Coup de tonnerre pour les utilisateurs du service, qui nous rappelle que tout modèle Freemium peut disparaître ou évoluer dans le mauvais sens du jour au lendemain.
Dans un billet de blog, l'entreprise qui revendique 20 millions d'adeptes indique que sa version gratuite sera désormais plus limitée. Elle ne pourra ainsi être utilisée que sur un seul type d'appareils : mobiles ou non. Dans ce second cas, cela concerne tant les ordinateurs que les accès depuis un navigateur.
Si vous voulez utiliser LastPass sur n'importe quel type d'appareil, sans avoir à faire de choix, il faudra passer à l'abonnement Premium, proposé pour un peu moins de 35 euros par an.
Cette modification interviendra le 16 mars prochain. Le premier appareil auquel les utilisateurs de la version gratuite se connecteront définira le type qu'ils auront choisi pour leur accès. Si cela leur déplaît, ils pourront s'abonner… ou utiliser d'autres solutions.
L'équipe ajoute qu'à compter du 17 mai, le support par email sera également réservé aux abonnés payants, ceux de l'offre gratuite devant se contenter de l'entraide communautaire.
Des décisions qui interviennent après plusieurs augmentations tarifaires ces dernières années, montrant que LogMeIn peine sans doute à rentabiliser son outil.
Quoi qu'il en soit, cela risque de faire le bonheur de la concurrence et de solutions open source comme KeePass, sa version XC ou encore Bitwarden qui gagne en popularité depuis quelques années.
Commentaires (45)
#1
Bitwarden j’approuve en auto hébergement.
Beaucoup plus pratique à utiliser que Keepass avec des plugins pour navigateur et téléphone développer par la même boite que le coffre fort.
l’intégration est meilleurs….
#1.1
Bitwarden aussi en auto-hébergement et çà roule.
Petite incompréhension tout de même sur l’extension Firefox qui ne gère pas la navigation privée même si un contournement est possible via le menu contextuel
J’ai vu aussi que Bitwarden intégrait maintenant la gestion des codes TOTP mais je pense que je vais conserver cette gestion via l’app android dédiée (Aegis pour info, dispo sur F-Droid, très complet)
Je dirais que regrouper les mots de passe et les codes TOTP au même endroit casse un peu le principe de l’authentification à deux facteurs mais bon je serais curieux d’avoir d’autres avis.
#1.2
Mon fichier KDBX serait déjà un SPOF même s’il n’incluerait pas les TOTP car la plupart des sites permettent la désactivation du 2FA en cas de TOTP perdu.
Par conséquent, je n’ai rien de plus à perdre à les y mettre directement.
De plus, le but d’utiliser KeeWeb, qui est accessible via Internet et compatible avec la plupart des services cloud centraliés comme décentralisés, est que tu peux y accéder partout, y compris si tu n’as pas ton téléphone sur lequel se trouve l’appli dans laquelle se trouvent tes TOTP.
Il m’est arrivé plusieurs fois de voir ma vie sauvée par KeeWeb, tout simplement parce-que je suis sorti sans mon téléphone, ou qu’il n’avait plus de batterie, ou qu’il a planté pour une raison x ou y, etc.
Mon fichier KDBX contient non seulement mes mots de passe et mes TOTP, mais également les codes 2FA de secours, et les réponses aux “questions de sécurité” bidon qui sont également des chaînes auto-générées, pour les sites qui pratiquent encore ces trucs à la con.
#2
Je pense opter pour Bitwarden à la fin de mon abonnement Dashlane (pas taper).
#3
Oui enfin Bitwarden j’ai un peu creuser
Je me suis retrouvé avec un conteneur docker de plusieurs giga (1.4 de mémoire) je trouve ça énorme pour des mots de passe qui consommeront juste quelques MO
Un autre truc je sais plus exactement : je crois que meme si tu host chez toi certaines fonctionnalités reste payante (enfin il y a un truc pas tres net )
et sinon faut aller sur le fork rust mais il faut avoir confiance
#3.1
Bien sûr, le fait de faire tourner le logiciel sur ton propre matériel ne le rend pas gratuit. Ce qui coûte cher dans ce cas précis, c’est de développer, pas d’héberger.
Le principe est le même pour énormément de logiciels. (Oracle ou IBM ne me contrediront pas)
Concernant le conteneur en lui même, il ne respecte pas quelques unes des bonnes pratiques de docker. Il contient plusieurs processus (la DB, le logiciel de gestion, le serveur web et probablement d’autres que j’oublie) et je pense que c’est pour ça qu’il est aussi gourmand.
#3.2
je suis étonné de ce que tu avances.
je viens de regarder la taille du container bitwarden, et il ne prends que 185 MB (ce qui corresponds à la taille de l’image)
Les données brut que j’ai, elles, ne font que 3Mb.
