Journal Bitwarden Authenticator, une application mobile libre pour vos TOTP

Posté par  . Licence CC By‑SA.
Étiquettes :
10
19
oct.
2024

J'utilise Bitwarden pour la gestion familiale des mots de passe depuis plusieurs années, et globalement, c'est chouette. Je paye pour l'hébergement via les offres commerciales, mais on peut l'héberger soi-même, ou utiliser Vaultwarden qui est compatible avec le client officiel Bitwarden1.

Une fonction très pratique est de pouvoir stocker les jetons TOTP pour la double authentification2. Quand on y réfléchi un peu, on se trouve rapidement à considérer que c'est un peu faire non plus de l'authentification à 2 facteurs, mais plutôt à 1,5 facteurs… Tout est dans le même coffre-fort, même si l'accès à ce coffre est lui-même multifactoriel3.

On peut déblatérer des heures sur fond du sujet, c'est un équilibre entre niveau de sécurité et confort, chacun·e place le curseur où bon lui semble, parfois même en connaissance de cause.

J'utilisais donc prioritairement ma Yubikey pour la MFA, et les TOTP quand la Yubikey/Webauthn n'est pas supporté. N'ayant eu que récemment un smartphone, je stockais ces TOTP dans Bitwarden. Donc tous les œufs dans le même panier, d'une certaine manière.

Et puis cette année, j'ai remplacé mon Nokia 130 par un smartphone (à cause de l'Identité Numérique et France Connect+). Donc je me suis dit que je pouvais maintenant extraire les secrets TOTP et les avoir dans une application dédiée. Sur Android, il y a Aegis en licence GPL 3.0, mais sur iOS, ce n'est pas disponible. En cherchant, on tombe rapidement sur Google Authenticator, Twilio Authy, celui de Microsoft, etc… Tous propriétaires et avec des possibilités de sauvegarde et de transfert du contenu plutôt limitées. Par exemple pour Authy, il faut se créer un compte chez Twilio.

Et donc aujourd'hui, je découvre que l'entreprise Bitwarden a publié Bitwarden Authenticator il y a quelques mois, pour iOS et Android, en licence GPL 3.0.

La doc est claire : l'appli est indépendante du coffre-fort, et les sauvegardes se font via le système de sauvegarde du téléphone.

Donc bye bye Authy, bonjour Bitwarden Authenticator !

Tout petit regret, je me dis que peut-être Bitwarden (l'entreprise) aurait pu contribuer ou financer une version pour iOS de Aegis, ça aurait une belle collaboration.

Et toi, tu gères comment ta MFA dans ce monde de brutes ?

  1. Plugin de navigateur qui est propriétaire, lui. 

  2. Et aussi les mal nommées passkeys, mais c'est une autre histoire. 

  3. Fun fact: L'accès via un client genre site web ou app est multifactoriel, mais si le coffre est volé sur le serveur, le mot de passe suffit pour le déverrouiller. 

  • # TOTP

    Posté par  (site web personnel) . Évalué à 8 (+5/-0).

    Et toi, tu gères comment ta MFA dans ce monde de brutes ?

    Avec FreeOTP+ sous Android.

    • [^] # Re: TOTP

      Posté par  . Évalué à 4 (+3/-0).

      J'aimerai bien savoir ce que fait de plus tous ces logiciels "Authenticator" par rapport à FreeOTP ou FreeOTP+ ?

      • [^] # Re: TOTP

        Posté par  . Évalué à 4 (+2/-0).

        C'est plus une question qu'autre chose: j'ai l'impression qu'il n'y a pas de sauvegarde automatique, il faut une sauvegarde manuelle.

      • [^] # Re: TOTP

        Posté par  (site web personnel, Mastodon) . Évalué à 3 (+2/-0).

        C'est surtout, que parfois ils utilisent des protocoles un peu différent proprio. Des appels a des web-services? Des check d' "humanité" ou que c'est bien un comportement habituel sur le téléphone?
        Mais certaines application ne font rien de plus. Je sais que j'ai déjà utilisé FreeOTP+ là ou l'on me demandais Google Authenticator (Je dis pas que ça marche tout le temps)…

        Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.

      • [^] # Re: TOTP

        Posté par  . Évalué à 2 (+0/-0).

