Revisión de Passbolt

Passbolt

ProPrivacy.com Puntuación
8.1 de 10

Resumen

Passbolt es un administrador de contraseñas de código abierto diseñado para uso empresarial y de equipo. Puede ser autohospedado en su propio servidor, autogestionado en el espacio alquilado del servidor o completamente alojado por el desarrollador de Luxemburgo Passbolt SA. En esta revisión exhaustiva de Passbolt, analizaremos la seguridad, las características, la relación calidad-precio y más.

Estadísticas rápidas

  • País
    Luxemburgo

Pros

  • Código fuente 100% auditado
  • Cifrado asimétrico de extremo a extremo
  • Autohospedado o totalmente alojado
  • Edición comunitaria gratuita
  • Autocompletar con complementos del navegador
  • Criptografía de clave pública (igual que en blockchain)
  • Características altamente colaborativas
  • Interoperable (API abierta & CLI)

Contras

  • Criptografía basada en navegador (pero tan fuerte como se pone)
  • Los planes totalmente alojados usan servidores de Google y AWS

Precios

Passbolt Community Edition (CE) es un software gratuito y de código abierto que puede autohospedarse o instalarse en un servidor de terceros.

También están disponibles planes empresariales totalmente alojados que ofrecen una gama de características adicionales, además de soporte por correo electrónico o teléfono (los usuarios gratuitos están limitados al soporte del foro de la comunidad).

Planes autohospedados

Los pagos se realizan con tarjeta utilizando el procesador de pagos Stripe. Aquellos que quieran probar las características adicionales de Enterprise deben comunicarse directamente con la empresa..

Passbolt Cloud Plans

Caracteristicas

  • Compartir contraseñas
  • Autohospedado o alojado
  • Favoritos
  • Filtrar
  • Buscar
  • Comentarios
  • Gestión de usuarios
  • Gestión de grupos
  • Notificaciónes de Correo Electrónico
  • Complementos del navegador Chrome y Firefox
  • Tema oscuro (solo premium)
  • 2FA (solo premium)
  • Directorio de usuarios sincronizados LDAP (solo premium)

En un futuro próximo, se prometen integraciones flojas, registros de auditoría y aplicaciones móviles para usuarios premium.

Autenticación de dos factores

Passbolt admite autenticación de dos factores (2FA) a través de una contraseña de un solo uso (TOTP), Yubikey o Duo.

Configuración de autenticación de dos factores Passbolt

Tema oscuro

Sinceramente, estamos un poco perplejos por la gran popularidad de los temas oscuros, pero aquí está de todos modos.

Tema oscuro Passbolts

Privacidad y seguridad

Jurisdicción

Passbolt SA está registrado en Luxemburgo y, por lo tanto, está sujeto a GDPR y otras regulaciones de datos de la UE. Luxemburgo no tiene vínculos especiales con la alianza de espionaje Five Eyes liderada por la NSA de los Estados Unidos, pero un escándalo de espionaje de 2013, que resultó en la renuncia del Primer Ministro, demuestra que la agencia de espionaje del Servicio de Renseignement de l'État (SREL) del país está lejos de ser pasivo.

Probablemente más relevante es que Passbolt SA utiliza Google Cloud Platform y Amazon Web Services (AWS) para alojar cuentas totalmente alojadas, lo que se puede suponer razonablemente que están sujetas a una amplia vigilancia de estilo NSA. Afortunadamente, Passbolt ofrece tranquilidad al afirmar que "no incluye ningún rastreador" y su uso de cifrado de extremo a extremo debería eliminar la mayoría de los temores.

Y, por supuesto, puede autohospedar Passbolt en cualquier lugar: en hardware completamente bajo su control, o en hardware alquilado de proveedores en el país que desee.

Seguridad técnica

Las contraseñas se cifran en el lado del cliente utilizando una extensión de navegador OpenPGP basada en la biblioteca JavaScript OpenPGP.js, por lo que se cifran de extremo a extremo (e2ee). En tránsito, están encriptados por SSL / TLS, el mecanismo que asegura los sitios web HTTPS.

Del lado del servidor, Passbolt utiliza la extensión GnuPG Php y openpgp-php para realizar la validación de clave pública y para admitir el protocolo de autenticación GPGAuth.

Vale la pena señalar que solo las contraseñas se cifran en reposo, no los comentarios o la lista de personas con las que comparte una contraseña. Dicho esto, generalmente es posible encriptar datos a nivel de sistema utilizando sistemas de encriptación de disco completo como EncFS si esto le molesta.

Todo el código utilizado por Passbolt es completamente de código abierto. Y aunque, se sugiere que "el trabajo de revisión del código nunca se realizará", gran parte de esto, de hecho, ha sido auditado ampliamente, con 2 revisiones completas hasta la fecha. Lo cual es genial. Se prevé realizar otra revisión en 2020, y la compañía continúa ejecutando un programa de recompensas de errores en YesWeHack.