Donc tout a fait correcte de mon poins de vue. :x
#3.3
quand tu fais leur process d’install
https://bitwarden.com/help/article/install-on-premise/
voila ce qui est pull
bitwarden/setup 1.38.4 ce51c4efae54 2 months ago 279MB
bitwarden/mssql 1.38.4 b52aa25c7761 2 months ago 1.4GB
bitwarden/portal 1.38.4 44d276558e40 2 months ago 283MB
bitwarden/sso 1.38.4 1d658e3d99e6 2 months ago 283MB
bitwarden/admin 1.38.4 e2c03b832c7a 2 months ago 297MB
bitwarden/events 1.38.4 27bd77e88893 2 months ago 278MB
bitwarden/notifications 1.38.4 509ca3d59eee 2 months ago 279MB
bitwarden/icons 1.38.4 836056541f0a 2 months ago 279MB
bitwarden/attachments 1.38.4 e970e9810c9d 2 months ago 210MB
bitwarden/nginx 1.38.4 6c0a9613931f 2 months ago 133MB
bitwarden/identity 1.38.4 5d55897a5a12 2 months ago 371MB
bitwarden/api 1.38.4 80448ad9e10f 2 months ago 373MB
bitwarden/web 2.17.1 cb0b273edd8e 2 months ago 237MB
Peut-être certain ne sont pas utile j’en sais rien j’ai pas cherché bcp plus loin
#3.4
Je suis passé par docker et je n’ai eu besoin que de leur image officiel. :/ Et via traefik en reverse proxy, ça marche parfaitement.
#4
35 €/an, ça fait moins de 3 €/mois. À voir si vous considérez que ça vaut le coût (et le coup aussi).
Perso, j’ai jamais eu à me plaindre de LastPass. Je l’utilise essentiellement sur PC, mais il m’est ponctuellement aussi utile sur spyphone… Mouais, si jamais je devais avoir réellement besoin, je saurai aviser.
#5
Est-ce que quelqu’un utilise Firefox Lockwise ? Un avis ?
#5.1
J’ai un peu d’expérience dessus. Qu’est-ce que tu veux savoir ?
J’ai aussi eu mon propre serveur Mozilla Sync fut un temps.
#5.2
J’avais testé Lockwise pour voir ce que donnait l’app Android et c’était un peu galère car le pop up de remplissage n’apparaissait pas systématiquement sur les formulaires que ce soit sur une autre appli ou Firefox.
Je lui redonnerai une chance un peu plus tard car c’est une approche testée pour familiariser mes parents avec un gestionnaire de mots de passe et ils sont déjà sur Firefox.
#6
Bitwarden a l’air intéressant.
Même si je passe en payant parce que je n’ai pas envie de m’embêter avec un auto-hébergement, ils proposent les mêmes tarifs que LastPass tout en étant open source.
#6.1
Tu peux auto-heberger Bitwarden même en version gratuite.
edit : en fait la question n’est pas ça mais plutôt :
Tu peux utiliser bitwarden en version gratuite même sans l’auto-heberger.
#6.2
Je l’utilise en version gratuite depuis quelques années désormais sans être en auto-hébergement (parce que je ne pense pas que mes compétences soit suffisantes pour assurer que mes données seront bien sécurisée). La version payante n’est pas obligatoire pour de nombreuses chose.
#6.3
Mêmes tarifs ? LastPass est 3x plus cher… et offre toujours un compte gratuit qui supporte tous les types de devices à la fois.
#6.4
Oui, pardon, je pensais à l’offre Famille.
J’ai besoin de partager des mots de passe et ça semble être la seule voie possible sur Bitwarden pour avoir cette fonctionnalité.
#7
Qui parmi vous a controlé le code source de Bitwarden ???
#7.1
Et bien tu peux mais sinon y’a déjà un programme de bugbounty, et des audits externes qui sont réalisés et disponibles (2018 et 2020) :
https://bitwarden.com/blog/post/bitwarden-network-security-assessment-2020/
#8
On parle de stockage de mots de passe là….
#9
J’utilise Bitwarden en auto-hébergé depuis pas mal de temps déjà et j’en suis pleinement satisfait.
Je viens de passer en premium pour la famille (6 personnes) pour utiliser TOTP sans avoir à passer par une autre application.
Les mises à jour sont faciles à effectuer (Docker sur Debian) et ne durent que quelques minutes (avec maj du certificat de manière automatique si besoin).
Je conseille vivement à tous ceux qui hésitent.
Pour ceux que l’auto-hébergement effraie, vous pouvez utiliser la version cloud directement sur leur site.
#10
Ca me rappelle quand NXI est devenu payant.
#11
Je n’ai pas accroché a bitwarden, je ne suis pas sur d’avoir accès à ma base de donnée en hors ligne… Je préfère keepass avec une base de données synchronisé en webdav sur un service gratuit (4shared pour le moment), et un fichier clé sur les ordinateurs de confiance.
Et pour la version PC je synchronise avec des boutons triggers, le top est intégré d’office, le seul plugin que j’utilise est keeAgent pour avoir un agent ssh.
#12
Bon on a chacun sa solution. Alors voici la mienne.
“password store” chiffre avec votre clé pgp sous forme de fichier texte. Pas de base de données et compagnie. Et le chiffrement pgp est, pour le moment, robuste.
