Gestionnaires de mots de passe - comparatif 2020

20.100 · Septembre 30, 2020, 4:23

Comme discuté dans ce précédent thread, je vous poste (en avant-première ) le comparatif des gestionnaires de mots de passe que je viens de réaliser.

Les gestionnaires de mots de passe

Un bon mot de passe est :

Long (12 caractères minimum)
Complexe (lettres, chiffres, symboles)
Utilisé une seule fois pour un seul site.

Et là vous allez me dire : « déjà que je n’arrive pas à retenir UN mot de passe long et complexe, alors en retenir une centaine pour tous mes sites, n’y pense même pas… »

C’est pourquoi vous devez utiliser un gestionnaire de mot de passe : une application qui stocke, génère et met à jour les mots de passe pour vous. Et pour accéder à cette application, vous avez besoin d’un mot passe. Et finalement c’est le seul que vous aurez à retenir puisqu’il vous permet d’accéder à tous les autres. C’est votre Mot de Passe Maitre : il doit donc être long et complexe.

Voyez cela comme un coffre-fort avec une grosse clé que vous détenez, qui une fois ouvert contient toutes vos autres clés.

Des gestionnaires de mot de passe, il y en a plein : en application locale sur votre machine, nativement proposé par votre navigateur, ou encore en extension / applications web en ligne. Lequel choisir ? Tentons de comprendre et de faire un peu de tri :

(pour ceux qui ont la flemme de tout lire, le résumé TL ; PL est à la fin)

Les applications locales

Elles s’installent localement sur votre machine ou mobile, et ne communiquent pas avec l’extérieur. De fait, les mots de passe qui y sont stockés restent sur place et ne peuvent pas être partagés avec d’autres appareils ni d’autres personnes.

Pas très pratique, mais en revanche, c’est la solution la plus sécurisée puisque rien ne circule sur internet. Même si les fichiers de mot de passe sont fortement chiffrés, c’est toujours plus rassurant de savoir qu’ils ne sortent pas de son PC.

Le plus connu est sans conteste KeePass, et c’est d’ailleurs lui qui est recommandé par l’ANSSI.

Les gestionnaires proposés nativement par votre navigateur

Tous les navigateurs modernes proposent d’enregistrer vos logins/mot de passe dès que vous les saisissez dans un site web, puis ils remplissent pour vous le formulaire de connexion la fois suivante.

C’est pratique, intégré au navigateur. Franchement, si tout le monde utilisait cela ce serait déjà un progrès considérable. C’est mieux que de réutiliser le même mot de passe partout, mais ils restent rudimentaires et si l’on creuse un peu, pas très bien sécurisées.

Parce que les mots de passe sont stockés dans le profil de votre navigateur, et qu’un navigateur ça n’est pas construit pour stocker des mots de passe, donc le chiffrement des données n’est pas très sécurisé.
Parce que les fonctionnalités sont très basiques (pas de MFA, pas de proposition de mot de passe, pas d’évaluation du mot de passe que vous saisissez, etc.)
Parce que cela vous lie à votre navigateur : impossible de partager ces mots de passe si vous en utilisez plusieurs en parallèle.

Les extensions de navigateurs / applications en ligne

Ce sont des services dédiés, disponibles comme une application pour mobile et/ou une extension dans vos navigateurs

Fondamentalement, ils proposent la même chose que les gestionnaires natifs des navigateurs : enregistrer vos logins/mot de passe dès que vous les saisissez dans un site web, puis remplir les formulaires de connexion. Mais ils offrent aussi beaucoup plus de services, parmi lesquels :

Authentification forte à plusieurs facteurs (MFA)
Evaluation de vos mots de passe (non, 123456 n’est pas un bon mot de passe, même si c’est toujours le plus utilisé…)
Génération instantanée de mots de passe dès que vous avez besoin d’un créer un, comme ça vous ne le voyez même pas ! Le meilleur mot de passe, c’est celui qu’on ne connait pas !
Vérification de vos mots de passe existant, et suggestions de changement lorsqu’ils sont trop faibles, ou en doublons
Veille cybersécurité : ils vous alertent si un site web a été piraté et si vos données en ont été extraites, puis vous proposent de modifier votre mot de passe instantanément.

Contrairement aux gestionnaires proposés nativement par les navigateurs, ces services en ligne sont agnostiques et disponibles sur quasiment tous les navigateurs. On peut donc saisir un mot de passe dans Firefox et le retrouver dans Chrome pour peu que l’extension soit installée sur les deux.

Pour assure cette synchronisation entre les navigateurs et les applications, il faut que ce coffre-fort soit stocké en ligne, sur les serveurs de l’entreprise. En théorie, tout ce qui est stocké chez eux est fortement chiffré et serait inexploitable pour un hacker qui parviendrait à pirater leur service. Mais en pratique, il faut avoir confiance dans leur service, comme pour un voiturier à qui vous laissez vos clés.

Personnellement, c’est ce que je vous recommande ; un bon compromis entre confort et sécurité.

