Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

1Password lance une offre d’hébergement et revoit sa sécurité

Il était temps

1Password lance une offre d'hébergement et revoit sa sécurité

Le 04 août 2016 à 09h30

Après des années de vente de son gestionnaire de mots de passe, 1Password passe officiellement à l'abonnement pour tous, à 2,99 dollars par mois. Dans le même temps, le service améliore l'authentification avec une « clé de compte ».

1Password se lance officiellement dans l'abonnement pour l'ensemble de ses clients. Dans un billet publié hier, l'entreprise présente sa nouvelle offre à 2,99 dollars par mois, qui donne accès à l'ensemble des applications et à un espace de stockage en ligne pour ses mots de passe et 1 Go de documents. Il se lance donc enfin dans l'hébergement de mots de passe, comme le proposent depuis longtemps ses concurrents, comme Dashlane ou LastPass.

À noter que ce n'est pas la première incursion de 1Password dans l'hébergement. L'infrastructure a déjà été testée avec les offres familiale et pour équipe, lancées plus tôt dans l'année. Avant celles-ci, le logiciel était vendu via une licence à vie pour chaque système d'exploitation. Le partage de coffre-fort, lui, passait par sa mise en ligne via un espace en ligne comme Dropbox, la méthode recommandée jusqu'ici par 1Password.

Les données accessibles même sans abonnement

Le service propose désormais la synchronisation automatique des mots de passe, un historique d'un an pour les éléments hébergés (avec possibilité de restaurer les éléments supprimés). Il donne donc accès aux applications de l'entreprise, ainsi qu'à une version web. Pour attirer les utilisateurs, l'entreprise offre six mois d'abonnement aux personnes s'inscrivant avant le 21 septembre. 

Pour les utilisateurs dont l'abonnement s'arrête, la société précise que les mots de passe et données resteront consultables par l'utilisateur, même s'il ne pourra plus les modifier. Pour ceux qui ne souhaitent pas s'abonner, 1Password vend toujours ses applications séparément, via ses habituelles licences. Certaines fonctions en ligne ne seront donc pas disponibles, comme la synchronisation automatique ou l'accès web.

Du côté des solutions libres, rappelons que KeePass permet également de partager ses mots de passe. Par défaut, KeePass 2 permet de partager un même fichier sur un espace partagé, avec la possibilité de fusionner les modifications en cas de conflit. Des solutions tierces compatibles avec KeePass existent, comme l'interface web KeeWeb ou des versions commerciales, comme Pleasant Password Server.

Un second mot de passe pour le compte

En plus d'annoncer sa nouvelle offre, 1Password déclare avoir renforcé la sécurité des comptes de ses nouveaux clients, via une « account key ». Il s'agit d'une chaine aléatoire de caractères, fournie à la création du compte, qui sert essentiellement à ajouter de nouveaux appareils au compte. Contrairement à une solution de double authentification classique, cette « clé » est mélangée au mot de passe maître et conservée par chaque client pour renforcer le chiffrement.

En clair, il s'agit d'un second mot de passe, qui n'est pas transmis par Internet, censé jouer à la fois le rôle d'un code temporaire pour ajouter un appareil et d'élément permanent pour le chiffrement des données. Il est accessible sur l'ensemble des clients déjà validés, en le copiant ou en photographiant un QR Code.

Pour rappel, les contenus sont chiffrés localement par les clients, en AES-256 avec une dérivation de clé via AES-256 PBKDF2. Le serveur, lui, n'a officiellement accès qu'à leur version chiffrée. Précisons d'ailleurs que les données sont hébergées sur Amazon Web Services. L'accès web, lui, permet d'afficher en ligne les coffres-forts de mots de passe hébergés directement par 1Password, avec l'obligation d'entrer le mot de passe maître et l'« account key » la première fois. Le chiffrement est géré par l'API JavaScript WebCrypto.

Pour mémoire, le standard actuel des gestionnaires de mot de passe est la double authentification, notamment via une clé physique. KeePass le propose notamment via un greffon spécifique. Pour sa part, 1Password estime sa méthode plus efficace, car elle n'obligerait pas à se préoccuper d'un outil d'identification tiers, sans besoin de la retenir pour autant.

Il reste qu'éditer ce genre de produits de sécurité est un défi en soi. C'est ce qu'ont rappelé les deux failles publiées la semaine dernière pour LastPass (qui les a corrigées). Elles concernaient toutes deux ses extensions pour navigateur. À cette annonce, le service avait répondu que la première datait d'il y a un an, quand l'autre était encore récente.

