Après des années de vente de son gestionnaire de mots de passe, 1Password passe officiellement à l'abonnement pour tous, à 2,99 dollars par mois. Dans le même temps, le service améliore l'authentification avec une « clé de compte ».
1Password se lance officiellement dans l'abonnement pour l'ensemble de ses clients. Dans un billet publié hier, l'entreprise présente sa nouvelle offre à 2,99 dollars par mois, qui donne accès à l'ensemble des applications et à un espace de stockage en ligne pour ses mots de passe et 1 Go de documents. Il se lance donc enfin dans l'hébergement de mots de passe, comme le proposent depuis longtemps ses concurrents, comme Dashlane ou LastPass.
À noter que ce n'est pas la première incursion de 1Password dans l'hébergement. L'infrastructure a déjà été testée avec les offres familiale et pour équipe, lancées plus tôt dans l'année. Avant celles-ci, le logiciel était vendu via une licence à vie pour chaque système d'exploitation. Le partage de coffre-fort, lui, passait par sa mise en ligne via un espace en ligne comme Dropbox, la méthode recommandée jusqu'ici par 1Password.
Les données accessibles même sans abonnement
Le service propose désormais la synchronisation automatique des mots de passe, un historique d'un an pour les éléments hébergés (avec possibilité de restaurer les éléments supprimés). Il donne donc accès aux applications de l'entreprise, ainsi qu'à une version web. Pour attirer les utilisateurs, l'entreprise offre six mois d'abonnement aux personnes s'inscrivant avant le 21 septembre.
Pour les utilisateurs dont l'abonnement s'arrête, la société précise que les mots de passe et données resteront consultables par l'utilisateur, même s'il ne pourra plus les modifier. Pour ceux qui ne souhaitent pas s'abonner, 1Password vend toujours ses applications séparément, via ses habituelles licences. Certaines fonctions en ligne ne seront donc pas disponibles, comme la synchronisation automatique ou l'accès web.
Du côté des solutions libres, rappelons que KeePass permet également de partager ses mots de passe. Par défaut, KeePass 2 permet de partager un même fichier sur un espace partagé, avec la possibilité de fusionner les modifications en cas de conflit. Des solutions tierces compatibles avec KeePass existent, comme l'interface web KeeWeb ou des versions commerciales, comme Pleasant Password Server.
Un second mot de passe pour le compte
En plus d'annoncer sa nouvelle offre, 1Password déclare avoir renforcé la sécurité des comptes de ses nouveaux clients, via une « account key ». Il s'agit d'une chaine aléatoire de caractères, fournie à la création du compte, qui sert essentiellement à ajouter de nouveaux appareils au compte. Contrairement à une solution de double authentification classique, cette « clé » est mélangée au mot de passe maître et conservée par chaque client pour renforcer le chiffrement.
En clair, il s'agit d'un second mot de passe, qui n'est pas transmis par Internet, censé jouer à la fois le rôle d'un code temporaire pour ajouter un appareil et d'élément permanent pour le chiffrement des données. Il est accessible sur l'ensemble des clients déjà validés, en le copiant ou en photographiant un QR Code.
Pour rappel, les contenus sont chiffrés localement par les clients, en AES-256 avec une dérivation de clé via AES-256 PBKDF2. Le serveur, lui, n'a officiellement accès qu'à leur version chiffrée. Précisons d'ailleurs que les données sont hébergées sur Amazon Web Services. L'accès web, lui, permet d'afficher en ligne les coffres-forts de mots de passe hébergés directement par 1Password, avec l'obligation d'entrer le mot de passe maître et l'« account key » la première fois. Le chiffrement est géré par l'API JavaScript WebCrypto.
Pour mémoire, le standard actuel des gestionnaires de mot de passe est la double authentification, notamment via une clé physique. KeePass le propose notamment via un greffon spécifique. Pour sa part, 1Password estime sa méthode plus efficace, car elle n'obligerait pas à se préoccuper d'un outil d'identification tiers, sans besoin de la retenir pour autant.
Il reste qu'éditer ce genre de produits de sécurité est un défi en soi. C'est ce qu'ont rappelé les deux failles publiées la semaine dernière pour LastPass (qui les a corrigées). Elles concernaient toutes deux ses extensions pour navigateur. À cette annonce, le service avait répondu que la première datait d'il y a un an, quand l'autre était encore récente.
Commentaires (50)
#1
Paye, paye , paye… Pi un jour il se font pirater (comme tous) et là, tout les clients qui ont subordonné la gestion de leur mdp a un tiers soi disant secure auront payé pour retrouver tous leurs mdp dispo sur la toile…
Gestion perso du bouzin, rien de plus sûr !
#2
Fournir tout ses mdp à une société et payer pour le faire, certains sont maso.
#3
On le fait bien avec les banques
" />
#4
J’étais intéressé par l’offre 1Password (j’ai pas apprécié Dashlane, LastPass), mais je découvre par cette news l’existence de keeweb, qui m’intéresse du coup encore plus (j’ai pesté de nombreuses fois sur la problématique d’un keepass “mobile”, et cette solution me plait beaucoup). Merci NXI :)
#5
Si nous ne sommes pas trop exigeant certaines banques sont gratuites :)
#6
Des retours concernant Keeweb et une possible appli mobile qui synchronise avec Keepass?
J’ai actuellement LastPass mais les dernières failles de sécu m’ont un peu refroidi.