Il y en a beaucoup sur le marché, des gratuits, des payants, des « ça dépend », alors lequel choisir ? En voici quelques-uns avec leurs avantages / inconvénients.

1Password

https://1password.com/ : 36 EUR /an (60 EUR /an pour la version famille)

Avantages

Chiffrement très sécurisé avec le système de « clé secrète » nécessaire pour tout nouvel appareil
N’a connu aucun hack jusqu’à présent
Mode « voyage » pour marquer certaines parties du coffre fort comme étant « sécurisée pour voyager » (certains pays vous demandent de déverrouiller vos mobiles et gestionnaires de mot de passe à la douane…)
Mode « famille » pour partager les mots de passe avec 5 personnes
Authentification à 2 facteurs (2FA)

Inconvénients

Honnêtement je n’ai rien trouvé.

Dashlane

https://www.dashlane.com/ : Gratuit ou 40EUR /an (60 EUR /an pour la version famille)

Avantages

Possibilité de notifier une personne de confiance en cas de problème
Interface utilisateur
VPN intégré dans l’offre premium
Authentification à 2 facteurs (2FA)
Possibilité de stocker son coffre-fort en local et de gérer soi-même la synchronisation.

Inconvénients

Version gratuite trop limitée : 50 mots de passe, un seul appareil, pas de stockage de document
Cher en version payante

Bitwarden

https://bitwarden.com/ : Gratuit ou 10EUR /an (40 EUR /an pour la version famille)

Avantages

Logiciel Open Source.
Peut être installé sur votre propre serveur.
Authentification à 2 facteurs (2FA)
Totalement gratuit, avec option payante offrant 1 Go de stockage de fichiers chiffrés.

Inconvénients

Pas d’authentification biométrique sur Mac.
Ne fonctionne pas avec les onglets privés de Firefox.

Lastpass

https://www.lastpass.com/ : Gratuit ou 36/an (48 EUR /an pour la version famille)

Avantages

La meilleure offre gratuite, sur plusieurs appareils, mais un seul partage de mot de passe à la fois.
Authentification à 2 facteurs (2FA)
L’interface est pas mal

Inconvénients

Le service a connu quelques hacks dans le passé, et son extension Chrome peut se faire hacker assez simplement
L’application Android n’est pas très performante.

Keepass

https://keepass.info/ . On en parle quand même, car avec un peu de bidouille il est possible de stocker son coffre-fort dans un service en ligne (ex : Dropbox), et de le synchroniser entre appareils.

Avantages

Stockage en local
Open Source
Recommandé par l’ANSSI

Inconvénients

Intégration dans le navigateur possible via des pluggins, mais compliquée.
Interface utilisateur digne des années 90
Pas de synchronisation à moins de bidouiller.

En résumé (TL ; PL)

Si vous avez moins de 50 mots de passe à stocker : Dashlane version gratuite
Si vous avez plus de 50 mots de passe, mais que vous voulez rester sur du gratuit : LastPass
Si vous souhaitez payer pour un meilleur service: 1Password
Si vous voulez de l’Open Source : Bitwarden.
Si vous ne voulez pas que ce gestionnaire soit hébergé par un service externe, et si vous voulez le truc le plus sécurisé recommandé par l’ANSSI : KeePass

LoneWolf · Septembre 30, 2020, 6:11

Bah écoute, c’est un bon complément a mon dossier qui date un peu, notamment sur les tests de logiciels: non seulement mon dossier est vieux, mais la partie test était pas fifolle

Pour critiquer, je dirais que ca serait pas mal de mettre des liens wikipedia sur les termes spécifiques (ANSSI, MFA/2FA, etc) et d’ailleurs, c’est justement un des gros manques de mon dossier, les technos existantes de MFA - je ne parle que des 2FA.

Gratz · Septembre 30, 2020, 6:46

Je me permettrai juste de dire que « 40€ c’est cher » pour Dashlane vs « 36€ je vois pas d’inconvénient » pour 1pwd bon…

20.100 · Septembre 30, 2020, 7:05

C’est vrai, ça fait un peu 2 poids 2 mesures vu comme ça, et ça prouve que mon comparatif a pris un peu de temps et que mon opinion a évolué entre temps
Dans l’absolu 40 c’est plus cher que 36
Mais je crois que j’ai dit ça au regard des fonctionnalités proposées.

Cafeine · Octobre 1, 2020, 12:08

Ouais c’est surtout que Dashlane est plus cher ET moins bien. Les dernières évolutions sont pas folles.

BalooZ · Octobre 1, 2020, 6:14

Plutôt que cher, je pense que tu aurais pu écrire « rapport qualité / prix moindre » ou quelque chose du style.

tom123 · Octobre 1, 2020, 8:39

Ca fonctionne en donnant le droit à l’extension de se lancer sur les onglets privés.
C’est une option de vie privée.

Keypassxc plutôt que keypass non ?

Depuis la Doc de Keypassxc:

Why KeePassXC instead of KeePassX?

KeePassX is an amazing password manager, but hasn’t seen much active development for quite a while. Many good pull requests were never merged and the original project is missing some features which users can expect from a modern password manager. Hence, we decided to fork KeePassX to continue its development and provide you with everything you love about KeePassX plus many new features and bugfixes.

