Bitwarden : gestionnaire de mots de passe open source gratuit
(bitwarden.com)- Bitwarden est une plateforme de sécurité des identifiants qui protège les mots de passe, passkeys et secrets utilisés par les particuliers et les entreprises grâce à un chiffrement open source de bout en bout
- Le produit réunit dans une seule offre la génération, le stockage et le remplissage automatique des mots de passe, un coffre-fort d’entreprise centralisé, des outils d’administration, la synchronisation illimitée entre appareils, le partage et même l’auto-hébergement
- Le périmètre de protection ne s’arrête pas aux comptes humains et s’étend aussi aux agents IA et aux machines, avec pour les accès des agents un accès chiffré juste-à-temps nécessitant une approbation humaine à chaque fois
- Bitwarden met en avant comme gages de confiance plus de 80 000 organisations, des millions de particuliers, plus de 100 000 membres de la communauté, des audits tiers et un chiffrement à divulgation nulle de connaissance
- En plus du compte gratuit de base, Bitwarden propose les offres Premium à 1,65 $/mois, Families à 3,99 $/mois, Teams à 4 $/mois par utilisateur et Enterprise à 6 $/mois par utilisateur ; les prix affichés sont en USD, facturés annuellement et hors taxes
Protéger mots de passe, passkeys et secrets en un seul endroit
- Bitwarden est une plateforme qui protège les mots de passe, passkeys et secrets dont dépendent les personnes, les agents IA et les machines
- Les piliers du produit sont l’open source, le chiffrement de bout en bout et une architecture extensible
- Les utilisateurs peuvent générer et stocker des mots de passe robustes, puis les remplir automatiquement sur plusieurs comptes
- En environnement professionnel, les identifiants sont organisés et gérés via des coffres centralisés et des outils d’administration
- La transparence de l’open source, les audits tiers et les revues de la communauté renforcent la confiance en matière de sécurité
Approches d’accès pour les personnes, les agents IA et les machines
- Pour les personnes, les fonctionnalités permettent de n’attribuer aux employés que les identifiants nécessaires et prennent en charge la génération, le stockage et le remplissage automatique des mots de passe
- Produit associé : Password Manager
- Pour les agents IA, Bitwarden fournit un accès chiffré de bout en bout au moment nécessaire, avec une approbation humaine requise à chaque fois
- Élément associé : Agent Access SDK
- Pour les machines, les fonctionnalités limitent le périmètre d’accès aux secrets développeur comme les clés d’API, mots de passe de base de données et jetons d’accès
- Produit associé : Secrets Manager
Fondements de confiance et échelle d’utilisation
- Bitwarden indique que plus de 80 000 organisations et des millions de particuliers l’utilisent pour protéger leurs identifiants
- Les éléments de sécurité et de confiance sont les suivants
- conformité aux normes internationales de conformité, voire au-delà
- grâce au chiffrement à divulgation nulle de connaissance, seuls les utilisateurs peuvent accéder à leurs informations
- plus de 100 000 membres de la communauté sur GitHub, les forums Bitwarden et Reddit
- Bitwarden affirme avoir occupé la 1re place pendant 11 trimestres consécutifs dans la catégorie Enterprise User Satisfaction du G2 Enterprise Grid Report
- Lien associé : G2 Enterprise Grid Report
Principales fonctionnalités pour les entreprises et les particuliers
- Les entreprises peuvent utiliser SSO, SCIM et l’auto-hébergement comme options de déploiement
- Les équipes IT peuvent vérifier l’usage des identifiants via les journaux d’événements et le contrôle d’accès
- Bitwarden propose des fonctions pour réduire les risques liés aux identifiants à l’échelle de tous les employés et appareils
- Les particuliers peuvent réduire la charge de devoir mémoriser leurs mots de passe et utiliser le remplissage automatique sur plusieurs appareils et navigateurs
- La protection des comptes personnels inclut des alertes en cas de compromission
Ensemble de fonctionnalités du gestionnaire de mots de passe
-
Génération, stockage et remplissage automatique
- Protège des mots de passe et passkeys robustes et uniques pour chaque compte
- Permet un stockage sécurisé et un remplissage automatique immédiat sur un nombre illimité d’appareils
-
Gestion centralisée
- Gère en un seul endroit le contrôle d’accès, les politiques, la propriété centralisée des éléments et les rapports de sécurité
-
Intégration d’outils