#7
Le problème reste le même (et les banques c’est comme le casino, sur le long terme, c’est jamais toi qui gagne ;))
#8
#9
Perso, j’ai 1Password mais j’utiliserai jamais leur offre d’hébergement. J’ai préféré 1Password a LastPass justement pour être sur d’avoir mes pass en local, c’est pas pour passer à l’hebergement 2 ans plus tard…
#10
#11
#12
J’ai toujours eu du mal à trouver de l’utilité quand le navigateur fait la même chose, je suppose que c’est pour garder les mdp en cas de changement de machine ?
#13
super, ils vont gèrer eux-meme l’hebergement sur le cloud amazon pour éviter de passer par dropbox qui utilise le cloud amazon
" />
perso j’ai + confiance en dropbox pour la gestion de l’infra, c’est leur coeur de metier, alors que 1P c’est le dev …
et sans parler de la migration vers l’abo …
perso je vais rester sur ma version actuelle de 1P et la sync dropbox
90% de la sécu vient de l’hygiène numérique, pas d’outils bequille
#14
indice : il n’y a pas que le navigateur qui utilise des mots de passe ;)
et ces outils permettent de stocker autre chose que des mots de passe : clés SSH, licences …
#15
#16
#17
Mine de rien, j’attends un vrai gestionnaire de mot de passe sur Windows, comme le Trousseau, pour me passer de Lastpass..
#18
#19
#20
#21
#22
Dropbox n’est plus sur amazon cloud, ils ont leur propre infrastructure. En soit je ne sait pas si c’est mieux ou pas pour la securite.
Par contre1password est utikise dans ma boite car il a la gestion par administrateur, avec possiblite de gerer les comptes, partager les mots de passes (l’admin gere et envoie aux personnes leur mots de passes de facon securise). Et possiblite d’avoir un autre mot de passe admin pour voir les mots de passe boulot des employes (en cas de deces ou accident grave)
#23
Oui, le risque est en cas de vol de laptop / telephone avec stockage non chiffré.
Ou cambriolage.
#24
Non, mais tout mon argent, c’est pas mal non plus ;)
#25
#26
T’as pas de matelas ?
" />
#27
Honnêtement, avant que je ne passe à 1Password il y a une paire d’années, c’était franchement pas super utilisable sur mobile (WindowsPhone puis iOS). Je vais y regarder plus précisément une nouvelle fois.
#28
Bon j’ai voulu testé 1password et franchement c’est la merde leur site, obligé de passer par une install online sur le “ cloud ” , fiouuuuuu je dois être trop vieux jeux je veux juste un logiciel à l’ancienne.
#29
#30
Si vous me donnez une solution légal pour me passer des banques je suis preneurs.
Pas de banque = pas de salaire pas de sécu pas d’abonnement…. malheureusement
#31
et pas de prêt bancaire pour la voiture, la maison non plus.
#32
depuis les extensions iOS c’est très pratique
" /> et couplé à TouchID encore plus 
" />
#33
motsdepasse.txt
" />
#34
Perso, sur certains sites, j’ai fini par mettre n’importe quoi comme mdp.
" />
Pour me connecter, c’est direct mot de passe oublié, mail de récup et hop ! Ça va plus vite que de chercher le mdp
#35
#36
Direct +1.
Après la plupart des mdp sont dans ma tête ^^.
#37
#38
Et c’est là que t’oubli ta clé USB quelque part…
#39
La solution cloud pour 1password a quand même un avantage : Actuellement j’utilise Dropbox pour la synchronisation du vault, et il faut savoir que pour faire ça, 1password demande d’avoir accès à L’INTÉGRALITÉ de ma Dropbox, ce qui est pas forcément agréable …
#40
Je sais pas pour WP et iOS mais en tout cas sur mon android j’utilise KeePass2Droid, et ça marche du tonnerre.
#41
Nope des chiffres et des lettres et des des virgule haha.
#42
Pourquoi ne pas utiliser plutôt votre cerveau pour retenir les mots de passe?
https://forum.nextinpact.com/topic/157193-bien-gérer-ses-mots-de-passe/
#43
Il y a des alternatives, comme Encrpytr (zero knowledge) ou LessPass (auto-hébergeable).
#44
C’est pour ça qu’on a inventé le chiffrage
" />
#45
#46
Les bitcoinshttps://www.evilsocket.net/2016/05/08/Hacking-Yourself-out-of-the-Banking-System…
#47
Alors je sais pas si ils y en a qui liront jusqu’ici mais on s en fous de se faire voler les mdp avec 1Password.
Exemple mon mdp de Amazon ou autre fait 40 caractères aléatoires. Si on me le pique ET qu’on le décrypte, ben l’app 1Password peut m’en générer un nouveau aléatoire de masse caractères avec signes spéciaux etc…
Donc bon.
Et sinon ben il y a que le gros mot de passe qu’on doit garder en tête (1Password) donc au pire on en trouve un autre.
Bref : 100 000 fois plus sécure que les loulous qui se pensent super crack en penseant génère des suites logiques de mot de passe ( la faille est dans l’énoncé…) et qui serront loin d’égaler les 60 caractères avec spéciaux et chiffres que peux générer la machine.
Et en 2 clic on change son mdp d’un site. Facile de rester dans les normes où l’on nous dit d’avoir un mdp différent sur chaque site et de le changer régulièrement.
Voilou vouloi
#48
#49
Et vous oubliez le post-it sur l’écran. Impossible à pirater depuis le web. Et pour l’avoir en dehors de chez soi il suffit d’une photo du post-it avec le smartphone.
C’est du vécu :-)