Passbolt Review

Passbolt

ProPrivacy.com But
8.1 sur 10

Sommaire

Passbolt est un gestionnaire de mots de passe open source conçu pour une utilisation en entreprise et en équipe. Il peut être auto-hébergé sur votre propre serveur, auto-géré sur l'espace serveur loué ou entièrement hébergé par le développeur luxembourgeois Passbolt SA. Dans cette revue approfondie de Passbolt, nous examinerons la sécurité, les fonctionnalités, le rapport qualité-prix et plus encore.

Statistiques rapides

  • Pays
    Luxembourg

Avantages

  • Code open source 100% audité
  • Cryptage de bout en bout asymétrique
  • Auto-hébergé ou entièrement hébergé
  • Édition communautaire gratuite
  • Remplissage automatique avec les modules complémentaires du navigateur
  • Cryptographie à clé publique (identique à la blockchain)
  • Fonctionnalités hautement collaboratives
  • Interopérable (API ouverte & CLI)

Les inconvénients

  • Cryptographie basée sur un navigateur (mais aussi puissante que possible)
  • Les plans entièrement hébergés utilisent des serveurs Google et AWS

Tarification

Passbolt Community Edition (CE) est un logiciel gratuit et open source que vous pouvez auto-héberger ou installer vous-même sur un serveur tiers.

Des plans d'entreprise entièrement hébergés sont également disponibles qui offrent une gamme de fonctionnalités supplémentaires, ainsi qu'une assistance par e-mail ou par téléphone (les utilisateurs gratuits sont limités à l'assistance du forum communautaire).

Plans auto-hébergés

Les paiements sont effectués par carte à l'aide du processeur de paiement Stripe. Ceux qui souhaitent essayer les fonctionnalités supplémentaires de l'entreprise doivent contacter directement l'entreprise.

Plans Cloud Passbolt

traits

  • Partage de mots de passe
  • Auto-hébergé ou hébergé
  • Favoris
  • Filtre
  • Chercher
  • commentaires
  • Gestion des utilisateurs
  • Gestion des groupes
  • Notifications par email
  • Modules complémentaires pour navigateur Chrome et Firefox
  • Thème sombre (premium uniquement)
  • 2FA (premium uniquement)
  • Annuaire d'utilisateurs synchronisé LDAP (premium uniquement)

L'intégration lente, les journaux d'audit et les applications mobiles sont tous promis dans un avenir proche pour les utilisateurs premium.

Authentification à deux facteurs

Passbolt prend en charge l'authentification à deux facteurs (2FA) via un mot de passe unique basé sur le temps (TOTP), Yubikey ou Duo.

Paramètres d'authentification à deux facteurs Passbolt

Thème sombre

Nous sommes honnêtement un peu perplexes devant l'énorme popularité des thèmes sombres, mais ici c'est quand même.

Passbolts dark theme

Confidentialité et sécurité

Juridiction

Passbolt SA est enregistrée au Luxembourg et est donc soumise au RGPD et à d'autres réglementations de l'UE en matière de données. Le Luxembourg n'a pas de liens particuliers avec l'alliance d'espionnage Five Eyes dirigée par la NSA des États-Unis, mais un scandale d'espionnage de 2013, qui a entraîné la démission du Premier ministre, montre que l'agence d'espionnage du Service de Renseignement de l'État (SREL) du pays est loin d'être passif.

Ce qui est probablement plus pertinent, c'est que Passbolt SA utilise Google Cloud Platform et Amazon Web Services (AWS) pour héberger des comptes entièrement hébergés, qui peuvent tous deux être raisonnablement supposés être soumis à une surveillance étendue de type NSA. Heureusement, Passbolt rassure en déclarant qu’il "ne comprend aucun tracker que ce soit" et son utilisation du chiffrement de bout en bout devrait apaiser la plupart des craintes.

Et, bien sûr, vous pouvez auto-héberger Passbolt n'importe où - sur du matériel entièrement sous votre contrôle, ou sur du matériel loué auprès de fournisseurs dans le pays de votre choix..

Sécurité technique

Les mots de passe sont chiffrés côté client à l'aide d'une extension de navigateur OpenPGP basée sur la bibliothèque JavaScript OpenPGP.js, ils sont donc chiffrés de bout en bout (e2ee). En transit, ils sont cryptés par SSL / TLS, le mécanisme qui sécurise les sites HTTPS.

Côté serveur, Passbolt utilise l'extension GnuPG Php et openpgp-php pour effectuer une validation par clé publique et prendre en charge le protocole d'authentification GPGAuth.

Il convient de noter que seuls les mots de passe sont cryptés au repos - pas les commentaires ou la liste des personnes avec lesquelles vous partagez un mot de passe. Cela dit, il est généralement possible de chiffrer les données au niveau du système à l'aide de systèmes de chiffrement à disque complet tels que EncFS si cela vous dérange.

Tout le code utilisé par Passbolt est entièrement open-source. Et bien qu'il soit suggéré que «le travail de révision du code ne sera jamais effectué», une grande partie de celui-ci a, en fait, été largement auditée, avec 2 révisions complètes à ce jour. Qui est genial. Un autre examen devrait avoir lieu en 2020 et la société continue d'exécuter un programme de primes de bogues sur YesWeHack..

