Etat de l’art des outils de partage de mots de passe
C’est suite à une question de @genma sur Mastodon que je ressors le dossier.
J’ai déjà pas mal étudié ces outils ces dernières années et un retour d’expérience ne fait pas de mal.
L’outil idéal
L’outil doit-être utilisable partout (donc Web responsive ou applis pour smartphone) et par tous (il pourrait remplacer les post-it collés aux écrans s’il était ergonomique).
Il faut également qu’il soit utilisable dans le navigateur (donc plugin Firefox / Chrome) vu le nombre de mots de passe Web à enregistrer.
Il doit également fournir un niveau de sécurité convenable c’est à dire utiliser des bibliothèques cryptographiques connues et modernes.
Enfin, pour une utilisation d’entreprise, il doit pouvoir être associé à un serveur d’authentification (LDAP/AD, Cas, SAML, ou autre).
Les outils testés
Keepass partagé
Commençons par le vénérable Keepass. 15 ans d’age. Il remplit bien son rôle : multi-plateforme, validé par l’ANSSI, associable à Firefox par un plugin.
Par contre au niveau partage c’est plus compliqué, il faut le mettre sur un lecteur réseau d’une manière ou d’une autre :
- Lecteur réseau Windows/Samba
- Montage d’un lecteur Web (Nextcloud, Google Drive, Dropbox ou autre)
Il faut aussi trouver un moyen de le synchroniser avec Android ou iOS. Les clients existent mais ils créent un magasin de mots de passe local.
A noter que KeepassDX (Android) permet de débloquer le magasin avec l’empreinte digitale, ce qui est bien pratique.
Teampass
Teampass est un outil full Web. Assez intéressant, il stocke les mots de passe en arborescence et permet de gérer des comptes et des accès (avec un backend LDAP/AD). On s’y connecte avec un login/mdp mais on peut aussi utiliser de l’authentification multi-facteurs.
Son problème : Pas d’intégration avec les navigateurs, et il serait presque parfait s’il était un peu plus ergonomique.
Passbolt
Passbolt est un outil moderne et complet de gestion des mots de passe. Vous pouvez l’auto-héberger. Si votre entreprise est prête à payer une version PRO, il me semble que c’est la solution idéale pour l’entreprise, mais la version community ne permet pas autre chose qu’une utilisation familiale ou TPE (pas de LDAP, pas d’import/export vers les autres gestionnaires).
Bitwarden
Bitwarden est lui aussi un nouveau venu, avec toutes les fonctionnalités qui en font un vrai outil d’entreprise. Vous pouvez l’auto-héberger et lui aussi est un freemium avec une version entreprise. La version auto-hébergée permet le partage entre 2 utilisateurs alors soit vous réduisez l’effectif de votre service à sa plus simple expression, soit vous vous offrez une version business.
Passman (Nextcloud)
Passman est une extension Nextcloud. Elle peut facielement être intégrée à votre infrastructure existante (si vous avez un Nextcloud) avec une authentification LDAP, du multi-facteur, etc. Tout ceci dépend de Nextcloud. Des extensions de Navigateurs sont disponibles.
Seul point faible : L’extension du navigateur est assez bavarde, pour chaque url, elle demande si on veut enregistrer le mot de passe ce qui est un peu pénible.
EDIT : On me dit dans l’oreillette que Passman n’est plus officiellement supporté, il faut se reporter sur Passwords que je n’ai pas encore testé.
EDIT 2 : En fait Passwords c’est vachement bien, j’en ai fais un article !
Pass
Comme vous l’avez peut-être vu, je viens d’écrire un article dessus (Déc. 2018). Pour les habitués du terminal c’est l’outil idéal : Simple, sécurisé (GPG), exportable/partageable (Git)). Il y a des clients et des applications pour l’intégrer à tous les systèmes et les navigateurs.
Son défaut : Non geeks, s’abstenir.
LessPass
Pour finir Lesspass est un gestionnaire de mots de passe qui met un bon coup de pied dans la fourmilière. Ici pas de synchronisation, pas de stockage, uniquement du calcul :
LessPass generates unique passwords for websites, email accounts, or anything else based on a master password and information you know.
C’est révolutionnaire et conceptuellement intéressant.
Du coup, dans ce système, il n’y a pas de partage de mots de passe à proprement parler, à moins de partager un compte Lesspass.
Au final
Finalement, après tous ces outils testés et étudiés, je suis encore dans le brouillard.
J’utilise pass parce que je suis un geek Linux mais je n’ai pas de solution à proposer à mes proches qui, eux, ne savent pas utiliser un terminal.
Et vous, vous utilisez quoi pour vous et pour le travail en équipe ?