Commentaires (49)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Perso, sur certains sites, j’ai fini par mettre n’importe quoi comme mdp.

Pour me connecter, c’est direct mot de passe oublié, mail de récup et hop ! Ça va plus vite que de chercher le mdp <img data-src=" />

votre avatar







Maicka a écrit :



motsdepasse.txt <img data-src=" />





J’allais le dire.



Si c’est pour tout mettre au même endroit, un bon fichier plat en local, sur une clé usb pour la portabilité, et ça fait le job pour moins cher en évitant les risques de hack chez un presta.


votre avatar

Direct +1.



Après la plupart des mdp sont dans ma tête ^^.

votre avatar







Maicka a écrit :



Direct +1.



Après la plupart des mdp sont dans ma tête ^^.





Pareil.



En même temps, “123456” c’est pas compliqué à retenir.


votre avatar

Et c’est là que t’oubli ta clé USB quelque part…&nbsp;

votre avatar

La solution cloud pour 1password a quand même un avantage : Actuellement j’utilise Dropbox pour la synchronisation du vault, et il faut savoir que pour faire ça, 1password demande d’avoir accès à L’INTÉGRALITÉ de ma Dropbox, ce qui est pas forcément agréable …

votre avatar

Je sais pas pour WP et iOS mais en tout cas sur mon android j’utilise KeePass2Droid, et ça marche du tonnerre.

votre avatar

Nope des chiffres et des lettres et des des virgule haha.

votre avatar

Pourquoi ne pas utiliser plutôt votre cerveau pour retenir les mots de passe?

forum.nextinpact.com Next INpact

votre avatar

Il y a des alternatives, comme Encrpytr (zero knowledge) ou LessPass (auto-hébergeable).

votre avatar

C’est pour ça qu’on a inventé le chiffrage <img data-src=" />

votre avatar







KP2 a écrit :



Non, c’est vachement bien mais ce qui me gène avec la mnémotechnique,







Mnémotechnique : Se dit de procédés utilisés en vue de mieux fixer certains souvenirs, ou d’être plus aisément à même de les retrouver.



Je vois pas comment les autres pourraient trouver mes mdp si ils sont basé sur de l’aléatoire que j’ai combiné par la suite avec du mnémotechnique <img data-src=" />

Je crois qu’en fait, tu sais pas trop ce que veut dire ce mot. Pour détailler mon propos, j’ai eu a pas mal de mdp aléatoires fournis ci et là (lettres et/ou chiffres et/ou carac spéciaux), j’en ai réutilisés certains et parfois combinés, c’est juste que leurs constructions avait un sens pour moi, donc cela devient du mnémotechnique…


votre avatar
votre avatar

Alors je sais pas si ils y en a qui liront jusqu’ici mais on s en fous de se faire voler les mdp avec 1Password.

Exemple mon mdp de Amazon ou autre fait 40 caractères aléatoires. Si on me le pique ET qu’on le décrypte, ben l’app 1Password peut m’en générer un nouveau aléatoire de masse caractères avec signes spéciaux etc…

Donc bon.

Et sinon ben il y a que le gros mot de passe qu’on doit garder en tête (1Password) donc au pire on en trouve un autre.

Bref : 100 000 fois plus sécure que les loulous qui se pensent super crack en penseant génère des suites logiques de mot de passe ( la faille est dans l’énoncé…) et qui serront loin d’égaler les 60 caractères avec spéciaux et chiffres que peux générer la machine.

Et en 2 clic on change son mdp d’un site. Facile de rester dans les normes où l’on nous dit d’avoir un mdp différent sur chaque site et de le changer régulièrement.

Voilou vouloi

votre avatar







UnBruitSourd a écrit :



Et c’est là que t’oubli ta clé USB quelque part…



Pas grave, il y a celle de secours à côté de l’ordi <img data-src=" />


votre avatar

Et vous oubliez le post-it sur l’écran. Impossible à pirater depuis le web. Et pour l’avoir en dehors de chez soi il suffit d’une photo du post-it avec le smartphone.

C’est du vécu :-)

votre avatar

Paye, paye , paye… Pi un jour il se font pirater (comme tous) et là, tout les clients qui ont subordonné la gestion de leur mdp a un tiers soi disant secure auront payé pour retrouver tous leurs mdp dispo sur la toile…



Gestion perso du bouzin, rien de plus sûr !

votre avatar







Stel a écrit :



J’ai toujours eu du mal à trouver de l’utilité quand le navigateur fait la même chose, je suppose que c’est pour garder les mdp en cas de changement de machine ?