Why KeePassXC instead of KeePass?

KeePass is a very proven and feature-rich password manager and there is nothing fundamentally wrong with it. However, it is written in C# and therefore requires Microsoft’s .NET platform. On systems other than Windows, you can run KeePass using the Mono runtime libraries, but you won’t get the native look and feel which you are used to.
KeePassXC, on the other hand, is developed in C++ and runs natively on all platforms giving you the best-possible platform integration.

cedric · Octobre 1, 2020, 9:28

Je n’ai pas l’impression que tu utilises Bitwarden au quotidien. C’est un peu comme moi et 1Password où je me suis limité à l’essai de 30 jours Quelques précisions :

N’a connu aucun hack jusqu’à présent

Ça sous-entend que tous les autres ont connu des hacks ? J’étais juste au courant pour LastPass.

Chiffrement très sécurisé avec le système de « clé secrète » nécessaire pour tout nouvel appareil

Concrètement en quoi la sécurité de 1Password est meilleure ? A priori Bitwarden me demande ma clé secrète pour chaque nouvel appareil. 1Password utilise l’encryption AES-256 et Bitwarden AES-256, RSA et PBKDF2

Mode « famille » pour partager les mots de passe avec 5 personnes

Ça correspond à l’offre family de Bitwarden

Pas d’authentification biométrique sur Mac.

Bitwarden supporte Touch ID, ce n’est pas suffisant ?

Un des rares points négatifs de Bitwarden que j’ai repéré c’est l’impossibilité de sauver des mots de passe basic http authentification.

Haza · Octobre 1, 2020, 10:00

Bitwarden te demande ton master password (et éventuellement de confirmer via double auth).
1password te demande la « secret key », qui est différente du master password, qui est générée et non modifiable.
Pour information, ca ressemble à ceci :

cedric · Octobre 1, 2020, 10:04

Merci pour l’info

Twin · Octobre 1, 2020, 10:32

Non il parle bien de Keepass « tout court », pas X ou XC.
X et XC sont des softs différents (arrivés plus tard) qui utilisent le même format de fichier. Mais ils n’ont pas été audités par l’ANSSI par exemple.

chodaboy · Octobre 2, 2020, 12:21

Hello ! Top le comparatif

Un avis sur Lockwise ?

Jodiroga · Octobre 4, 2020, 9:08

Pour info, Chrome le propose :
2020_10_04-23.02.05-screenshot

Je ne défends pas les navigateurs pour autant — je pense comme toi que c’est moins bien que les applications spécifiques. J’aime beaucoup ce que fait 1password, même si j’avoue flipper un peu depuis qu’ils ont levé 200 millions d’euros (alors qu’ils étaient jusque-là un des plus beaux exemples de boite indépendante/autofinancée avec un produit qui tue).

Gratz · Novembre 26, 2020, 10:17

TIens je profite de ma discussion actuelle sur le slack du taf pour faire remonter un peu le sujet. Ma boîte a choisi de promouvoir l’usage d’un gestionnaire de pwd (en plus d’activer le 2FA obligatoire sur les comptes google yay 2020), ce qui est bien.

Ce qui est moins bien (?) c’est qu’ils proposent uniquement Keepass ou Lastpass en « recommandé », aucune notion sur les autres (après osef si on en utilise déjà un autre hein, c’est juste que pour les normies, 1pwd n’existe vraisemblablement pas, ou alors c’est la notion de « c’est payant » qui passe pas - je penche pour cette dernière option).

LoneWolf · Novembre 26, 2020, 10:29

C’est très rare qu’une entreprise propose une solution gratuitement a une autre entreprise et je pense que ton taf a mal lu les conditions d’utilisations de Lastpass: C’est gratuit pour les particuliers et peut être pour l’éducationnal, mais pas pour le pro.
Donc s’ils ne veulent pas payer, il ne restera plus que keepass…

Gratz · Novembre 26, 2020, 10:31

Mouais, dans les faits la demande c’est que les gens utilisent un gestionnaire de mots de passe. C’est pas l’entreprise qui met en place un gestionnaire de mots de passe obligatoire.

Twin · Novembre 26, 2020, 10:32

Si c’est utilisé pour stocker des mots de passe pro, ça tombe sous le coup de la license.

LoneWolf · Novembre 26, 2020, 10:32

Bah ok mais pas d’accord: si tu veux pas que ca soit la foire a la saucisse, il faut que tout le monde utilise le même outil. Sinon c’est l’enfer a gérer…

Gratz · Novembre 26, 2020, 10:34

Encore une fois : ce n’est pas la boîte qui le gère, c’est chaque individu. La demande c’est juste de ne plus utiliser le même pwd partout.

Gratz · Novembre 26, 2020, 10:34

Alors : comment tu le vérifies ? (j’avais pas vu ta réponse)

Moi perso j’ai un compte 1pwd depuis bien avant que la boîte demande ce genre de trucs, et je stocke mes mdp pro dessus.