Sortie de passbolt 4.4.0 : gestion TOTP, suspension des utilisateurs

Posté par  . Édité par Benoît Sibaud, gUI, Pierre Jarillon et Xavier Teyssier. Modéré par bobble bubble. Licence CC By‑SA.
Étiquettes :
16
20
nov.
2023
Sécurité

Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique.

Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.

Nouvelles fonctionnalités

Gestion des TOTP

Il est maintenant possible de créer et modifier des TOTP facilement depuis l’interface principale, rendant l’expérience utilisateur multi-appareils puisque la fonctionnalité était déjà disponible sur l’application mobile. Comme les autres types d’identifiants gérés par passbolt, il est également possible de partager les TOTP avec d’autres utilisateurs. Les TOTP peuvent aussi être associés à un identifiant existant.

Impression d'écran du fonctionnement de TOTP sur Passbolt et son application mobile

Suspension et activation des utilisateurs

Les administrateurs peuvent maintenant suspendre un compte utilisateur pour couper l’accès à la solution, offrant un contrôle accru sur la gestion des accès. Auparavant, il était uniquement possible de supprimer un utilisateur.

Impression d'écran de la fonctionnalité de suspension d'utilisateur sur Passbolt

Améliorations et correctifs

Diverses améliorations ont été apportées pour renforcer la sécurité et l'expérience utilisateur, y compris des notifications par courriel regroupées pour limiter le nombre de messages lors d'importations massives de mots de passe.

Mise à jour importante pour les administrateurs système: Utilisez PHP 8.1 ou supérieur pour une meilleure performance et compatibilité avec la dernière version de l'API passbolt.

Sécurité

De nombreux audits de sécurité ont été réalisés ces derniers mois. Les rapports d’audit sont publics et accessibles directement depuis la page sécurité de notre site web.

En savoir plus sur la version 4.4.0

Pour en savoir plus et mettre à jour vers passbolt 4.4.0, consultez les notes de version.

Aller plus loin

  • # Lien cassé

    Posté par  (Mastodon) . Évalué à 2.

    • [^] # Re: Lien cassé

      Posté par  (Mastodon) . Évalué à 3.

      Corrigé, merci.

      En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # TOTP dans le même coffre : est-ce une bonne idée ?

    Posté par  (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 24 novembre 2023 à 14:27.

    Je me rappelle avoir lu au sujet de Google Authenticator que la récente possibilité de le synchroniser au compte Google était contradictoire avec le principe de la double authentification, puisqu'il mettait les mots de passe et les TOTP à un seul endroit, annulant tout l'intérêt d'utiliser deux facteurs (enfin, c'est ce que j'avais cru comprendre). De mon côté, j'utilise Bitwarden pour mes mots de passe et Mauth pour mes TOTP, mais j'ai découvert que Bitwarden gérait également les TOTP, un peu comme Passbolt j'ai l'impression. Ferais-je une bêtise si je décide de l'utiliser à la place de Mauth ?

  • # Passbolt derrière un reverse-proxy nginx ?

    Posté par  (Mastodon) . Évalué à 2.

    Je voudrais tester Passbolt en auto-hébergé, en remplacement de Bitwarden.

    Mais je n'ai pas de serveur avec une IP dédiée, je voudrais mettre passbolt dans un conteneur ( lxc / Incus ) et y accéder via un reverse-proxy nginx.

    Est-ce possible ? et si oui, y a une doc ?? (j'en ai trouvé plein, mais rien sur la config derrière un reverse proxy)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.