Avec un outil comme&nbsphttp://www.nirsoft.net/utils/web_browser_password.html, tes mots de passes enregistrés dans ton navigateur sont en clair.

C’était l’attaque principale des prises de controle teamviewer début juin.


votre avatar







David_L a écrit :



On le fait bien avec les banques <img data-src=" />





Tu files tes mdp à ta banque toi ?


votre avatar







Whinette a écrit :



Avec un outil comme&#160http://www.nirsoft.net/utils/web_browser_password.html, tes mots de passes enregistrés dans ton navigateur sont en clair.

C’était l’attaque principale des prises de controle teamviewer début juin.









Ca semble etre une appli que tu lance en local, ca suppose que l’attaquant a accès au pc irl, non ?


votre avatar







Zappi a écrit :



Si nous ne sommes pas trop exigeant certaines banques sont gratuites :)





Avoir un compte en banque est surtout obligatoire. Salaire, retraites, remboursement de sécu, rsa….


votre avatar

Dropbox n’est plus sur amazon cloud, ils ont leur propre infrastructure. En soit je ne sait pas si c’est mieux ou pas pour la securite.



Par contre1password est utikise dans ma boite car il a la gestion par administrateur, avec possiblite de gerer les comptes, partager les mots de passes (l’admin gere et envoie aux personnes leur mots de passes de facon securise). Et possiblite d’avoir un autre mot de passe admin pour voir les mots de passe boulot des employes (en cas de deces ou accident grave)

votre avatar

Oui, le risque est en cas de vol de laptop / telephone avec stockage non chiffré.

Ou cambriolage.

votre avatar

Non, mais tout mon argent, c’est pas mal non plus ;)

votre avatar







David_L a écrit :



Non, mais tout mon argent, c’est pas mal non plus ;)





Fais comme moi, suffit d’être pauvre.<img data-src=" />


votre avatar

T’as pas de matelas ? <img data-src=" />

votre avatar

Honnêtement, avant que je ne passe à 1Password il y a une paire d’années, c’était franchement pas super utilisable sur mobile (WindowsPhone puis iOS). Je vais y regarder plus précisément une nouvelle fois.

votre avatar

Bon j’ai voulu testé 1password et franchement c’est la merde leur site, obligé de passer par une install online sur le “ cloud ” , fiouuuuuu je dois être trop vieux jeux je veux juste un logiciel à l’ancienne.

votre avatar







KP2 a écrit :



Non, c’est vachement bien mais ce qui me gène avec la mnémotechnique, c’est que qqn de ton entourage peut le retrouver…





Si ton moyen mnémotechnique c’est les initiales de tes enfants, c’est assez nul, et n’importe qui d’un peu motivé peut les retrouver.

Si tu bases ton moyen mnémotechnique sur une phrase que tu as inventée, même sur la base d’une expérience perso, l’étendue des possibilités est probablement assez large pour qu’une personne de ton entourage n’ait pas un avantage significatif.

Exemple: jam2AlSd,céupt pour “j’ai mangé deux andouillettes la semaine dernière, c’était un peu trop”. Bonne chance à tes proches pour la retrouver, mais si tu t’es effectivement fait péter la panse la semaine précédente, ça t’aidera vachement à le retenir!


votre avatar

Si vous me donnez une solution légal pour me passer des banques je suis preneurs.

Pas de banque = pas de salaire pas de sécu pas d’abonnement…. malheureusement

votre avatar

et pas de prêt bancaire pour la voiture, la maison non plus.

votre avatar

depuis les extensions iOS c’est très pratique <img data-src=" /> et couplé à TouchID encore plus <img data-src=" />

votre avatar

motsdepasse.txt <img data-src=" />

votre avatar

Fournir tout ses mdp à une société et payer pour le faire, certains sont maso.

votre avatar

On le fait bien avec les banques <img data-src=" />

votre avatar

J’étais intéressé par l’offre 1Password (j’ai pas apprécié Dashlane, LastPass), mais je découvre par cette news l’existence de keeweb, qui m’intéresse du coup encore plus (j’ai pesté de nombreuses fois sur la problématique d’un keepass “mobile”, et cette solution me plait beaucoup). Merci NXI :)

votre avatar

Si nous ne sommes pas trop exigeant certaines banques sont gratuites :)

votre avatar

Des retours concernant Keeweb et une possible appli mobile qui synchronise avec Keepass?