Sin embargo, persisten problemas con la criptografía de JavaScript en el navegador, siendo el más importante que los navegadores solo aceptarán cualquier código malicioso que un servidor comprometido les envíe. Passbolt mitiga esto mediante el uso de una extensión de navegador en lugar de solo confiar en JS nativo en el navegador, y su uso de código de fuente abierta bien auditado es tranquilizador.

La criptografía basada en navegador no puede considerarse tan segura como las soluciones de cliente de software dedicado, pero la implementación de Passbolt es muy sólida.

Facilidad de uso

Configuración e instalación

La forma más fácil de configurar una instancia de Passbolt es dejar que Passbolt SA lo haga por usted. Sin embargo, esto cuesta dinero, elimina el control completo de sus manos a Passbolt SA y significa alojar sus datos en servidores de EE. UU. (Aunque e2ee).

En su lugar, puede autohospedar una instancia (Community Edition o Premium) en el hardware de su propio servidor o en el espacio del servidor alquilado a un proveedor externo. Hay instrucciones paso a paso disponibles para hacerlo en una variedad de plataformas de servidor.

La imagen de la máquina virtual no funcionó para nosotros por alguna razón (posiblemente por nuestra propia culpa), pero las instrucciones de Ubuntu fueron muy claras y funcionaron de maravilla. Si puede cortar y pegar comandos en una ventana de Terminal, entonces la instalación es muy sencilla.

El soporte para Docker le garantiza que puede instalar Passbolt en casi cualquier plataforma, mientras que la empresa de hosting estadounidense Digital Ocean automatiza prácticamente el proceso para instalar Passbolt en una de sus "Gotitas" para usted.

Úselo como miembro del equipo

Una vez que su instancia de Passbolt está configurada, puede comenzar a compartir contraseñas entre los miembros del equipo. Cuando reciban una invitación para unirse, se les pedirá a los miembros del equipo que descarguen el complemento Passbolt para Firefox o Chrome. Esto no es opcional, ya que Passbolt necesita el complemento del navegador para validar pares de claves.

Crear una nueva cuenta es solo un caso de seguir algunas instrucciones fáciles. usando la aplicación como miembro del equipo

Una vez hecho esto, los miembros del equipo pueden iniciar sesión en el portal web. Desde aquí puede crear nuevas contraseñas para compartirlas con otros miembros del equipo.. crear nuevas contraseñas y compartirlas con los miembros del equipo

También puede crear grupos de miembros del equipo y compartir contraseñas con los grupos que desee..editar grupo de miembros del equipo

Además de ser un componente vital en el esquema de criptografía PGP, los complementos del navegador le permiten completar automáticamente los inicios de sesión web. Las contraseñas sugeridas coinciden con la URL que está visitando o puede buscar o buscar la contraseña que desea.

contraseñas coincidentes con una URL

Incluso puedes crear nuevas contraseñas sobre la marcha. creando contraseñas sobre la marcha

Una cosa que nos gusta del enfoque del complemento para completar automáticamente las contraseñas es que debe invocarse manualmente haciendo clic en su icono. Esto significa que el administrador de contraseñas del equipo trabaja codo a codo con cualquier administrador personal de contraseñas que también pueda usar, que rellena automáticamente los formularios tan pronto como visita una página web.

Passbolt no rellena automáticamente cosas como los detalles de la tarjeta de crédito, lo cual es completamente apropiado para el software destinado al uso grupal. Por defecto, el administrador del equipo recibirá notificaciones por correo electrónico cada vez que se cree una nueva contraseña.

¿Quieres ver algunas alternativas? Eche un vistazo a nuestras recomendaciones detalladas para los mejores administradores de contraseñas disponibles.

Pensamientos finales

Hay muy poco que no le guste de Passbolt. Es un administrador de contraseñas de equipo de código abierto muy funcional y altamente auditado que puede autohospedar para obtener la máxima privacidad, o dejar que Passbolt SA haga el trabajo duro por usted.

Las características premium son bastante limitadas en este momento, lo que hace que Community Edition sea una opción muy atractiva para cualquier persona con las mínimas técnicas necesarias para configurar una instancia. Dicho esto, las próximas aplicaciones móviles, en particular, que estarán disponibles solo para usuarios Premium, pueden alterar esta ecuación.

