logiciel libre en mode client/serveur permettant de synchroniser tous ses mots de passe sur tous ses devices (Windows / Linux / Android / iOS / etc). Cela fait pas mal de temps qu’il a le vent en poupe et qu’il propose une alternative crédible à tous les gestionnaires payants en mode Cloud. Pour concurrencer de manière légitime ceux-ci, Bitwarden s’offre le luxe de proposer ce service aussi.
Installation
Serveur
Une des forces de ce logiciel c’est que l’on peut utiliser son propre serveur. Pour ceux qui ne font pas confiance à des services tiers, c’est génial. Une version rapide à mettre en œuvre est disponible ici. Un petit docker run, un fichier docker-compose avec nginx+let’s encrypt, et hop on a un service fonctionnel. Un petit exemple ici.
Le chiffrement du Vault se base sur un mot de passe maître. Il est possible de s’authentifier sur le serveur avec un second facteur. Voici la liste des seconds facteurs, j’ai personnellement activé ma clé Yubikey :
Clients
Il existe un client lourd Windows 10, directement sur le store Microsoft (le plugin Edge est aussi sur le store). Cela permet de gérer assez facilement en mode desktop ses mots de passe, mais l’interface Web est assez efficace aussi. Il existe des plug-ins pour tous les navigateurs du marché :
Sous Ubuntu j’ai testé la version « snap » et se comporte de manière identique à celle de Windows.
Android
Le client Android, active l’auto-complétion native sur le device (à partir Android 8). Cela permet de remplir le login et le mot de passe sur n’importe quel navigateur, et aussi sur les applications.
Conclusion
Passant d’une solution hybride à base de KeePassXC/Keepass2Android, cette nouvelle solution a définitivement beaucoup plus d’avantages :
- Supporte l’authentification multi-facteur (et n’est pas limité comme KeePass et ses dérivés)
- Intégration du client Android plus efficace que Keepass2Android, et fonctionne avec toutes les applications
- Application serveur, accessible depuis partout sans restrictions
- Gestion d’un cache local, si le serveur est momentanément indisponible
- Téléchargement automatique du favicon en lien avec l’URL renseignée
- Algorithme de correspondance pour l’auto-complétion plus efficace
Les inconvénients :
- L’authentification 2 facteurs ne sert qu’à l’accès à l’interface Web, et n’est pas une composante du mot de passe maître comme peut l’être sur KeePass
- Dépendance à l’accessibilité du serveur
J’ai donc effectué le changement dans la foulée en version auto-hébergée. A vous de voir si cela correspond à vos besoins.