Discussion :

[Bill Fassinou]

Sondage : quels sont les meilleurs gestionnaires de mots de passe pour une entreprise ?
1Password, Keeper, LastPass, etc.

Y a-t-il un gestionnaire de mots de passe qui soit meilleur que les autres ? Les offres cloud deviennent de plus en plus nombreuses et les travailleurs des entreprises sont de plus en plus amenés à se connecter à un nombre élevé de systèmes dans le cadre de leur travail. Une chose qui pourrait les aider à garder les mots de passe des systèmes auxquels ils se connectent quotidiennement est le gestionnaire de mots de passe. Il aide à conserver les identifiants uniques et difficiles de chaque site sécurisé. Voici ci-après quelques noms des plus connus dans la communauté.

Tout d’abord, notons que les différents gestionnaires de mots de passe ont des expériences d'utilisation et des fonctionnalités différentes. Cela dit, la plupart des fonctionnalités de base sont similaires, notamment :

• un générateur de mots de passe qui combine des lettres majuscules et minuscules, des chiffres et des symboles ;
• partage sécurisé des mots de passe avec des contacts de confiance ;
• remplissage de formulaires, et la saisie automatique des détails d’une carte de crédit ;
• notes sécurisées ;
• les outils qui synchronisent la base de données des mots de passe sauvegardés avec le nuage utilisent un chiffrement de bout en bout.

La liste ci-dessous se base sur des examens de tiers et les avis d'experts en sécurité, dans le but de trouver la plus large sélection possible de produits de développeurs établis. Ainsi, la liste comporte des gestionnaires de mots de passe commerciaux offrant des versions gratuites, généralement avec quelques limitations et une option de mise à niveau vers un abonnement payant pour des fonctionnalités supplémentaires. Elle comporte aussi des produits commerciaux qui offrent des essais gratuits, mais qui nécessitent ensuite un abonnement payant, dont certains sont spécifiquement conçus pour être utilisés par des équipes. Pour finir, certaines, mais pas toutes, offrent des options familiales.

Les options gratuites avec des mises à jour payantes

LastPass

LastPass est un gestionnaire de mots de passe populaire qui fait partie de la famille LogMeIn depuis 2015. LogMeIn est une entreprise américaine de services informatiques créée en 2003. Last offre une version gratuite et une version payante. La version gratuite offre un ensemble de fonctionnalités robustes et prend en charge un nombre illimité d'appareils par utilisateur. Les produits personnels et professionnels de la société fonctionnent sur toutes les principales plateformes et tous les navigateurs de bureau et mobiles. Le service est uniquement basé sur le cloud.

De cette manière, les fichiers sont stockés sur les serveurs de l'entreprise et synchronisés avec les appareils locaux. La version Premium, qui est à 36 $ par an, donne droit à quelques fonctionnalités supplémentaires, telles que des options avancées d'authentification multifactorielle, un stockage de fichiers chiffrés de 1 Go et la possibilité de désigner un contact de confiance pour un accès d'urgence. Le plan familial, qui couvre jusqu'à six utilisateurs, coûte 48 dollars par an et comprend un tableau de bord. Les plans d'entreprise commencent à 48 dollars par utilisateur et par an.

RoboForm Free/RoboForm Everywhere

RoboForm est un gestionnaire de mots de passe lancé en 2000. La version gratuite prend en charge un nombre illimité de connexions et dispose de clients pour Windows, MacOS, Android et iOS, et pour tous les principaux navigateurs. Elle stocke en local sa base de données d'identification, ce qui signifie que vous êtes responsable de la sauvegarde de ces données et de leur synchronisation manuelle entre les appareils. RoboForm Everywhere quant à lui est un service d'abonnement à 24 dollars par an qui ajoute des fonctionnalités, telles que la sauvegarde dans le nuage, la synchronisation et l’authentification à deux facteurs.

Il dispose d’une option Famille à 48 dollars par an. Elle couvre jusqu'à cinq utilisateurs, et les plans d'entreprise coûtent 35 dollars par utilisateur et par an. Des réductions sont disponibles pour les achats pluriannuels.

Dashlane

Dashlane n'a pas la longévité de ses principaux rivaux, mais il existe depuis assez longtemps pour gagner une réputation de facilité d'utilisation. Les applications sont disponibles pour PC, Mac, Android, iOS et Windows. Si votre base de données de mots de passe comprend moins de 50 entrées et que vous ne devez utiliser le logiciel que sur un seul appareil, vous pouvez vous en sortir avec la version gratuite, qui prend également en charge l'authentification à deux facteurs. Dashlane ne propose pas d’option pour famille, mais il permet le partage des mots de passe entre les comptes.

