D’un point de vue général, passbolt se positionne pour une utilisation en entreprise et donc avec de plus grosses équipes où les besoins en collaboration et en sécurité peuvent être plus sophistiqués.
Voici une liste non exhaustive des avantages fonctionnels de passbolt par rapport à Bitwarden:
Système de permissions plus flexible et granulaire: avec Passbolt, un mot de passe peut être partagé individuellement avec un utilisateur ou groupe d’utilisateurs. Avec Bitwarden, seulement un vault contenant plusieurs mots de passe peut être partagé, tout ou rien donc.
Synchronisation temps réel entre plusieurs utilisateurs et clients: Du fait que passbolt gère les mots de passe individuellement sans utiliser de système de vault, cela lui confère certaines propriétés intéressantes. Par exemple, lorsqu’un mot de passe partagé est mis à jour, la version mise à jour est accessible immédiatement par l’ensemble des utilisateurs avec lesquels il est partagé. Sur Bitwarden, c’est un processus qui peut prendre un certain temps surtout si les vaults sont gros car il faut d’abord que le nouveau vault soit re-uploadé sur le serveur et qu’il soit ensuite re-téléchargé par les clients.
Couche organisationnelle et collaborative plus prononcée: Sur Passbolt il est possible de collaborer sur un mot de passe donné: de laisser des commentaires, de tagger un mot de passe comme expiré, ou encore d’organiser les mots de passe dans un système de dossiers imbriqués où chaque niveau peut avoir ses propres permissions d’accès. Ces fonctionnalités n’existent pas chez Bitwarden.
D’un point de vue sécurité, passbolt possède également certains attributs intéressants par rapport à Bitwarden:
Révocation des accès: Lorsqu’un accès est révoqué, sur Passbolt le secret est instantanément supprimé et il est donc impossible pour l’utilisateur de pouvoir y accéder. Sur Bitwarden l’accès au vault n’est pas révoqué d’un point de vue cryptographique. La révocation est uniquement au niveau de la couche d’authentification avec le serveur. En gros, si un utilisateur a eu accès au vault a un moment T il est possible de le décrypter dans le futur même quand l'accès est révoqué (encore faut-il obtenir la nouvelle archive, certes).
Intégrité des logs d’activité: Sur Passbolt, les opérations sont loguées par le serveur au moment où elles s’effectuent, avec contrôle d’integrité. La plupart des opérations de chiffrement sont également signées par les clefs utilisateurs. Sur Bitwarden, les opérations sont loguées à posteriori et sans contrôle d’intégrité. Il est donc impossible de savoir si une opération a bel et bien eu lieu, ni d’avoir un historique fiable. Sur Passbolt, l'intégrité des logs est mieux garantie.
Chiffrement de bout en bout (End-to-end): Sur Passbolt, les librairies de chiffrement sont fournies par l’extension navigateur, pas par le serveur. Cela permet d’éviter des situations où un attaquant qui compromettrait le serveur pourrait ensuite modifier les librairies (ou l’interface) pour se donner accès aux secrets ou capturer le mot de passe principal. Sur Bitwarden, pour le client web, les librairies de chiffrement sont fournies par le serveur, donc pas vraiment "de bout en bout" sauf si on utilise les clients lourds.
Cryptographie à clef publique, basée sur OpenPGP: Sur Passbolt, chaque utilisateur dispose de sa propre clef d’encryption qui peut être soit générée par le client, soit importée pour un contrôle total. C’est un mécanisme très proche de celui utilisé par les portefeuilles crypto et permet de fournir une cryptographie basée sur des clefs RSA à tailles configurables stockées côté client. Bitwarden pour sa part dérive les clefs à partir du mot de passe de l’utilisateur. Cela signifie que deviner le mot de passe utilisateur "suffit" à usurper son compte, tandis que chez Passbolt il est nécessaire de récupérer une clé, stockée chiffrée côté client, en plus de connaître la passphrase de déchiffrement de la clef.
Passbolt utilise GpgAuth un système d’authentification fort avec un challenge unique (similaire à SSH). Bitwarden dérive le mot de passe principale l'envoyer au serveur lors de l’authentification. Cela explique pourquoi le MFA n’est pas "obligatoire" pour passbolt par défaut.
Enfin, d’un point de vue hébergement et technologies, passbolt est développé sur une stack assez légère: PHP / Mysql (MariaDB et PostgreSQL sont également supportés). Il est possible de l’héberger sur un serveur relativement simple (Même sur un Raspberry pi par exemple) et cela nous permet de fournir des paquets linux natifs pour la plupart des distributions. Bitwarden quant à lui est écrit en .Net et nécessite un calibrage serveur un peu plus lourd (une alternative plus legere, vaultwarden existe aussi).