J’ai actuellement LastPass mais les dernières failles de sécu m’ont un peu refroidi.

votre avatar

Le problème reste le même (et les banques c’est comme le casino, sur le long terme, c’est jamais toi qui gagne ;))

votre avatar







Niktareum a écrit :



Gestion perso du bouzin, rien de plus sûr !







Et tu fais comment ? 2 ou 3 mots de passes differents pour tous tes comptes ou un vulgaire fichier texte sur ta machine ?


votre avatar

Perso, j’ai 1Password mais j’utiliserai jamais leur offre d’hébergement. J’ai préféré 1Password a LastPass justement pour être sur d’avoir mes pass en local, c’est pas pour passer à l’hebergement 2 ans plus tard…

votre avatar







KP2 a écrit :



Et tu fais comment ? 2 ou 3 mots de passes differents pour tous tes comptes ou un vulgaire fichier texte sur ta machine ?







J’ai des stratégies basé sur du mnémotechnique avec plusieurs niveaux en fonction des services, de plus la plupart des mes mdp sont basé sur des trucs générés aléatoirement que j’ai réussi a retenir, ça évite les recherche sur les trucs bateaux perso.

Et hormis la bdd du service qui stocke le mot de passe du dit service, il n’y a aucune trace de mes mdp que ce soit dans un fichier info ou écrit qqpart.



Après me reproche pas de faire mieux que certains autres hein.


votre avatar







Niktareum a écrit :



J’ai des stratégies basé sur du mnémotechnique avec plusieurs niveaux en fonction des services, de plus la plupart des mes mdp sont basé sur des trucs générés aléatoirement que j’ai réussi a retenir, ça évite les recherche sur les trucs bateaux perso.

Et hormis la bdd du service qui stocke le mot de passe du dit service, il n’y a aucune trace de mes mdp que ce soit dans un fichier info ou écrit qqpart.



Après me reproche pas de faire mieux que certains autres hein.







Non, c’est vachement bien mais ce qui me gène avec la mnemotechnique, c’est que qqn de ton entourage peut le retrouver… et la grosse majorité des “piratages” (ou vols de comptes) proviennent justement de l’entourage…

Le reste provient de sites avec de la sécurité pourrie qui se font piqués leur base et il suffit d’avoir 2 ou 3 bases pour retrouver la mnemotechnique.


votre avatar

J’ai toujours eu du mal à trouver de l’utilité quand le navigateur fait la même chose, je suppose que c’est pour garder les mdp en cas de changement de machine ?

votre avatar

super, ils vont gèrer eux-meme l’hebergement sur le cloud amazon pour éviter de passer par dropbox qui utilise le cloud amazon



perso j’ai + confiance en dropbox pour la gestion de l’infra, c’est leur coeur de metier, alors que 1P c’est le dev …



et sans parler de la migration vers l’abo …



perso je vais rester sur ma version actuelle de 1P et la sync dropbox

90% de la sécu vient de l’hygiène numérique, pas d’outils bequille&nbsp;<img data-src=" />

votre avatar

indice : il n’y a pas que le navigateur qui utilise des mots de passe ;)



et ces outils permettent de stocker autre chose que des mots de passe : clés SSH, licences …

votre avatar







thekamaster a écrit :



J’étais intéressé par l’offre 1Password (j’ai pas apprécié Dashlane, LastPass), mais je découvre par cette news l’existence de keeweb, qui m’intéresse du coup encore plus (j’ai pesté de nombreuses fois sur la problématique d’un keepass “mobile”, et cette solution me plait beaucoup). Merci NXI :)





Il y a aussi des applications mobiles pour KeePass


votre avatar







Stel a écrit :



J’ai toujours eu du mal à trouver de l’utilité quand le navigateur fait la même chose, je suppose que c’est pour garder les mdp en cas de changement de machine ?







Le problème est que le chiffrement des mots de passe du navigateur est un peu pourri ET le mot de passe est récupérable en clair si tu utilises un profil par défaut.

Le seul moyen pour que ce soit vraiment sécurisé est d’avoir un profil protégé par un mot de passe perso qui t’est demandé à chaque ouverture de ton navigateur.


votre avatar

Mine de rien, j’attends un vrai gestionnaire de mot de passe sur Windows, comme le Trousseau, pour me passer de Lastpass..

1Password lance une offre d’hébergement et revoit sa sécurité

  • Les données accessibles même sans abonnement

  • Un second mot de passe pour le compte

Fermer