        Ça dépend, pour l'instant celle de Bitwarden semble identique à celle FreeOTP.

        Certaines applis savent faire des notifications push (Okta, Microsoft, Google), certaines supportent des protocoles spécifiques (Fortinet, Microsoft…), et aussi comme dit plus bas, celle de Yubikey sait aller chercher les jetons dans une Yubikey, ce qui semble assez original.

        Ce qui m'a accroché, finalement, dans la version de Bitwarden, c'est que j'ai pu avoir la réponse à toutes mes questions dans la section FAQ de la page web, là où pour d'autres applis il faut aller se perdre dans des issues GitHub ou d'obscurs fils Reddit. Ça m'a fait gagner beaucoup de temps, et moins j'interagis avec mon téléphone, plus je suis content :).

        Bonus, avoir un nom/logo similaires pour le coffre-fort et les TOTP me permettra peut-être de convaincre l'amour de ma vie de s'y mettre.

        Bref, ici c'est pas tellement la technique qui a primé, mais l'emballage1.

        1. note pour Devnewton: je parle de l'appli Bitwarden ;) 

    • [^] # Re: TOTP

      Posté par  . Évalué à 3 (+1/-0).

      Keysmith, soit sur Pinephone, soit sur Android via le repo F-Droid de KDE

  • # 2FAS

    Posté par  (site web personnel, Mastodon) . Évalué à 8 (+6/-0).

    Avec https://2fas.com/ sur iOS & android.
    Les sources sont sur GitHub: https://github.com/twofas

    La gelée de coings est une chose à ne pas avaler de travers.

    • [^] # Re: 2FAS

      Posté par  . Évalué à 1 (+1/-0).

      Merci pour cette trouvaille!

    • [^] # Re: 2FAS

      Posté par  . Évalué à 2 (+0/-0).

      Ça a l'air super chouette aussi, merci ! Pour utiliser l'extension de navigateur pour la synchro, il faut se monter un service quelque part ?

    • [^] # Re: 2FAS

      Posté par  . Évalué à 4 (+2/-0). Dernière modification le 20 octobre 2024 à 13:19.

      Trop bien la browser extension, je faisais le partage avec KDE connect, mais la c'est beaucoup mieux, et en plus c'est libre et l'interface est jolie.

      J'ai juste voulu vérifier si la synchro app <-> browser était bien chiffrée vu qu'à priori ça passe par.un serveur . A partir des sources c'était pas évident pour moi, mais c'est indiqué comme tel sur le site: https://2fas.com/support/security-privacy/is-2fas-end-to-end-encrypted/

      Merci !

  • # J'utilise une Yubikey

    Posté par  . Évalué à 4 (+3/-0). Dernière modification le 19 octobre 2024 à 18:09.

    Comme toi, j'utilise une Yubikey pour mes 2FA en WebAuthn/FIDO. Mais je l'utilise aussi pour stocker mes tokens TOTP, avec l'application Yubico Authenticator, disponible sur Linux, Android et Windows, probablement dans le monde Apple aussi.

    Ça marche bien, on peut l'utiliser en USB ou en NFC. On peut aussi y mettre un PIN pour authentifier le matériel qui lit la Yubikey. surtout utile pour protéger le NFC. Il y a une limitation à 64 tokens, je ne l'ai pas encore atteinte.

    • [^] # Re: J'utilise une Yubikey

      Posté par  . Évalué à 2 (+1/-1).

      Intéressant, je n'avais pas vu cette fonctionnalité.

      J'ai une Yubikey bleue depuis un bon bout de temps, qui ne fait que FIDO/WebAuthn (la pas chère à 25 balles).

      Quand j'ai eu mon smartphone, j'ai découvert qu'il avait un composant NFC dedans. J'ai donc acheté une Yubikey 5 pour pouvoir l'utiliser avec et déverrouiller - entre autres - Bitwarden en NFC. Et là, grosse déception : sur le modèle que j'ai (un SE de première génération), le NFC n'est utilisable que par l'appli de paiement Apple. Du coup j'ai mis ma YK5 un peu de côté pour l'instant, mais je suis sûr qu'entre les certifs GPG, clés SSH, challenges pour LUKS et les TOTP, elle est promise à un bel avenir (et que j'ai pas intérêt à la perdre :D) !