La version Premium est à 60 dollars par an. Elle supprime les limites sur le nombre de mots de passe enregistrés et d'appareils synchronisés et inclut une option VPN. En outre, l'offre Premium Plus à 120 dollars par an ajoute une assurance contre le vol d'identité et une surveillance du crédit. Enfin, les versions d'entreprise comprennent les mêmes fonctionnalités que la version Premium, à 48 dollars par utilisateur et par an, avec des options de provisionnement et de déploiement ainsi que la possibilité de séparer les informations d'identification professionnelles et personnelles.

Les gestionnaires fournissant des services payants

1Password

Bien que ce produit ait gagné sa réputation sur les appareils Mac et iOS d'Apple, il a aussi été adopté par Windows, Android, Linux et Chrome OS. Il a une extension de navigateur, 1Password X, qui remplit les informations d'identification, suggère des mots de passe et fournit une authentification à deux facteurs dans Chrome, Firefox et Microsoft Edge. Après un premier essai gratuit de 30 jours, vous êtes invité à souscrire à un abonnement qui coûte 36 dollars par an. En outre, il propose un abonnement familial de cinq utilisateurs qui coûte 60 dollars par an.

1Password fonctionne mieux si ses fichiers de données sont synchronisés à partir des serveurs de 1Password, mais vous avez également la possibilité d'enregistrer les mots de passe localement et de synchroniser le fichier de données avec votre propre réseau ou un compte Dropbox ou iCloud. Les comptes professionnels 1Password ajoutent un contrôle d'accès avancé et des journaux d'activité et des politiques de sécurité gérées de manière centralisée. Ils coûtent 96 $ par utilisateur et par an, avec un stockage de 5 pour les fichiers et un compte familial gratuit lié pour chaque utilisateur.

Keeper

Keeper est arrivé sur le marché en 2011. Il propose grand assortiment de produits, avec des offres distinctes pour l'usage personnel et familial, les entreprises, les clients professionnels et les fournisseurs de services gérés. Les forfaits personnels commencent à 30 dollars par an pour Keeper Unlimited, qui permet de stocker un nombre illimité de mots de passe et de les synchroniser sur un nombre illimité d'appareils. Un forfait de 60 $ par an ajoute la fonction de messagerie cryptée KeeperChat, le stockage sécurisé de fichiers et un service de surveillance des brèches.

Ce dernier analyse les mots de passe enregistrés pour trouver ceux qui sont connus pour être compromis. La version familiale de chaque forfait double le coût et prend en charge jusqu'à cinq utilisateurs. Keeper stocke les fichiers de données synchronisées sur le cloud Amazon Web Services. Les forfaits étudiants sont à moitié prix.

Hypervault

Hypervault est arrivé sur le marché fin 2018, et été conçu à l'origine pour un usage interne par ses développeurs. La version 2, lancée en avril 2019, tient certaines des promesses de la société pour un gestionnaire de mots de passe axé sur les besoins des équipes. La version 2 s’accompagne d’une interface utilisateur remaniée ainsi que des autorisations de groupe et une structure basée sur les droits pour les membres de l'équipe. L’abonnement commence à 2,50 dollars par utilisateur et par mois, avec des réductions à partir des seuils de 10 et 50 utilisateurs et des réductions supplémentaires pour les achats annuels.

La société dispose d'un journal des modifications et d'une feuille de route bien documentés, et une version autohébergée est “à venir”.

Les gestionnaires de mots de passe open source

KeePass Password Safe

Si vous avez la phobie du cloud ou si vous insistez sur les logiciels à source ouverte, c'est votre choix. KeePass fonctionne sur toutes les plateformes de bureau et mobiles, y compris la plupart des distributions Linux, et il est gratuit. Les fichiers sont stockés localement, et vous voudrez maîtriser ses arcanes de raccourcis clavier pour remplir automatiquement les mots de passe. L'intégration au navigateur est possible grâce à des plugins tiers. En outre, KeePass Password Safe offre également la possibilité de l’utiliser sur un grand nombre d’appareils.

Dans ce cas, le moteur de synchronisation intégré du programme met à jour automatiquement la base de données des mots de passe, quel que soit l'emplacement de stockage en nuage que vous indiquez.

Bitwarden

Le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le nuage. Si vous n'êtes pas à l'aise avec le stockage de vos mots de passe dans le nuage Bitwarden, vous pouvez héberger l'infrastructure sur votre propre serveur, en utilisant Docker.

Passbolt

Les développeurs de Passbolt l’ont conçu pour les équipes et DevOps, en utilisant des normes de sécurité modernes à source ouverte et des outils familiers, dont le lanceur d’applications conteneurisées Docker. La version communautaire autohébergée fonctionne sur votre propre serveur et est spécifiquement destinée aux équipes agiles qui s'éloignent de solutions comme KeePass et LastPass. Il a une version commerciale payante avec la prise en charge de l'authentification multifactorielle.

L’abonnement commence à 10 euros par mois pour cinq utilisateurs, avec des réductions pour un paiement annuel.

Password Safe[

Password Safe a été conçu par l’expert en sécurité Bruce Schneier. Sur le bureau, il s'agit d'un produit exclusivement Windows, bien que des clones soient disponibles pour les appareils macOS, Android et iOS. Les bases de données sont sauvegardées localement et les fonctions de synchronisation ne sont pas intégrées. Bien que Password Safe ait une base de fans fidèles, il ne plaira probablement pas à ceux qui veulent les capacités de polissage et de synchronisation d'une application plus moderne.

Et vous ?

Qu'en pensez-vous ?

Voir aussi

KeePassXC 2.6 est disponible : le gestionnaire de mots de passe arbore une nouvelle interface et s'accompagne de nouvelles fonctionnalités comme la vérification de l'intégrité du mot de passe

La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport

Firefox 76 est disponible avec un gestionnaire de mot de passe amélioré et d'autres nouveautés comme la possibilité de rejoindre des appels Zoom via le navigateur

Bitwarden : le gestionnaire de mots de passe qui séduit les adeptes de l'open source. Quel gestionnaire de mots de passe utilisez-vous ?

Le gestionnaire de mots de passe LastPass corrige un bogue qui expose les informations d'identification entrées sur un site précédemment visité

[user056478426]

KeePass sans hésiter et plus précisément KeePassXC https://github.com/keepassxreboot/keepassxc qui est très bien maintenu.

[Shampra]

Keepass... qui a l'avantage oublié dans l'article d'être validé par l'ANSSI.
https://www.ssi.gouv.fr/entreprise/c...2-10-portable/

[emilie77]

KeePass ou KeepassXC
c# ou c++
original ou imitation?

aidez moi a choisir

[Mubelotix]

A partir du moment où un gestionnaire de mot de passe stocke les mots de passe ou les synchronise en utilisant Internet, c'est un mauvais gestionnaire. Moi j'ai créé mon propre gestionnaire de mots de passe qui regénère les mots de passe à chaque fois qu'il y en a besoin, en utilisant une fonction de hachage qui prend le mot de passe principal concaténé au nom de domaine du site pour lequel on veut un mot de passe. Je suis en train de réfléchir à une implémentation de 2FA en P2P pour le rendre keylogger-proof.

[Steinvikel]

Moi j'ai créé mon propre gestionnaire de mots de passe qui regénère les mots de passe à chaque fois qu'il y en a besoin, en utilisant une fonction de hachage qui prend le mot de passe principal concaténé au nom de domaine du site pour lequel on veut un mot de passe. Je suis en train de réfléchir à une implémentation de 2FA en P2P pour le rendre keylogger-proof.

Tu devrais rejoindre le projet "Master Password" sous licence GPL. Il ne stoque pas les mot de passe, mais les génère sur demande ...à partir de mdp maître + nom (salt) + site + compteur (pour changer un mdp déjà établi) + choix du type de mdp
Son principal défaut est qu'il ne peut pas changer son mot de passe maître, car c'est depuis ce dernier que les mdp sont générés et retrouvés (générés à nouveau pour les lires)
De plus, les mdp sont sytématiquements affichés ...cette solution est utile pour ne pas garder de trace mémoire, mais est vulnérable à d'autres vecteurs d'attaques plus courantes.

KeePass ou KeepassXC
c# ou c++
original ou imitation?

aidez moi a choisir

KeePass n'est pas évoqué dans l'article, c'est un logiciel différent qui, entre autre, ne comprend pas de syncronisation.

KeePass Password Safe :
Gestionnaire de mot de passe, l'un des plus utilisés, et multiplateforme, développé d'abord pour Windows en C++, puis compatible aux autres via la compatibilité .NET qu'apporte le projet Mono.
/!\ les versions Windows Phone, Android, iOS, et BlackBerry ne sont pas encore officiellement développé, ce sont des fork non garanti par la team /!\
la branche "1.xxxxx" bien qu'écrite en C++, présente de grandes lacunes en fonctionnalitées en comparaison de la branche "2.xxxxx" :
- pas de commentaires des mdp
- pas d'historique de modification des entrées (mdp)
- pas de cloud sync' natif
- pas de pièces jointes
- pas de support complet d'Unicode
- pas de "SecureDesktop" --> un UAC distant --> a master key dialog on a different/secure desktop --> permet de prémunir son mdp d'un key logger --> https://keepass.info/help/kb/sec_desk.html
- pas de Custom String Fields (pour remplir des champs triple, quadruples, etc.)
- pas d'import d'icônes
- pas de recherche de duplicat
- beaucoup moins de support de format d'import de mdp
- pas de script
- pas de trigger system (ex: you could define a trigger that automatically uploads your database to a backup server after saving the file locally)
Administrators can specify a minimum length and/or the minimum estimated quality that master passwords must have in order to be accepted. You can tell KeePass to check these two minimum requirements by adding/editing appropriate definitions in the INI/XML configuration file.
https://keepass.info/help/base/keys.html
PS: pour les difficultés de synchro, il y a une solution simple --> envoyer le fichier .kdb via un service d'hébergement sécurisé comme Turtl --> https://turtlapp.com/premium/

Ce projet à été forké en KeePass X, puis en KeePassXC sous licence GPL :
fork 2° de KeePass pour le rendre pleinement cross-plateforme, et intègre un module pour navigateur web

Maintenant, par expérience, la version XC est plus réussi graphiquement, mais pour comparer les subtilités à l'utilisation (comme la possibilité de remplir des formulaires à 4 champs), je te conseil d'installer les 2 pour comparer.



quête

A l'heure actuelle, je suis toujour à la recherche d'une fonctionnalité que je ne trouve nulle part. Celle de permettre d'utiliser une base de mot de passe, mais sans permettre leur affichage, uniquement l'auto-complétion des formulaires (pas leur disponibilité en presse-papier).
C'est un besoin d'entreprise, qui pourrait très bien se retrouver dans le cadre famillial.

Si quelqu'un connait un produit qui répond à ce seul critère, je suis intéressé !


Qu'en pensez-vous ?
Une politique de sécurisation sur le stockage de ce qu'il y a de plus sensible pour l'entreprise, ne devrait jamais se reposer sur une solution propriétaire. Le seul critère qui amène à choisir une concession sur ce choix, c'est la baisse du caractère "sensible"... autrement j'estime que c'est une erreur !

[gabriel21]

A partir du moment où un gestionnaire de mot de passe stocke les mots de passe ou les synchronise en utilisant Internet, c'est un mauvais gestionnaire.

A partir du moment où tu utilise Internet, si tu as un gestionnaire de mot de passe tu es mauvais...
Blague à part, les gestionnaires de mots de passe qui se synchronisent via Internet, utilisent généralement les mêmes protocoles que ceux utilisé pour transmettre ton mot de passe au site pour vérification. Après la sécurité des mots de passe stockés sur Internet va dépendre de :
- la sécurité des serveurs, des services, des bases de donnée... Sachant que s'est la sécurité de chaînon le plus faible qui défini la sécurité totale
- la confiance que tu donnes au propriétaire du service. Pour ma part, je ne leur fait pas confiance, du coup, mes mots de passe sont dans un fichier Keepass qui est synchronisé sur un serveur Nextcloud que je gère personnellement. Seul, le serveur physique ne m'appartient pas. Mais le fichier est quasiment inutilisable sur la phrase de passe associé.

J'utilise Keepass en privé et en professionnel. La version portable fonctionnant sur Linux et Windows, il m'est facile de l'utiliser ayant plusieurs PC avec des OS différents. Au travail, le choix s'est porté sur cet outils en raison de sa recommandation par l'ANSI.

[bcag2]

plus précisément KeePassXC https://github.com/keepassxreboot/keepassxc qui est très bien maintenu.

oui keepassXC, en plus la dernière mouture (2.6) a un dark theme

[pmithrandir]

J utilise keeweb, sur base google drive au travail.
On partage les mots de passe au sein de l équipe comme ça

Inconvénient quand qq part il faut changer tous les mots de passe principaux au moins.

En privé j ai essayé la même chose sur onedrive, mais le partage des fichiers n est pas pareil et ma femme ne peux pas accéder au fichier que je lui ai partagé.

[rodskin]

J'utilise LessPass https://lesspass.com/
qui n'est pas synchro web et crée le mdp à partir d'un mdp maitre, un "login", et une info pour le site (nom, url, etc)

[ArchiTech]

Keepass permet de travailler à plusieurs, simple, efficace, accessible à tous (pas seulement les informaticiens), mais il lui manque une gestion des habilitations plus fine, par dossiers par exemple, même si on peut le simuler en créant plusieurs bases, ce n'est pas pareil : il faut ouvrir chaque base, avec son propre mot de passe principal.

[weed]

mes mots de passe sont dans un fichier Keepass qui est synchronisé sur un serveur Nextcloud que je gère personnellement. Seul, le serveur physique ne m'appartient pas. Mais le fichier est quasiment inutilisable sur la phrase de passe associé.

J'utilise Keepass en privé et en professionnel. La version portable fonctionnant sur Linux et Windows, il m'est facile de l'utiliser ayant plusieurs PC avec des OS différents. Au travail, le choix s'est porté sur cet outils en raison de sa recommandation par l'ANSI.

Pourquoi ne pas utiliser directement le gestionnaire de mot de passe que propose NextCloud si tu utilises NexCloud?
Pour ma part, c'est ce que j'utilise, tu as un mot de passe supplémentaire pour protéger le coffre fort proposé par Nexcloud et tu as un addon Firefox pour gérer les mots de passe. Je trouve le module assez bien fichu.

[Steinvikel]

Le problème du gestionnaire de mots de passe Firofox (Lockwise), c'est qu'il est pensé pour une utilisation avec une même personne devant l'écran, et pas pour un cadre familial de PC partagé, ou d'un PC d'entreprise où tu ne peux pas fermer/changer la session sans "casser" certains processus en cour d'exécution.
Résultat, tu ne peux pas laisser le profil firefox a disposition d'un inviter pour lui permettre d'accéder à ton Netflix, Steam, ou d'autres sites, sans t'exposer complètement à un cyphonage des mots de passe quand tu pars aux toilettes.

[emilie77]

Avec keepass vous faitez comment pour acceder aux passwords par example aver le smartphone?

[gabriel21]

Pourquoi ne pas utiliser directement le gestionnaire de mot de passe que propose NextCloud si tu utilises NexCloud?
Pour ma part, c'est ce que j'utilise, tu as un mot de passe supplémentaire pour protéger le coffre fort proposé par Nexcloud et tu as un addon Firefox pour gérer les mots de passe. Je trouve le module assez bien fichu.

Je l'utilise aussi sur ma tablette, mon téléphone et mon pc portable qui n'ont pas toujours accès à Internet. En effet, je traverse de nombreuses zones blanche... Et Keepass me permet de stocker les mots de passe des clés USB chiffrés.
J'avais essayé le gestionnaire en question, mais il m'avait empêché de faire une monté de version de Nextcloud qui implémentait une fonctionnalité que j'attendais. Du coup, je l'avais supprimé. Il n'est toujours pas compatible avec la version 19 de Nextcloud.
L'addons de firefox fonctionne très bien avec Keepass (Keefox).

[gabriel21]

Avec keepass vous faitez comment pour acceder aux passwords par example aver le smartphone?

Pour ma part j'utilise Keepass2Android. Le fichier est quand à lui, synchronisé via Nextcloud.

[Invité]

Bonjour,

Qu'en pensez-vous ?

1) Je me suis débarrassé des gestionnaires de mots de passes .

2) Risque de piratage de BDD chez un presta si... dixit LastPass ... donc on oublie stockage online / externe

3) Risque de ransomware ... donc on oublie un pure stockage en local

Solution à contre courant ... Checker les sites ou l'on est inscrit + ne conserver que les identifiants sans les mdp. Utiliser "mot de passe oublié" pour ne stocker aucun mdp. Pour les plus sensible , cela réduit considérablement le nombre (solution de chiffrage+cryptage strictement personnalisé ) hors internet avec des systèmes de réplication.

[Nico28]

Pour ma part, Dashlane version payant depuis plusieurs années.

[antyriad]

Pour ma part, j'utilise EnPass depuis plus de 5 ans.

Les mots de passes sont chiffrés dans une base de données sqlite que l'on peut placer dans un Drive (de mon côté, GDrive puis Dropbox). L'outil fonctionne très bien sur Android, MacOS et Windows et propose des extensions pour la plupart des navigateurs.

Les dernières versions proposent de gérer plusieurs vaults mais je n'ai pas encore utilisé cette fonctionnalité. Je ne m'en sert que dans un cadre perso pour le moment

[vohufr]

Password-store = stockage sur gît avec chiffrage gpg.
Il y a une app Android, des plugin firefox, des ihm à gogo...
C'est moins friendly, mais au moins on sait comment ça marche...