- Peut s’intégrer aux fournisseurs SSO, services d’annuaire, outils SIEM, agents IA et autres outils dont dépend l’entreprise
-
Importation
- Permet de transférer des mots de passe depuis un navigateur ou un autre gestionnaire de mots de passe en quelques minutes
-
Partage
- Permet de partager avec les membres de l’équipe via des collections d’organisation ou d’envoyer du texte et des fichiers chiffrés avec Bitwarden Send
-
Auto-hébergement
- Permet d’héberger Bitwarden on-premise ou dans un cloud privé pour garantir la souveraineté des données
- Plus de fonctionnalités : Bitwarden Features
Access Intelligence et défense contre le phishing
- Access Intelligence est une fonctionnalité qui identifie les applications IA utilisées dans l’organisation et réduit les risques liés aux identifiants
- Produit associé : Access Intelligence
- Des mots de passe faibles ou réutilisés peuvent devenir une voie de compromission des comptes
- Bitwarden aide à générer des mots de passe robustes et uniques pour chaque site web et application
- Le remplissage automatique ne s’active pas sur des sites web malveillants similaires, ce qui aide à la défense contre le phishing
Tarification
- Offres particulières
- Premium : 1,65 $/mois, soit 19,80 $/an
- Inclut l’authentificateur intégré, les pièces jointes, l’accès d’urgence, les rapports de sécurité, etc.
- Permet de partager les éléments du coffre avec 1 autre utilisateur
- Families : 3,99 $/mois, jusqu’à 6 personnes, soit 47,88 $/an
- Inclut 6 comptes premium, le partage illimité, des collections illimitées et un stockage organisationnel
- La gestion de base des mots de passe reste toujours gratuite
- Premium : 1,65 $/mois, soit 19,80 $/an
- Offres entreprises
- Teams : 4 $/mois par utilisateur, facturation annuelle
- En plus des fonctionnalités Premium, inclut le partage d’identifiants, l’audit d’activité via les journaux d’événements, la synchronisation avec les annuaires existants et l’automatisation du provisionnement SCIM
- Enterprise : 6 $/mois par utilisateur, facturation annuelle
- En plus des fonctionnalités Premium et Teams, inclut le contrôle d’accès granulaire, l’intégration Passwordless SSO, la récupération de compte, la flexibilité de l’auto-hébergement, l’atténuation des risques avec Access Intelligence et une offre Families gratuite pour tous les utilisateurs
- Les grandes organisations peuvent discuter d’une offre sur mesure avec l’équipe commerciale
- Teams : 4 $/mois par utilisateur, facturation annuelle
- Les prix affichés correspondent à un abonnement annuel en USD et n’incluent pas les taxes
1 commentaires
Avis de Hacker News
J’aurais aimé aimer Bitwarden parce qu’il est open source, mais 1Password a une énorme longueur d’avance
C’est ironique que 1Password 8 reste largement meilleur, même après une grosse refonte avec une UI basée sur Node que beaucoup de gens ont détestée
J’ai essayé de faire adopter Bitwarden à mon père parce qu’il existait une traduction dans sa langue maternelle, mais à l’usage, une accumulation de petits défauts — échec de l’autocomplétion, non-détection de l’enregistrement des identifiants, déconnexions du compte, échec de l’authentification biométrique dans le navigateur parce que l’application en arrière-plan s’arrête, interface d’administration médiocre — le rendait presque inutilisable
L’offre individuelle est bon marché, mais l’offre famille est chère, et l’auto-hébergement est possible, mais a aussi un coût
Quand les gens parlent d’auto-hébergement, ils désignent généralement vaultwarden, une réécriture en Rust, mais à ma connaissance elle n’a jamais été auditée, donc je ne sais pas comment on peut faire confiance à l’absence de vulnérabilités exploitables à distance
Bitwarden a aussi reçu des investissements de VC, et je comprends qu’il doive croître, mais les projets détenus par des entreprises durables, sans pression de croissance, me manquent. C’est pareil pour 1Password, mais j’ai du mal à être serein quant au fait qu’une startup financée par des VC soit encore digne de confiance dans un an
J’ai tenu avec la V7 jusqu’à il y a quelques semaines, puis j’ai dû mettre à niveau pour diverses raisons et j’ai donc réexaminé les alternatives, Bitwarden compris, mais l’UX ne semblait pas s’être améliorée ; surtout, il a refusé toute l’importation à cause d’une seule grosse note sécurisée
Il ne s’est pas contenté de sauter cette note : il n’a rien importé du tout, sans option pour l’ignorer, ce qui m’aurait demandé beaucoup de travail manuel ; au final, il ne répondait même pas à mon besoin de mettre cette note indispensable dans le coffre
