Gestionnaire de mots passe
Classé dans : Android, Ubuntu, Windows, WebSurf - Mots clés : password, mot, passeOn a tous à gérer de nombreux mots de passe (ou équivalents) : pour accéder à des comptes en ligne (sur le web), pour débloquer un appareil, digicode d'accès, code de carte bleus ... Comme on ne peut pas se souvenir de tout, le plus simple est de les inscrire quelque part ... mais il faut que ce quelque part, soit sûr : c'est là, qu'entre en jeux les gestionnaires de mots de passe.
Choix d'un gestionnaire de mot de passe
Les différentes possibilités
Il en existe de plusieurs types : des propriétaires, et d'autres open source.
Coté serveurs : certains nécessitent un serveur dédié, d'autres peuvent s'installer sur certains serveurs mutualisés, enfin d'autres ne nécessitent aucun serveurs.
Enfin, du côté de l'interface, si tous encryptent des mots de passe, il y a des fonctionnalités que vous retrouvez sur certaines solutions et pas sur d'autres : groupes, filtres, import/export, différents type de données (e.g. sites, carte bancaires, passphrase, notes ...).
Hébergement
L'hébergement de votre "coffre fort" de mot de passe est critique. Si vous utilisez une solution propriétaire, le coffre fort est hébergé par le fournisseur de solution. Dans le cas, d'une solution Open Source, vous pouvez héberger vos données sur votre serveur qu'il soit chez un hébergeur ou sous votre bureau.
Si vous avez un serveur dédié ou vous pouvez faire tout ce que vous voulez, vous pouvez choisir n'importe quelle solution.
Si vous avez un serveur mutualisé, il faut regarder ce que vous pouvez faire : certaines solutions vont nécessiter d'avoir un accès à npm et/ou git et/ou WebDAV : à vous de voir ce qui est à votre disposition sur votre hébergement.
Ma recherche
Je cherche un logiciel Open Source, que je puisse installer sur un de mes serveurs mutualisés (utilisés pour gérer des sites web). Donc j'exclue les serveurs propriétaires, ainsi que les solutions nécessitant un serveur dédié (typiquement les logiciels qui s'installent avec docker ou bien qui nécessite d'un accès root).
Mon serveur mutualisé principal est chez o2switch : j'ai donc accès à un terminal en ligne de commande et je peux utiliser plusieurs bases de donnée (MySQL et PostgreSQL). Je peux utiliser du PHP mais aussi du NodeJS, avec les commandes npm et git. C'est donc mieux que pas mal que beaucoup de serveurs mutualisés ... mais ce n'est quand même pas comme un serveur dédié. A noter que j'ai aussi des serveurs OVH ... ce qui va me rendre service car on peut y installer SabreDav pour utiliser WebDAV (ce qui n'est pas le cas sur o2switch) !
Mon inventaire
Déprécié
Ils auraient pu être bien mais ils sont dépréciés, maintenant (en 2024), je les liste quand même car je les ai croisé durant mes recherches
- wkr : logiciel déprécié (l'auteur recommande Bitwarden), la partie serveur est en PHP.
- Passprotect : N'est plus maintenu, le créateur utilise maintenant Bitwarden.
Propriétaires
Les logiciels propriétaires les plus connus.
Atypique
- pass : logiciel en ligne de commande Linux mais avec de nombreux front end : sur Mac, Qt, Android, Firefox plugin, ...
Serveurs dédiés
Ces logiciels nécessites d'avoir un serveur dédié afin de pouvoir installer le logiciel (la plupart du temps avec docker voire avec un accès root) : ce n'est donc pas forcement pour tout le monde.
- Bitwarden : une bonne solution open source, très reconnu (la référence) qui s'installe avec Docker. A noter: qu'ils proposent des offres d'hébergement gratuites (pour 2 utilisateurs) et payantes (1€ pour 5 utilisateurs familiaux). Techno : .Net et SQLServer.
- Vaultwarden : est un dérivé du précédent, plus léger mais qui s'installe toujours avec Docker.
- Hutch : est un projet personnel de babelouest. Probablement intéressant mais un peu compliqué à installer.
- Passbolt : intéressant. Fonctionne avec les browsers web et app mobiles plus en ligne de commande et interrogeable par API. Instructions d'installations pour différentes distributions ou par Docker (ou Kubernetes).