La criptografía basada en el navegador sigue siendo imperfecta, pero es muy conveniente, y Passbolt claramente ha hecho todo lo posible para asegurarse de que sea lo mejor posible.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Leave a Reply

Your email address will not be published. Required fields are marked *

35 − 31 =

Revisión de Passbolt

Passbolt

ProPrivacy.com Puntuación
8.1 de 10

Resumen

Passbolt es un administrador de contraseñas de código abierto diseñado para uso empresarial y de equipo. Puede ser autohospedado en su propio servidor, autogestionado en el espacio alquilado del servidor o completamente alojado por el desarrollador de Luxemburgo Passbolt SA. En esta revisión exhaustiva de Passbolt, analizaremos la seguridad, las características, la relación calidad-precio y más.

Estadísticas rápidas

  • País
    Luxemburgo

Pros

  • Código fuente 100% auditado
  • Cifrado asimétrico de extremo a extremo
  • Autohospedado o totalmente alojado
  • Edición comunitaria gratuita
  • Autocompletar con complementos del navegador
  • Criptografía de clave pública (igual que en blockchain)
  • Características altamente colaborativas
  • Interoperable (API abierta & CLI)

Contras

  • Criptografía basada en navegador (pero tan fuerte como se pone)
  • Los planes totalmente alojados usan servidores de Google y AWS

Precios

Passbolt Community Edition (CE) es un software gratuito y de código abierto que puede autohospedarse o instalarse en un servidor de terceros.

También están disponibles planes empresariales totalmente alojados que ofrecen una gama de características adicionales, además de soporte por correo electrónico o teléfono (los usuarios gratuitos están limitados al soporte del foro de la comunidad).

Planes autohospedados

Los pagos se realizan con tarjeta utilizando el procesador de pagos Stripe. Aquellos que quieran probar las características adicionales de Enterprise deben comunicarse directamente con la empresa..

Passbolt Cloud Plans

Caracteristicas

  • Compartir contraseñas
  • Autohospedado o alojado
  • Favoritos
  • Filtrar
  • Buscar
  • Comentarios
  • Gestión de usuarios
  • Gestión de grupos
  • Notificaciónes de Correo Electrónico
  • Complementos del navegador Chrome y Firefox
  • Tema oscuro (solo premium)
  • 2FA (solo premium)
  • Directorio de usuarios sincronizados LDAP (solo premium)

En un futuro próximo, se prometen integraciones flojas, registros de auditoría y aplicaciones móviles para usuarios premium.

Autenticación de dos factores

Passbolt admite autenticación de dos factores (2FA) a través de una contraseña de un solo uso (TOTP), Yubikey o Duo.

Configuración de autenticación de dos factores Passbolt

Tema oscuro

Sinceramente, estamos un poco perplejos por la gran popularidad de los temas oscuros, pero aquí está de todos modos.

Tema oscuro Passbolts

Privacidad y seguridad

Jurisdicción

Passbolt SA está registrado en Luxemburgo y, por lo tanto, está sujeto a GDPR y otras regulaciones de datos de la UE. Luxemburgo no tiene vínculos especiales con la alianza de espionaje Five Eyes liderada por la NSA de los Estados Unidos, pero un escándalo de espionaje de 2013, que resultó en la renuncia del Primer Ministro, demuestra que la agencia de espionaje del Servicio de Renseignement de l'État (SREL) del país está lejos de ser pasivo.

Probablemente más relevante es que Passbolt SA utiliza Google Cloud Platform y Amazon Web Services (AWS) para alojar cuentas totalmente alojadas, lo que se puede suponer razonablemente que están sujetas a una amplia vigilancia de estilo NSA. Afortunadamente, Passbolt ofrece tranquilidad al afirmar que "no incluye ningún rastreador" y su uso de cifrado de extremo a extremo debería eliminar la mayoría de los temores.

Y, por supuesto, puede autohospedar Passbolt en cualquier lugar: en hardware completamente bajo su control, o en hardware alquilado de proveedores en el país que desee.

Seguridad técnica

Las contraseñas se cifran en el lado del cliente utilizando una extensión de navegador OpenPGP basada en la biblioteca JavaScript OpenPGP.js, por lo que se cifran de extremo a extremo (e2ee). En tránsito, están encriptados por SSL / TLS, el mecanismo que asegura los sitios web HTTPS.

Del lado del servidor, Passbolt utiliza la extensión GnuPG Php y openpgp-php para realizar la validación de clave pública y para admitir el protocolo de autenticación GPGAuth.

Vale la pena señalar que solo las contraseñas se cifran en reposo, no los comentarios o la lista de personas con las que comparte una contraseña. Dicho esto, generalmente es posible encriptar datos a nivel de sistema utilizando sistemas de encriptación de disco completo como EncFS si esto le molesta.

Todo el código utilizado por Passbolt es completamente de código abierto. Y aunque, se sugiere que "el trabajo de revisión del código nunca se realizará", gran parte de esto, de hecho, ha sido auditado ampliamente, con 2 revisiones completas hasta la fecha. Lo cual es genial. Se prevé realizar otra revisión en 2020, y la compañía continúa ejecutando un programa de recompensas de errores en YesWeHack.