Voila, la réponse un peu longue, mais j'espère que les informations sont intéressantes :)
[^] # Re: BitWarden
Posté par kevin muller . En réponse à la dépêche Passbolt, le gestionnaire de mots de passe pour équipe, lance ses applications mobiles. Évalué à 10.
D’un point de vue général, passbolt se positionne pour une utilisation en entreprise et donc avec de plus grosses équipes où les besoins en collaboration et en sécurité peuvent être plus sophistiqués.
Voici une liste non exhaustive des avantages fonctionnels de passbolt par rapport à Bitwarden:
Système de permissions plus flexible et granulaire: avec Passbolt, un mot de passe peut être partagé individuellement avec un utilisateur ou groupe d’utilisateurs. Avec Bitwarden, seulement un vault contenant plusieurs mots de passe peut être partagé, tout ou rien donc.
Synchronisation temps réel entre plusieurs utilisateurs et clients: Du fait que passbolt gère les mots de passe individuellement sans utiliser de système de vault, cela lui confère certaines propriétés intéressantes. Par exemple, lorsqu’un mot de passe partagé est mis à jour, la version mise à jour est accessible immédiatement par l’ensemble des utilisateurs avec lesquels il est partagé. Sur Bitwarden, c’est un processus qui peut prendre un certain temps surtout si les vaults sont gros car il faut d’abord que le nouveau vault soit re-uploadé sur le serveur et qu’il soit ensuite re-téléchargé par les clients.
Couche organisationnelle et collaborative plus prononcée: Sur Passbolt il est possible de collaborer sur un mot de passe donné: de laisser des commentaires, de tagger un mot de passe comme expiré, ou encore d’organiser les mots de passe dans un système de dossiers imbriqués où chaque niveau peut avoir ses propres permissions d’accès. Ces fonctionnalités n’existent pas chez Bitwarden.
D’un point de vue sécurité, passbolt possède également certains attributs intéressants par rapport à Bitwarden:
Intégrité des logs d’activité: Sur Passbolt, les opérations sont loguées par le serveur au moment où elles s’effectuent, avec contrôle d’integrité. La plupart des opérations de chiffrement sont également signées par les clefs utilisateurs. Sur Bitwarden, les opérations sont loguées à posteriori et sans contrôle d’intégrité. Il est donc impossible de savoir si une opération a bel et bien eu lieu, ni d’avoir un historique fiable. Sur Passbolt, l'intégrité des logs est mieux garantie.
Chiffrement de bout en bout (End-to-end): Sur Passbolt, les librairies de chiffrement sont fournies par l’extension navigateur, pas par le serveur. Cela permet d’éviter des situations où un attaquant qui compromettrait le serveur pourrait ensuite modifier les librairies (ou l’interface) pour se donner accès aux secrets ou capturer le mot de passe principal. Sur Bitwarden, pour le client web, les librairies de chiffrement sont fournies par le serveur, donc pas vraiment "de bout en bout" sauf si on utilise les clients lourds.
Cryptographie à clef publique, basée sur OpenPGP: Sur Passbolt, chaque utilisateur dispose de sa propre clef d’encryption qui peut être soit générée par le client, soit importée pour un contrôle total. C’est un mécanisme très proche de celui utilisé par les portefeuilles crypto et permet de fournir une cryptographie basée sur des clefs RSA à tailles configurables stockées côté client. Bitwarden pour sa part dérive les clefs à partir du mot de passe de l’utilisateur. Cela signifie que deviner le mot de passe utilisateur "suffit" à usurper son compte, tandis que chez Passbolt il est nécessaire de récupérer une clé, stockée chiffrée côté client, en plus de connaître la passphrase de déchiffrement de la clef.
Passbolt utilise GpgAuth un système d’authentification fort avec un challenge unique (similaire à SSH). Bitwarden dérive le mot de passe principale l'envoyer au serveur lors de l’authentification. Cela explique pourquoi le MFA n’est pas "obligatoire" pour passbolt par défaut.
Enfin, d’un point de vue hébergement et technologies, passbolt est développé sur une stack assez légère: PHP / Mysql (MariaDB et PostgreSQL sont également supportés). Il est possible de l’héberger sur un serveur relativement simple (Même sur un Raspberry pi par exemple) et cela nous permet de fournir des paquets linux natifs pour la plupart des distributions. Bitwarden quant à lui est écrit en .Net et nécessite un calibrage serveur un peu plus lourd (une alternative plus legere, vaultwarden existe aussi).
Voila, la réponse un peu longue, mais j'espère que les informations sont intéressantes :)