Après des années de vente de son gestionnaire de mots de passe, 1Password passe officiellement à l'abonnement pour tous, à 2,99 dollars par mois. Dans le même temps, le service améliore l'authentification avec une « clé de compte ».
1Password se lance officiellement dans l'abonnement pour l'ensemble de ses clients. Dans un billet publié hier, l'entreprise présente sa nouvelle offre à 2,99 dollars par mois, qui donne accès à l'ensemble des applications et à un espace de stockage en ligne pour ses mots de passe et 1 Go de documents. Il se lance donc enfin dans l'hébergement de mots de passe, comme le proposent depuis longtemps ses concurrents, comme Dashlane ou LastPass.
À noter que ce n'est pas la première incursion de 1Password dans l'hébergement. L'infrastructure a déjà été testée avec les offres familiale et pour équipe, lancées plus tôt dans l'année. Avant celles-ci, le logiciel était vendu via une licence à vie pour chaque système d'exploitation. Le partage de coffre-fort, lui, passait par sa mise en ligne via un espace en ligne comme Dropbox, la méthode recommandée jusqu'ici par 1Password.
Les données accessibles même sans abonnement
Le service propose désormais la synchronisation automatique des mots de passe, un historique d'un an pour les éléments hébergés (avec possibilité de restaurer les éléments supprimés). Il donne donc accès aux applications de l'entreprise, ainsi qu'à une version web. Pour attirer les utilisateurs, l'entreprise offre six mois d'abonnement aux personnes s'inscrivant avant le 21 septembre.
Pour les utilisateurs dont l'abonnement s'arrête, la société précise que les mots de passe et données resteront consultables par l'utilisateur, même s'il ne pourra plus les modifier. Pour ceux qui ne souhaitent pas s'abonner, 1Password vend toujours ses applications séparément, via ses habituelles licences. Certaines fonctions en ligne ne seront donc pas disponibles, comme la synchronisation automatique ou l'accès web.
Du côté des solutions libres, rappelons que KeePass permet également de partager ses mots de passe. Par défaut, KeePass 2 permet de partager un même fichier sur un espace partagé, avec la possibilité de fusionner les modifications en cas de conflit. Des solutions tierces compatibles avec KeePass existent, comme l'interface web KeeWeb ou des versions commerciales, comme Pleasant Password Server.
Un second mot de passe pour le compte
En plus d'annoncer sa nouvelle offre, 1Password déclare avoir renforcé la sécurité des comptes de ses nouveaux clients, via une « account key ». Il s'agit d'une chaine aléatoire de caractères, fournie à la création du compte, qui sert essentiellement à ajouter de nouveaux appareils au compte. Contrairement à une solution de double authentification classique, cette « clé » est mélangée au mot de passe maître et conservée par chaque client pour renforcer le chiffrement.
En clair, il s'agit d'un second mot de passe, qui n'est pas transmis par Internet, censé jouer à la fois le rôle d'un code temporaire pour ajouter un appareil et d'élément permanent pour le chiffrement des données. Il est accessible sur l'ensemble des clients déjà validés, en le copiant ou en photographiant un QR Code.
Pour rappel, les contenus sont chiffrés localement par les clients, en AES-256 avec une dérivation de clé via AES-256 PBKDF2. Le serveur, lui, n'a officiellement accès qu'à leur version chiffrée. Précisons d'ailleurs que les données sont hébergées sur Amazon Web Services. L'accès web, lui, permet d'afficher en ligne les coffres-forts de mots de passe hébergés directement par 1Password, avec l'obligation d'entrer le mot de passe maître et l'« account key » la première fois. Le chiffrement est géré par l'API JavaScript WebCrypto.
Pour mémoire, le standard actuel des gestionnaires de mot de passe est la double authentification, notamment via une clé physique. KeePass le propose notamment via un greffon spécifique. Pour sa part, 1Password estime sa méthode plus efficace, car elle n'obligerait pas à se préoccuper d'un outil d'identification tiers, sans besoin de la retenir pour autant.
Il reste qu'éditer ce genre de produits de sécurité est un défi en soi. C'est ce qu'ont rappelé les deux failles publiées la semaine dernière pour LastPass (qui les a corrigées). Elles concernaient toutes deux ses extensions pour navigateur. À cette annonce, le service avait répondu que la première datait d'il y a un an, quand l'autre était encore récente.
