Gestionnaires de mots de passe open source et propriétaires

De nos jours, nous avons tous un grand nombre d'abonnements à des comptes et services en ligne. Pour que ces comptes soient sécurisés, chacun d'eux doit avoir un mot de passe unique et robuste. De plus, les mots de passe vraiment forts doivent être compliqués, ce qui signifie qu'ils sont extrêmement difficiles à retenir.


Verrouillage du gestionnaire de mots de passe

La meilleure solution est un gestionnaire de mots de passe spécialement conçu pour mémoriser tous vos mots de passe en votre nom. En utilisant un gestionnaire de mots de passe, vous pouvez configurer des mots de passe uniques et forts pour chaque compte en ligne sans avoir à vous souvenir de tous.

Cependant, tous les gestionnaires de mots de passe n'ont pas été créés égaux, et il y a des choses importantes à considérer quand il s'agit de choisir un service.

Gestionnaires de mots de passe - peuvent-ils faire confiance?

En ce qui concerne la sélection d'un gestionnaire de mots de passe, certaines considérations principales rendent ces services plus ou moins souhaitables les uns par rapport aux autres. L'un des plus importants est de savoir si le logiciel est fermé ou open source.

Les logiciels à source fermée sont propriétaires et sont concédés sous licence (protégés par le droit d'auteur) de telle manière que personne ne soit autorisé à les utiliser, les modifier ou les distribuer. De plus, les logiciels en code source fermé sont verrouillés de telle sorte qu'il est impossible d'analyser le code (sans obtenir un accès direct par le développeur).

Si le code d'un gestionnaire de mots de passe est de source fermée, aucun audit tiers ne peut avoir lieu et il est impossible de vérifier les réclamations de son développeur. Cela signifie que vous devez faire confiance au développeur du gestionnaire de mots de passe lorsqu'il vous indique comment les données sont stockées ou transmises par le gestionnaire de mots de passe.

Chaque fois qu'un gestionnaire de mots de passe est une source fermée, vous ne savez tout simplement pas si le service est aussi sécurisé que le développeur le prétend, et cela pourrait mettre votre vie privée et votre sécurité en danger.

Découvrez nos gestionnaires de mots de passe préférés.

Open source - l'étalon-or

Bien qu'il soit possible de publier le code source de n'importe quel programme en ligne (sur Github, par exemple), cela rend le code disponible mais pas nécessairement «open source». Les logiciels open source ne doivent pas seulement être disponibles pour l'audit, ils doivent également disposer d'une licence open source conforme à la définition Open Source.

Les logiciels conformes à ces normes strictes doivent être libres de redistribution, doivent fournir un accès illimité au code source et doivent respecter les dix définitions qui caractérisent le code source comme «open source». Les logiciels qui respectent ces normes, et pour dont le créateur a bafoué tous ses droits avec une licence Creative Commons (CCL) est vraiment open source.

Les logiciels open source peuvent être audités par n'importe quel tiers. Ceci est vital pour la confidentialité et la sécurité car cela signifie que les experts en sécurité (ou quiconque le souhaite) peuvent analyser le code et vérifier qu'il n'y a pas d'erreurs, de vulnérabilités ou de backdoors délibérés. Cela signifie également que toute réclamation concernant les normes de chiffrement, la gestion des clés, la façon dont les données sont transmises aux serveurs de l'entreprise ou la façon dont les données sont synchronisées entre les appareils - est en fait vérifiable..

Il convient également de noter que si le code accessible au public n'est pas nécessairement «open source» dans la définition la plus stricte du terme - il est toujours satisfaisant à des fins de sécurité et de confidentialité. En effet, cela permet toujours aux professionnels de la sécurité d'analyser et de vérifier le code source du service.

Autres considérations importantes

Comme vous pouvez le voir, Vs open source la source fermée est une considération importante lorsqu'il s'agit de sélectionner un logiciel de confidentialité. Cependant, en ce qui concerne les gestionnaires de mots de passe, il y a sans doute quelque chose d'autre qui est tout aussi important (et qui est inextricablement lié au débat open source / open source).

Les gestionnaires de mots de passe sont disponibles en deux variétés; services où vous cryptez vos propres mots de passe et vous seul pouvez les décrypter. Et les services où vous confiez à un tiers le chiffrement de vos mots de passe pour vous (et pour lesquels le tiers détient la clé utilisée pour déchiffrer les mots de passe en votre nom).

Le stockage de vos mots de passe en ligne est considéré comme excellent en termes d'expérience utilisateur - car il permet aux mots de passe d'être accessibles depuis n'importe quel appareil. Et, si ces mots de passe sont stockés avec un chiffrement de bout en bout, cette implémentation est considérée comme sécurisée car seul l'utilisateur a le pouvoir de déchiffrer ses mots de passe.

Bien sûr, si vos mots de passe sont stockés sur les serveurs de l'entreprise, cela augmente légèrement le risque qu'ils puissent être piratés (par exemple, un pirate pourrait simplement deviner votre mot de passe principal). Cependant, ce risque est extrêmement minime tant que votre mot de passe principal est à la fois unique et complexe et / ou que vous utilisez un fichier de clé ou une autre forme d'authentification à deux facteurs (2FA).

Il convient de noter que si un gestionnaire de mots de passe fournit un véritable chiffrement de bout en bout (E2EE), votre compte ne sera jamais récupérable. En effet, vous seul avez le pouvoir d'accéder à vos mots de passe avec votre clé principale. Si vous perdez votre clé principale, vous serez définitivement exclu de vos mots de passe. Cela peut inquiéter certains utilisateurs - qui craignent de perdre ou d'oublier leur mot de passe principal. Cependant, c'est en fait le signe d'un meilleur gestionnaire de mots de passe.

Quiconque souhaite un gestionnaire de mots de passe vraiment sécurisé a intérêt à opter pour un service qui ne peut jamais être récupéré et pour lequel seul il détient la clé principale. De plus, pour être vraiment fiable, le logiciel d'un gestionnaire de mots de passe doit être open source.

Comme expliqué précédemment, il est impossible de vérifier si un gestionnaire de mots de passe est l'un des types mentionnés précédemment s'il est de source fermée. Par conséquent, il est impossible de vérifier qu'un gestionnaire de mots de passe de source fermée ne partage pas secrètement votre clé principale avec un tiers.

Tout gestionnaire de mots de passe de source fermée qui prétend avoir E2EE pourrait théoriquement en compilant la collection de mots de passe de chaque utilisateur au nom de la NSA. Même si cela peut sembler peu probable - c'est une possibilité - si le gestionnaire de mots de passe est une source fermée.

Gestionnaires de mots de passe open source VS open source

Ci-dessous, nous avons compilé une liste de gestionnaires de mots de passe populaires afin que vous puissiez voir s'ils sont fermés ou open source. De nombreux gestionnaires de mots de passe de sources fermées sur cette liste ont une excellente réputation, et certains peuvent être une bonne option pour vous en fonction de votre modèle de menace.

Cependant, nous recommandons toujours les gestionnaires open source irrécupérables à tous ceux qui veulent les meilleurs niveaux de sécurité disponibles.

  • Sticky Password - Source fermée
  • KeePass - Open source
  • LastPass - Source fermée
  • Enpass - Source fermée
  • 1Password - Source fermée
  • Dashlane - Source fermée
  • Gardien - Source fermée
  • Mot de passe sécurisé - Open source
  • SafeInCloud - Source fermée
  • Porte-clés - Open source
  • Roboform - Source fermée
  • Myki - Source fermée
  • Bitwarden - Open source
  • Pass - Open source
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me