Journal Bitwarden Authenticator, une application mobile libre pour vos TOTP

Posté par  . Licence CC By‑SA.
Étiquettes :
2
19
oct.
2024

J'utilise Bitwarden pour la gestion familiale des mots de passe depuis plusieurs années, et globalement, c'est chouette. Je paye pour l'hébergement via les offres commerciales, mais on peut l'héberger soi-même, ou utiliser Vaultwarden qui est compatible avec le client officiel Bitwarden1.

Une fonction très pratique est de pouvoir stocker les jetons TOTP pour la double authentification2. Quand on y réfléchi un peu, on se trouve rapidement à considérer que c'est un peu faire non plus de l'authentification à 2 facteurs, mais plutôt à 1,5 facteurs… Tout est dans le même coffre-fort, même si l'accès à ce coffre est lui-même multifactoriel3.

On peut déblatérer des heures sur fond du sujet, c'est un équilibre entre niveau de sécurité et confort, chacun·e place le curseur où bon lui semble, parfois même en connaissance de cause.

J'utilisais donc prioritairement ma Yubikey pour la MFA, et les TOTP quand la Yubikey/Webauthn n'est pas supporté. N'ayant eu que récemment un smartphone, je stockais ces TOTP dans Bitwarden. Donc tous les œufs dans le même panier, d'une certaine manière.

Et puis cette année, j'ai remplacé mon Nokia 130 par un smartphone (à cause de l'Identité Numérique et France Connect+). Donc je me suis dit que je pouvais maintenant extraire les secrets TOTP et les avoir dans une application dédiée. Sur Android, il y a Aegis en licence GPL 3.0, mais sur iOS, ce n'est pas disponible. En cherchant, on tombe rapidement sur Google Authenticator, Twilio Authy, celui de Microsoft, etc… Tous propriétaires et avec des possibilités de sauvegarde et de transfert du contenu plutôt limitées. Par exemple pour Authy, il faut se créer un compte chez Twilio.

Et donc aujourd'hui, je découvre que l'entreprise Bitwarden a publié Bitwarden Authenticator il y a quelques mois, pour iOS et Android, en licence GPL 3.0.

La doc est claire : l'appli est indépendante du coffre-fort, et les sauvegardes se font via le système de sauvegarde du téléphone.

Donc bye bye Authy, bonjour Bitwarden Authenticator !

Tout petit regret, je me dis que peut-être Bitwarden (l'entreprise) aurait pu contribuer ou financer une version pour iOS de Aegis, ça aurait une belle collaboration.

Et toi, tu gères comment ta MFA dans ce monde de brutes ?

  1. Plugin de navigateur qui est propriétaire, lui. 

  2. Et aussi les mal nommées passkeys, mais c'est une autre histoire. 

  3. Fun fact: L'accès via un client genre site web ou app est multifactoriel, mais si le coffre est volé sur le serveur, le mot de passe suffit pour le déverrouiller. 

  • # TOTP

    Posté par  (site web personnel) . Évalué à 5 (+2/-0).

    Et toi, tu gères comment ta MFA dans ce monde de brutes ?

    Avec FreeOTP+ sous Android.

  • # 2FAS

    Posté par  (site web personnel, Mastodon) . Évalué à 4 (+2/-0).

    Avec https://2fas.com/ sur iOS & android.
    Les sources sont sur GitHub: https://github.com/twofas

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: 2FAS

      Posté par  . Évalué à 0 (+0/-0).

      Merci pour cette trouvaille!

    • [^] # Re: 2FAS

      Posté par  . Évalué à 2 (+0/-0).

      Ça a l'air super chouette aussi, merci ! Pour utiliser l'extension de navigateur pour la synchro, il faut se monter un service quelque part ?

  • # J'utilise une Yubikey

    Posté par  . Évalué à 2 (+1/-0). Dernière modification le 19 octobre 2024 à 18:09.

    Comme toi, j'utilise une Yubikey pour mes 2FA en WebAuthn/FIDO. Mais je l'utilise aussi pour stocker mes tokens TOTP, avec l'application Yubico Authenticator, disponible sur Linux, Android et Windows, probablement dans le monde Apple aussi.

    Ça marche bien, on peut l'utiliser en USB ou en NFC. On peut aussi y mettre un PIN pour authentifier le matériel qui lit la Yubikey. surtout utile pour protéger le NFC. Il y a une limitation à 64 tokens, je ne l'ai pas encore atteinte.

    • [^] # Re: J'utilise une Yubikey

      Posté par  . Évalué à 3 (+1/-0).

      Intéressant, je n'avais pas vu cette fonctionnalité.

      J'ai une Yubikey bleue depuis un bon bout de temps, qui ne fait que FIDO/WebAuthn (la pas chère à 25 balles).

      Quand j'ai eu mon smartphone, j'ai découvert qu'il avait un composant NFC dedans. J'ai donc acheté une Yubikey 5 pour pouvoir l'utiliser avec et déverrouiller - entre autres - Bitwarden en NFC. Et là, grosse déception : sur le modèle que j'ai (un SE de première génération), le NFC n'est utilisable que par l'appli de paiement Apple. Du coup j'ai mis ma YK5 un peu de côté pour l'instant, mais je suis sûr qu'entre les certifs GPG, clés SSH, challenges pour LUKS et les TOTP, elle est promise à un bel avenir (et que j'ai pas intérêt à la perdre :D) !

      • [^] # Re: J'utilise une Yubikey

        Posté par  . Évalué à 1 (+0/-0). Dernière modification le 19 octobre 2024 à 19:13.

        La mienne stocke également ma clé OpenPGP, qui sert aussi de clé SSH. Elle est toujours sur mon porte clé.
        Si je perds le porte clé, je suis dans la mouise jusqu'au cou : renouvellement de tous les tokens TOTP et FIDO, révocation de la clé OpenPGP, invalidation de la clé SSH, ça va me prendre une bonne journée de taf ! Sans compter le changement des barillets de la porte d'entrée !

        J'ai jamais pensé à l'utiliser pour LUKS, si tu as de l'expérience là-dessus ou des liens vers de la doc, je suis preneur.

  • # L'appli de Microsoft

    Posté par  (Mastodon) . Évalué à 3 (+0/-0).

    Et je déconne même pas.

    J'ai eu à l'installer pour le boulot, et finalement je l'utilise pas mal en perso (en plus d'une Yubikey qui est mon 2FA préféré). Vu que j'ai pas de vie avec Microsoft, je trouve qu'il y a un petit côté dissident à les utiliser que pour la sécu ^^

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.