Cependant, des problèmes subsistent avec la cryptographie JavaScript dans le navigateur, le plus important étant que les navigateurs acceptent tout code malveillant qui leur est transmis par un serveur compromis. Passbolt atténue cela en utilisant une extension de navigateur plutôt que de simplement s'appuyer sur JS natif dans le navigateur, et son utilisation de code open source bien audité est rassurante.

La cryptographie basée sur un navigateur ne peut pas être considérée comme aussi sécurisée que les solutions clientes logicielles dédiées, mais la mise en œuvre de Passbolt est très solide.

Facilité d'utilisation

Configuration et installation

La façon la plus simple de configurer une instance Passbolt est de laisser Passbolt SA le faire pour vous. Cela coûte de l'argent, cependant, supprime le contrôle complet de vos mains à Passbolt SA, et signifie l'hébergement de vos données sur des serveurs américains (quoique e2ee).

Vous pouvez à la place auto-héberger une instance (Community Edition ou Premium) sur votre propre matériel serveur ou sur un espace serveur loué auprès d'un fournisseur tiers. Des instructions étape par étape sont disponibles pour ce faire sur une variété de plates-formes de serveurs.

L'image de la machine virtuelle ne fonctionnait pas pour nous pour une raison quelconque (tout à fait possible notre propre faute), mais les instructions d'Ubuntu étaient très claires et fonctionnaient à merveille. Si vous pouvez couper et coller des commandes dans une fenêtre de terminal, l'installation est un jeu d'enfant.

La prise en charge de Docker vous permet d'installer Passbolt sur presque toutes les plates-formes, tandis que la société d'hébergement américaine Digital Ocean automatise à peu près le processus d'installation de Passbolt sur l'une de ses «droplets» pour vous..

Utiliser en tant que membre de l'équipe

Une fois votre instance Passbolt configurée, vous pouvez commencer à partager les mots de passe entre les membres de l'équipe. Lorsqu'ils reçoivent une invitation à rejoindre, les membres de l'équipe seront invités à télécharger le plugin Passbolt pour Firefox ou Chrome. Ce n'est pas facultatif, car Passbolt a besoin du module complémentaire du navigateur pour valider les paires de clés.

Créer un nouveau compte n'est alors qu'un exemple de suivre quelques instructions simples. utiliser l'application en tant que membre de l'équipe

Une fois cela fait, les membres de l'équipe peuvent se connecter au portail Web. De là, vous pouvez créer de nouveaux mots de passe pour les partager avec d'autres membres de l'équipe. créer de nouveaux mots de passe et les partager avec les membres de l'équipe

Vous pouvez également créer des groupes de membres de l'équipe et partager des mots de passe avec les groupes que vous aimez.modifier le groupe de membres de l'équipe

En plus d'être un composant essentiel du schéma de cryptographie PGP, les modules complémentaires du navigateur vous permettent de remplir facilement les connexions Web. Les mots de passe suggérés correspondent à l'URL que vous visitez ou vous pouvez rechercher ou parcourir le mot de passe que vous souhaitez.

faire correspondre les mots de passe à une URL

Vous pouvez même créer de nouveaux mots de passe à la volée. créer des mots de passe à la volée

Une chose que nous aimons dans l'approche du module complémentaire pour le remplissage automatique des mots de passe est qu'elle doit être invoquée manuellement en cliquant sur son icône. Cela signifie que le gestionnaire de mots de passe d'équipe fonctionne côte à côte avec tout gestionnaire de mots de passe personnel que vous pouvez également utiliser pour remplir automatiquement les formulaires dès que vous visitez une page Web..

Passbolt ne remplit pas automatiquement des éléments tels que les détails de la carte de crédit, ce qui est tout à fait approprié pour les logiciels destinés à une utilisation en groupe. Par défaut, l'administrateur de l'équipe recevra des notifications par e-mail chaque fois qu'un nouveau mot de passe est créé.

Vous voulez voir des alternatives? Jetez un œil à nos recommandations détaillées pour les meilleurs gestionnaires de mots de passe disponibles.

Dernières pensées

Il n'y a pas grand chose à ne pas aimer chez Passbolt. Il s'agit d'un gestionnaire de mots de passe d'équipe open source très fonctionnel et hautement audité que vous pouvez auto-héberger pour une confidentialité maximale, ou laisser Passbolt SA faire le travail dur pour vous.

Les fonctionnalités premium sont assez limitées pour le moment, ce qui fait de l'édition communautaire une option très attrayante pour toute personne disposant des côtelettes techniques assez minimales requises pour configurer une instance elle-même. Cela dit, les applications mobiles à venir, en particulier, qui seront disponibles uniquement pour les utilisateurs Premium, peuvent modifier cette équation.

La cryptographie basée sur un navigateur reste imparfaite, mais elle est très pratique, et Passbolt a clairement fait de grands efforts pour s'assurer qu'elle est aussi bonne qu'elle est.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me