- psono : cible plutôt les sociétés ou les groupes de personnes.
- hutch : nécessite un serveur dédié pour pouvoir installer le serveur : Programme C qui nécessite d'installer des librairies (nécessite l'accès root pour plusieurs étapes de l'installation).
- Passwall : s'installe avec docker.
- Passit : s'installe avec docker, peut s'installer sans, mais ce n'est pas recommandé et il faut gérer le framework Django (Python).
Serveurs mutualisés
Ces logiciels s'installent sur des serveurs mutualisés. Si la plupart fonctionnent avec du PHP que l'on trouve sur tous les serveurs mutualisés, certains nécessitent un accès au terminal (pour lancer des commandes composer, par exemple) et d'autres fonctionnent avec NodeJS (qui n'est pas disponible sur tous les serveurs mutualisés).
- Clipperz : également intéressant, un logiciel commercial (créé par 2 italiens) avec le code Open Source. Il est possible d'installer la partie serveur en PHP ou en Python mais ils sont fournis à titre de démo seulement. Le front-end ne permet pas de travailler avec le cache : le mode déconnecté est en visualisation seulement. Malheureusement, l'installation se fait avec python2 et demande l'installation de python-git qui n'est plus disponible en Ubuntu 22.04 : je n'ai donc pas pu le builder sur ma machine ... et donc pas pu l'installer.
A noter que le code du README n'a pas bougé depuis 6 ans : ce n'est pas bon signe. - Locksmith : un logiciel web "léger" (dixit la doc) en Python, et installable sur son propre serveur. Pas beaucoup de doc (si ce n'est les captures d'écran), il semble vraiment manquer de fonctionnalités : pas de filtre ...
- gPass : extension pour Chrome et Firefox avec la partie serveur en PHP.
- Padloc : à priori, on peut l'installer (en utilisant npm et git), avec les sources sur GitHub ... mais je n'ai pas réussi à le faire fonctionner sur mon hébergement o2switch.
- Passky : Intéressant car il fournit un logiciel de bureau (sur différents OS), des extensions de browser web (la plupart sauf Safari) et une application mobile (Android - rien pour iOs pour le moment). Il permet une installation du serveur sur un serveur PHP Mutualisé (Attention, au moins PHP 8.2), mais l'installation avec sqlite ne fonctionne pas "out of the box", il faut lancer /cron.php (voir cette issue). Pas de groupes et pas de champs pour l'URL ... au final pas très intéressant.
-
Laravel Simple Password Manager : je ne voulais pas d'une solution simple, je ne l'ai donc pas testé mais il est probablement intéressant.
Multi-Sources
Ils ne nécessite pas de serveurs applicatifs mais des serveurs de fichier ou équivalents (Dropbox, Google Drive etc) pour pouvoir déposer son (ou ses) fichier(s) de mots de passe.
- Buttercup : Intéressant car il fournit un logiciel de bureau, des extensions de browser web (Chrome et Firefox) et des applications mobiles (Android et iOS). Et il permet également d'enregistrer les données dans un fichier (Vault) dans des emplacements différents : Dropbox, Google Drive, WebDAV et fichier locaux. Cependant, je n'ai pas réussi à le faire fonctionner avec le WebDAV de SabreDav (qui fonctionne avec Nemo) et l'application Android. Cela fonctionne avec l'application de bureau. Sinon, le logiciel a des fonctionalités intéressantes : import/export, utilisation des applis mobiles sans connexion, et possibilité d'ajouter des champs spécifiques.
- KeePassXC : les applications KeePass existent depuis longtemps et sont très utilisés. Cette "variante" de KeePass est très bien fini et propose des outils intéressants (l'assistant d'import de fichiers CSV est très intéressant). Ils gèrent les conflits de modification (2 personnes différentes modifiant le même fichier en même temps). Pour le mobile, j'utilise Keepass2Android qui permet de se connecter directement sur une ressource WebDAV. Sur le bureau, je peux définir une connexion WebDAV, et KeePassXC pourra se connecter dessus.
On peut aussi utiliser syncthing et KeePassDX mais j'ai trouvé l'utilisation de Keepass2Android et WebDAV plus simple (toujours synchro pas besoin d'avoir les appareils en ligne en même temps), et ça fonctionne.
Faites votre choix !
Pour moi, c'est KeePassXC avec le fichier sur WebDAV et Keepass2Android sur mobile.