LastPass, que j’utilisais auparavant, détectait bien mieux les champs de formulaire, et je pense que leur UI construite au-dessus d’une popup temporaire était un mauvais choix qu’ils n’ont toujours pas vraiment remplacé par un fonctionnement en nouvel onglet après des années. Ils auraient dû faire comme LastPass, uBlock Origin ou TreeStyleTabs
Les comptes individuels et familiaux sont moins chers que chez 1Password, et en tant que client payant de longue date de Bitwarden, je n’ai jamais rencontré ce genre de problèmes
À noter que 1Password a reçu près d’un milliard de dollars de financement VC, donc la pression de croissance doit être énorme
Le financement VC signifie qu’ils chercheront un jour à récupérer leur argent, et les services de gestion de mots de passe sont beaucoup trop importants pour leur appliquer ce genre de pression
Vu le nombre de services financés par des VC qui ont fortement dégénéré par le passé, il me semble tout à fait possible qu’un jour ils prennent les mots de passe en otage si l’on ne paie pas, ou qu’ils fassent quelque chose de tout aussi radical
Mon serveur domestique me coûte environ 3 euros par mois en électricité, et je n’y fais pas tourner que Vaultwarden, mais aussi Home Assistant, Nextcloud, Jellyfin, Immich et plusieurs autres services
Avec Docker et Compose, la maintenance est simple ; je les fais tourner sur un réseau privé et je limite les accès externes au VPN quand c’est nécessaire
Héberger un seul service revient cher, mais en faire tourner plusieurs ensemble est bien plus économique
Il existe aussi vaultwarden, une implémentation open source en Rust du serveur : https://github.com/dani-garcia/vaultwarden
À part une fois où, lors d’une migration vers un autre serveur, il n’a d’abord pas retrouvé la base de données dans un volume Docker restauré, je n’ai pas eu de problème ; et il est tout aussi possible que ce soit un problème Docker ou que j’aie fait quelque chose de travers
Je suis surpris qu’il y ait autant de réactions négatives. Dans ma tête, Bitwarden était resté un produit apprécié sur HN
Je paie les 10 dollars par an pour le premium et je l’utilise ; je ne sais pas vraiment quelles fonctionnalités j’exploite concrètement, mais j’aime le produit lui-même
Cela dit, je n’ai pas beaucoup exploré les concurrents, donc je me demande si d’autres gestionnaires ont de gros avantages
Il y a beaucoup de commentaires du genre « ils ont une énorme longueur d’avance », mais on ne voit pas très bien ce que cela signifie concrètement
Mes derniers employeurs utilisaient LastPass et 1Password, et j’utilise Bitwarden à titre personnel ; pour moi, Bitwarden est nettement meilleur
L’extension de navigateur détecte plus fiablement la saisie et le changement de mots de passe, propose de les enregistrer ou de les mettre à jour, et la version iOS s’intègre plus harmonieusement à l’autoremplissage des mots de passe dans les autres apps natives
Il est peut-être en retrait sur les fonctions de partage en équipe, mais pour un usage personnel, ça n’a pas d’importance
La majeure partie de Bitwarden est open source, mais pas 100 % à cause de quelques composants propriétaires ; il semble y avoir là une indignation typique de HN, comme si le logiciel devait tomber du ciel comme la manne et ne surtout pas soutenir une activité commerciale, une attitude que j’ai du mal à comprendre
C’est aussi étrange que VS Code, qui fonctionne de la même manière, ne suscite pas vraiment ce genre de ressentiment ; peut-être que ça irait mieux si Bitwarden se dotait d’une interface en mode sombre plus convaincante
J’utilise aussi Bitwarden Premium et je l’aime bien. Mon organisation utilise un autre gestionnaire de mots de passe de niveau entreprise, bien plus complexe et avec une interface plus lente
J’ai pour principe que si je peux obtenir 80 % des mêmes fonctionnalités en open source, je l’utiliserai même si ce n’est pas « le meilleur »
Jusqu’ici, sur HN, je ne voyais quasiment que des messages faisant l’éloge de Bitwarden, et à l’usage je n’ai presque jamais rencontré les problèmes dont on se plaint ici
Mon seul reproche, c’est que la connexion biométrique dans l’app desktop est un peu rugueuse, mais ce n’est pas un problème décisif
À noter que Bitwarden a levé 100 millions de dollars auprès de VC l’an dernier
Il y a de fortes chances qu’une pression finisse par arriver pour monétiser agressivement
https://techcrunch.com/2022/09/06/open-source-password-manag...