      • [^] # Re: J'utilise une Yubikey

        Posté par  . Évalué à 3 (+2/-0). Dernière modification le 19 octobre 2024 à 19:13.

        La mienne stocke également ma clé OpenPGP, qui sert aussi de clé SSH. Elle est toujours sur mon porte clé.
        Si je perds le porte clé, je suis dans la mouise jusqu'au cou : renouvellement de tous les tokens TOTP et FIDO, révocation de la clé OpenPGP, invalidation de la clé SSH, ça va me prendre une bonne journée de taf ! Sans compter le changement des barillets de la porte d'entrée !

        J'ai jamais pensé à l'utiliser pour LUKS, si tu as de l'expérience là-dessus ou des liens vers de la doc, je suis preneur.

        • [^] # Re: J'utilise une Yubikey

          Posté par  . Évalué à 4 (+2/-0).

          Je pourrais faire un petit journal là-dessus, car j'ai deux méthodes (une FIDO et une challenge), mais ça fait longtemps que je l'ai mis en place et j'ai pris aucune notes, faut que je révise d'abord :) !

          En attendant, avec la méthode FIDO, je vois ça dans cryptsetup :

          0: systemd-fido2           <-- donc ça utilise un truc dans systemd
  fido2-credential: xxx
  fido2-salt: xxx

  fido2-rp:   io.systemd.cryptsetup
  fido2-clientPin-required: false
  fido2-up-required: true  <-- user presence = appuyer sur la clé
  fido2-uv-required: false
  Keyslot: 3

          J'utilise systemd-boot comme bootloader, je ne sais pas si c'est important.

        • [^] # Re: J'utilise une Yubikey

          Posté par  (site web personnel) . Évalué à 4 (+3/-0).

          J'ai jamais pensé à l'utiliser pour LUKS, si tu as de l'expérience là-dessus ou des liens vers de la doc, je suis preneur.

          J'ai rédigé un tutoriel ici même sur l'utilisation de clé GPG pour déchiffrer / avec luks sous Debian, utilisant cryptsetup-keyscripts (cf. d'autres exemples pour différentes possibilités).

          C'est aussi possible en utilisant systemd-boot, comme l'évoque cg ci-dessus.

  • # L'appli de Microsoft

    Posté par  (Mastodon) . Évalué à 5 (+2/-0).

    Et je déconne même pas.

    J'ai eu à l'installer pour le boulot, et finalement je l'utilise pas mal en perso (en plus d'une Yubikey qui est mon 2FA préféré). Vu que j'ai pas de vie avec Microsoft, je trouve qu'il y a un petit côté dissident à les utiliser que pour la sécu ^^

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

  • # La recherche dans l'AppStore

    Posté par  . Évalué à 4 (+2/-0).

    J'ai écrit ce journal, car j'avais l'impression qu'une appli TOTP bien fichue et libre sur iOS, c'était rare. Donc suite aux différents commentaires à ce journal qui me prouvent que pas tant que ça, j'ai fait un test de recherche dans l'AppStore, avec "TOTP".

    Et en effet, en 9ème position, je trouve 2FAS, et en 15ème FreeOTP. Cool !

    Si je recherche directement "FreeOTP" ou "2FAS", ils sont en deuxième dans la liste :-/. Obtenir la première place semble demander d'avoir des moyens conséquents…

  • # Open source... mais pas trop ?

    Posté par  . Évalué à 3 (+2/-0).

    C'est pas trop mon domaine mais je viens de voir cet article sur Phoronix (concernant le SDK mais pas les clients, du moins pour le moment) :

    https://www.phoronix.com/news/Bitwarden-Open-Source-Concerns

    aussi sur le salon xmpp:linuxfr@chat.jabberfr.org?join

  • # Et Ente Auth ?

    Posté par  . Évalué à 2 (+2/-0).

    https://ente.io/auth/

    Synchronisation centralisée (en option), import/export depuis d'autres apps TOTP, indépendant du gestionnaire de mot de passe (donc potentiellement un réel 2ème facteur), et client libre (AGPL) multiplateforme.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.