Sin embargo, persisten problemas con la criptografía de JavaScript en el navegador, siendo el más importante que los navegadores solo aceptarán cualquier código malicioso que un servidor comprometido les envíe. Passbolt mitiga esto mediante el uso de una extensión de navegador en lugar de solo confiar en JS nativo en el navegador, y su uso de código de fuente abierta bien auditado es tranquilizador.

La criptografía basada en navegador no puede considerarse tan segura como las soluciones de cliente de software dedicado, pero la implementación de Passbolt es muy sólida.

Facilidad de uso

Configuración e instalación

La forma más fácil de configurar una instancia de Passbolt es dejar que Passbolt SA lo haga por usted. Sin embargo, esto cuesta dinero, elimina el control completo de sus manos a Passbolt SA y significa alojar sus datos en servidores de EE. UU. (Aunque e2ee).

En su lugar, puede autohospedar una instancia (Community Edition o Premium) en el hardware de su propio servidor o en el espacio del servidor alquilado a un proveedor externo. Hay instrucciones paso a paso disponibles para hacerlo en una variedad de plataformas de servidor.

La imagen de la máquina virtual no funcionó para nosotros por alguna razón (posiblemente por nuestra propia culpa), pero las instrucciones de Ubuntu fueron muy claras y funcionaron de maravilla. Si puede cortar y pegar comandos en una ventana de Terminal, entonces la instalación es muy sencilla.

El soporte para Docker le garantiza que puede instalar Passbolt en casi cualquier plataforma, mientras que la empresa de hosting estadounidense Digital Ocean automatiza prácticamente el proceso para instalar Passbolt en una de sus "Gotitas" para usted.

Úselo como miembro del equipo

Una vez que su instancia de Passbolt está configurada, puede comenzar a compartir contraseñas entre los miembros del equipo. Cuando reciban una invitación para unirse, se les pedirá a los miembros del equipo que descarguen el complemento Passbolt para Firefox o Chrome. Esto no es opcional, ya que Passbolt necesita el complemento del navegador para validar pares de claves.

Crear una nueva cuenta es solo un caso de seguir algunas instrucciones fáciles. usando la aplicación como miembro del equipo

Una vez hecho esto, los miembros del equipo pueden iniciar sesión en el portal web. Desde aquí puede crear nuevas contraseñas para compartirlas con otros miembros del equipo.. crear nuevas contraseñas y compartirlas con los miembros del equipo

También puede crear grupos de miembros del equipo y compartir contraseñas con los grupos que desee..editar grupo de miembros del equipo

Además de ser un componente vital en el esquema de criptografía PGP, los complementos del navegador le permiten completar automáticamente los inicios de sesión web. Las contraseñas sugeridas coinciden con la URL que está visitando o puede buscar o buscar la contraseña que desea.

contraseñas coincidentes con una URL

Incluso puedes crear nuevas contraseñas sobre la marcha. creando contraseñas sobre la marcha

Una cosa que nos gusta del enfoque del complemento para completar automáticamente las contraseñas es que debe invocarse manualmente haciendo clic en su icono. Esto significa que el administrador de contraseñas del equipo trabaja codo a codo con cualquier administrador personal de contraseñas que también pueda usar, que rellena automáticamente los formularios tan pronto como visita una página web.

Passbolt no rellena automáticamente cosas como los detalles de la tarjeta de crédito, lo cual es completamente apropiado para el software destinado al uso grupal. Por defecto, el administrador del equipo recibirá notificaciones por correo electrónico cada vez que se cree una nueva contraseña.

¿Quieres ver algunas alternativas? Eche un vistazo a nuestras recomendaciones detalladas para los mejores administradores de contraseñas disponibles.

Pensamientos finales

Hay muy poco que no le guste de Passbolt. Es un administrador de contraseñas de equipo de código abierto muy funcional y altamente auditado que puede autohospedar para obtener la máxima privacidad, o dejar que Passbolt SA haga el trabajo duro por usted.

Las características premium son bastante limitadas en este momento, lo que hace que Community Edition sea una opción muy atractiva para cualquier persona con las mínimas técnicas necesarias para configurar una instancia. Dicho esto, las próximas aplicaciones móviles, en particular, que estarán disponibles solo para usuarios Premium, pueden alterar esta ecuación.

La criptografía basada en el navegador sigue siendo imperfecta, pero es muy conveniente, y Passbolt claramente ha hecho todo lo posible para asegurarse de que sea lo mejor posible.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Leave a Reply

Your email address will not be published. Required fields are marked *

4 + 5 =

Adblock
detector