À un moment, il faut simplement l’accepter et vivre avec. Le produit qu’on utilise peut changer à l’avenir, et il faudra peut-être migrer plus tard vers autre chose
L’alternative, c’est de mettre quelque chose comme KeePass sur une clé USB et de renoncer à la synchronisation cloud ainsi qu’à l’intégration de l’autoremplissage dans le navigateur et les apps natives, alors que ce sont précisément les fonctions centrales de ces produits
Sans cela, on pourrait même considérer que des notes papier dans un tiroir de bureau sont préférables
Pire encore, que comptent-ils faire à l’avenir pour convaincre des VC qu’ils pourront récupérer encore plus que cet argent ?
Quand on a un produit aussi populaire et en telle croissance, je me demande sincèrement pourquoi accepter autant d’argent
C’est un peu inquiétant
Bitwarden est très bien. Je l’utilise partout et il gère bien mes mots de passe
Pour moi, la fonction clé est que les fonctionnalités d’organisation sont faciles à utiliser : je peux partager aisément des mots de passe avec ma femme
Pour les comptes liés aux finances ou aux enfants, il faut souvent les partager, donc nous avons tous les deux besoin des mots de passe, et Bitwarden rend cela très simple
C’est pareil même pour les éléments que j’ai partagés moi-même. Quand l’autoremplissage fonctionne, ça va, mais il ne marche pas toujours et n’est pas toujours disponible
Le titre prête à confusion. Ce n’est pas entièrement « gratuit et open source »
Le serveur Bitwarden utilise un modèle de double licence
Certaines parties sont open source sous AGPL, et certaines fonctionnalités sont sous la licence Bitwarden, à code source ouvert
En plus, même le cœur open source nécessite un enregistrement pour être auto-hébergé ; ils disent que c’est pour fournir des services complémentaires comme les mises à jour de sécurité, le serveur relais push et la vérification de licence
Ce n’est pas dans la documentation, mais vu qu’ils demandent de ne pas partager la clé de licence entre installations, il y a sans doute aussi une amélioration de la télémétrie
Je comprends qu’une licence à code source ouvert puisse être nécessaire, mais si le résultat n’est ni gratuit comme une bière, ni libre comme la liberté d’expression, je ne vois pas pourquoi en mettre une partie sous licence open source
Je me demande sincèrement quel avantage les entreprises tirent à marketer comme open source des produits qui ne le sont quasiment pas
https://github.com/bitwarden/server/blob/master/LICENSE_FAQ....
https://bitwarden.com/help/hosting-faqs/#q-what-are-my-insta...
Le reste de Bitwarden est un logiciel gratuit et libre, à la fois en coût et en liberté. Je ne vois pas pourquoi penser autrement
Vaultwarden existe et est compatible avec les clients Bitwarden
En parcourant rapidement le site, cela ressemblait davantage à une ouverture pour la transparence qu’à l’esprit du logiciel libre et open source
apiinclut le Commercial Core sous Bitwarden License, mais il est indiqué qu’on peut le désactiver lors de la compilation du module en passant l’argument/p:DefineConstants="OSS"àdotnetJe suis surpris que Padloc n’ait pas encore été mentionné
Il propose du chiffrement de bout en bout, est open source, facile à auto-héberger, avec une bonne UI et une bonne UX
Je l’ai fait adopter à toute ma famille, je l’ai utilisé pendant plus d’un an, puis j’ai fini par contribuer activement
Il existe aussi une appli desktop basée sur Tauri
Déclaration d’intérêts : j’ai des droits de contribution, mais je ne touche aucune vente ni revenu similaire
https://padloc.app
Avec les notes en plus, ça n’inspire pas confiance
Ce n’est absolument pas l’impression que j’ai envie d’avoir d’un gestionnaire de mots de passe. Pour info, je suis designer UI/UX
Les gros acteurs semblent tous vouloir supprimer cette fonctionnalité, alors que la seule chose que j’attends d’un gestionnaire de mots de passe, c’est de ne pas stocker tous mes mots de passe dans le cloud
Bitwarden n’est pas parfait, mais qualifier
passde « facile » est risibleC’est encore plus vrai quand on doit partager des mots de passe avec des membres de la famille beaucoup moins à l’aise avec la technique, et 1Password a souvent une UI obstinée qui finit plutôt par gêner
Je trouve que Bitwarden offre un bon équilibre entre sécurité, prix et design
Cela dit, je partage les inquiétudes concernant le financement et les changements de direction
Je l’utilise avec satisfaction et c’est pratique, mais je me demande à quel point il est réellement sûr de regrouper tout ce qui est important, y compris la 2FA, dans un seul cloud
Ça ressemble à une cible beaucoup trop intéressante
À l’inverse, tout synchroniser manuellement est pénible, et au final je chiffre sur mon ordinateur puis la synchronisation passe par le cloud, donc je me demande aussi quelle est vraiment la différence
À grande échelle, les gens qui n’utilisent pas de gestionnaire de mots de passe réutilisent leurs mots de passe. Point final
La meilleure façon d’améliorer réellement la sécurité des comptes du grand public est de leur faire utiliser un gestionnaire de mots de passe, même en tenant compte du risque qu’un coffre soit volé puis déchiffré
Pour la plupart des gens, la gestion cloud des mots de passe est en pratique non négociable. Les cas du type « le coffre était sur l’ordinateur, mais je l’ai fait tomber et le disque est mort » arriveront sans cesse, et il n’est pas possible, à grande échelle, d’amener tout le monde à faire correctement des sauvegardes
Si toi, tu peux créer pour tous tes comptes des mots de passe uniques et suffisamment forts, tu peux éviter un gestionnaire de mots de passe et réduire un petit risque
Si on centralise les deux secrets, ce n’est plus vraiment de l’authentification à deux facteurs
Sur mobile, j’utilise Aegis ; sur ordinateur,
passavec une extension OTP, avec un mot de passe complètement différent de celui de BitwardenSi le coffre cloud de Bitwarden t’inquiète, tu peux lancer une instance vaultwarden, une implémentation serveur libre et open source en Rust, puis y connecter les clients. Je ne l’ai pas encore fait moi-même, mais j’ai entendu dire que ça fonctionnait bien
Le fichier est sur Dropbox, et il était toujours synchronisé avant que j’ouvre l’appli sur un autre appareil
Sauvegarder la base de données est aussi simple que de copier-coller un fichier
Pour l’utilisateur moyen, utiliser un gestionnaire de mots de passe est infiniment mieux que mettre
hunter42sur tous ses comptesJe sauvegarde aussi souvent la base de données. Pour moi, ça fonctionne suffisamment bien, et je n’ai pas besoin de stocker mes données dans le cloud d’une entreprise
Open source et facile à utiliser : https://www.passwordstore.org/
prspour résoudre bon nombre des désagréments que je rencontrais avecpasset d’autres clientsIl est compatible avec
passet utilise le même dépôthttps://github.com/timvisee/prs
~/.password-storeIl existe aussi plusieurs clients GUI pour gérer les mots de passe, ainsi que des outils d’import depuis d’autres gestionnaires
L’idée semble bonne, mais je m’inquiète du fait que les clients puissent être exposés à des attaques sur la chaîne d’approvisionnement logicielle. Je ne pense pas avoir l’expertise nécessaire pour évaluer chaque nouvelle version
Essayez de présenter
passà votre famille. Même 1Password n’est pas facile à configurer pour le grand publicIl reste beaucoup de chemin avant que tout le monde utilise un gestionnaire de mots de passe, et l’alternative la plus réaliste sera probablement les passkeys
passexpose tous les sites web configurés ainsi que les métadonnées d’historique de chaque entréeCela peut convenir ou non à votre modèle de menace