Par contre pour synchroniser sur plusieurs équipements, il faut monter un repo git pour la synchro. (après c’est un dépôt local sur chaque équipement)
C’est plutôt orienté bidouilleur mais ca fait très très bien le taf.
#13
Ça fonctionne même si tu n’as pas d’accès à internet.
#14
ça a l’air sympa bitwarden, mais jsuis pas prêt à payer ou à auto-héberger pour avoir la même chose que keepass. ^^
#15
J’en suis plutôt content.
Je réfléchi depuis 2 ans déjà à passer sur l’offre Famille.
Il y avait une promo proposée à la première connexion. Je ne la trouve plus.
Encore 1 mois de réflexion.
Je vais jeter un œil à Bitwarden
#16
Pour ma boite j’ai mis un PassBolt auto-hébergé, on peut export ou import pour repasser sur keypass si besoin, c’est facile et on partage ce qu’on veut c’est top.
#16.1
Tu as pu le brancher sur un LDAP sans être en version Pro ? c’est un gros frein ça malheureusement, même si le projet semble prometteur.
#17
Je suis sur LastPass actuellement. Je me demande à quelle point c’est une alternative complète et secure, étant donné que j’utilise Firefox autant sur desktop que mobile.
#18
ça nous rappelle surtout qu’il faut traduire le marketing bullshit.
Freemium = c’est payant.
Cloud, webapp = on stocke sur nos serveur.
auto-update = on change ce qu’on veut, quand on veut.
sécurisé = on veut pouvoir vous identifier.
…
#19
Perso j’utilise mon instance Nextcloud avec l’appli password, c’est efficace
#20
Conteneur Keepass hébergé sur mon instance NextCloud pour ma part. Honnêtement, ça fait l’affaire. Il faudrait juste que j’étudie un moyen plus pratique pour le smartphone (synchronisation du conteneur en local + utiliser de l’application mobile).
#21
Vous oubliez KeeWeb, multiplateforme comme Bitwarden, pas besoin d’auto-héberger, pas de back-end, toutes les fonctionnalités du KDBX disponibles, 100% gratuitement, et c’est européen xD
#21.1
L’auto-hébergement chez Bitwarden est une option.
D’ailleurs, je suis entrain de tester Bitwarden, la migration depuis LastPass se fait sans problème et rapidement.
#21.2
Option qui, lorsque non choisie, ne te permet pas d’effectuer l’authentification à deux facteurs sur tes sites mémorisés ni d’ajouter des pièces jointes.
#21.3
Ok, je prends note merci !
Pour l’instant, je ne suis pas encore arrivé jusqu’à ce point :-)
#21.4
Pour ma part, je suis plutôt du même avis que Gorom :
C’est plus facile d’avoir tout au même endroit, mais ça limite la sécurité (SPOF). En caricaturant, ce serait comme avoir le même mot de passe partout, c’est plus simple, mais niveau sécurité… 😉
#22
Bon… Il me semble que NextImpact se doit de faire un petit tour des solutions. Un petit tour approfondi. Si en attendant quelqu’un avait un petit tuto sous la main pour installer Bitwarden avec synchonisation sur un Nextcloud, ca m’intéresse
Pour info, c’est la recommandation n°1 de https://www.privacytools.io/software/passwords/
#23
Je me répond à moi même (pour les suivants), passer de LastPass à Bitwarden se fait en un tour de main. Le help est très bien fait
#24
Je suis tellement paranoïaque que j’ai du mal à concevoir l’idée que l’on veuille disposer de ses mots de passe sur un site externe, et donc au risque qu’un pirate puisse y accéder. Car en cas d’accès, c’est limite la vie entière qui part en fumée.
#24.1
Juste pour bien comprendre, il est possible de désactiver facilement une authentification 2FA ?
Alors effectivement, si la désactivation passe par des questions de “sécurité”, bon autant éviter le site en question mais je constate que dans la plupart des cas, pour chaque authentification 2FA je récupère une ou plusieurs clés de désactivation qui se retrouvent dans un dossier chiffré.
Y a t il une fragilité connue sur ce système de clés de secours dans le cas d’une utilisation bien maîtrisée ?
Y a pas de solution miracle mais bon je ne pense pas que le stockage de ce type soit le pire avec le chiffrement adéquat et des mesures de précautions adoptées (mot de passe maitre unique compliqué ou phrase de passe suffisante)
J’ai eu aussi une expérience positive quand j’ai fait la même transition.
#25
Oui, tout comme tu peux réinitialiser ton mot de passe en recevant un mail, tu peux désactiver 2FA en recevant un mail. ¯\(ツ)/¯
#26
C’est sûr que regrouper les deux est une légère régression niveau sécurité. Mais les compromissions de mots de passe viennent quand même à priori assez rarement de la compromission du gestionnaire de mots de passe.
Ça va plus souvent venir de keyloggers, de compromissions de services stockant les mots de passe d’accès en clair ou avec un chiffrement ou un hachage qui ne résiste pas, etc… Dans ces cas, le TOTP dans le gestionnaire de mots de passe n’est pas un problème.