Des organismes certifiés rappellent quelques bons principes pour la gestion de ses mots de passe :
En résumé :
Et pour créer un mot de passe :
Bitwarden est une solution de stockage dans le cloud de vos mots de passe. Il vous permet ainsi d'accéder à vos mots de passe depuis n'importe quel ordinateur (mac, windows et linux), ainsi que depuis votre téléphone (Android ou iOS). Vos mots de passes sont stockées de manière chiffrés (ainsi, Bitwarden ne connaît jamais le contenu de vos mots de passe) grâce à un mot de passe maître.
Pour commencer, il faut créer un compte bitwarden. Les CEMEA hébergent leur propre instance, à destination du réseau, accessible à cette adresse. Sinon, il est également possible de créer un compte auprès de la société éditant bitwarden, mais vous aurez des fonctionnalités limitées (partage à une seule autre personne).
Attention, il est impératif que votre mot de passe maître soit sécurisé, et que vous ne l'oubliez pas ! En cas d'oubli, impossible de le changer et vous perdrez l'accès à tous vos mots de passe.
Il est possible d'accéder à Bitwarden de différente manière :
Pour l'instant, se référer à la doc officielle pour utiliser le site web, l'extension de navigateur, le client de bureau ou l'application mobile
Un des gros avantages de bitwarden est de permettre de partager des mots de passe avec d'autres utilisateurs de manière sécurisée. