Je pense que les gestionnaires de mots de passe font partie intégrante de la sécurité informatique au quotidien. Avec des mots de passe de plus en plus complexes qui conviennent le mieux à chaque connexion, ils aident à mettre de l'ordre dans le chaos.

High tech workers office, whiteboard, notes, papers, plans, sample diskettes, stacked, in piles, reviews, keyboard, screen, notes, door desk, speakers, old calendar, cup of noodles, view, high rise, Seattle, Washington, USA

Jusqu'à présent, mon choix a toujours été Keepass, une application sympa, mais trop austère. De plus stocker sa base de mots de passes dans le cloud devenait fastidieux à chaque changement de poste.  Avec des mots de passe ou des documents sensibles la prudence est de mise.

Je veux savoir où sont mes données.

Evidemment, les développeurs doivent vivre de quelque chose et j'aime payer pour un bon logiciel.  En règle générale, je ne suis pas non plus opposé aux modèles d'abonnement que j'ai utilisé en partie sur d'autres applications  (Plesk) qui ont défini ce type de modèle économique.

Outre des fournisseurs tels que LastPass,Dashlane, vous ne devez pas oublier KeePass, en particulier dans le domaine de l’open source. Personnellement, je pense que l'application est simplement encombrante et pas agréable, même s'il existe des alternatives telles que KeeWeb. De bonnes applications ont également quelque chose à voir avec une bonne ergonomie.

J'ai maintenant trouvé une bonne alternative qui est Bitwarden . Des applications localisées pour chaque système , du code source open-source et, surtout, je peux héberger une instance à l'aide de Docker. Je sais donc où sont mes données et je suis responsable de leur sécurité.

De ce que Bitwarden en dit :

Bitwarden utilise le cryptage AES 256 bits ainsi que PBKDF2 pour sécuriser vos données.

Le gouvernement des États-Unis et d'autres agences gouvernementales du monde entier utilisent AES pour protéger des données top secrètes. Avec une mise en œuvre appropriée et une clé de cryptage forte (votre mot de passe principal), AES est considéré comme étant incassable.

PBKDF2 est utilisé pour chiffrer la clé de chiffrement à partir de votre mot de passe principal. Cette clé est ensuite salée et hachée.

Bitwarden n'écrit aucun code crypté. Bitwarden appelle uniquement le chiffrement à partir de bibliothèques de chiffrement populaires et réputées, écrites et gérées par des experts en cryptographie. Les bibliothèques de chiffrement suivantes sont utilisées:

Javascript (web and browser extension vaults)
    Forge
    Web Crypto
C# (mobile vault)
    CommonCrypto (iOS, Apple)
    Javax.Crypto (Android, Oracle)
    BouncyCastle (Android)

Bitwarden chiffre et / ou déchiffre toujours vos données sur votre appareil local avant qu'il ne soit synchronisé avec les serveurs de cloud pour la synchronisation. Les serveurs Bitwarden ne sont utilisés que pour stocker des données cryptées. Il n'est pas possible d'obtenir vos données non chiffrées à partir des serveurs Bitware Cloud.

Comme mentionné, une instance distincte s'exécute sur un serveur via Docker. L'installation est faite rapidement. Tout ce dont vous avez besoin est un serveur avec Docker:

curl -s -o bitwarden.sh \
    https://raw.githubusercontent.com/bitwarden/core/master/scripts/bitwarden.sh \
    && sudo chmod u+x bitwarden.sh
./bitwarden.sh install
./bitwarden.sh start
./bitwarden.sh updatedb

Et ça marche. Ensuite, il faut prendre en charge la configuration rapide supplémentaire, par exemple, pour assurer la réception des mails. La WebApp est automatiquement sécurisée avec Let's Encrypt et peut également être protégée par la double authentification.

Il existe également un plan premium, mais ce n'est pas obligatoire. Cela coûte 10$/an et s'étend après l'achat à la solution auto-hébergée. Cependant, je considère la licence premium plutôt comme un support permettant aux développeurs de contribuer, par exemple, au financement d’un audit de sécurité .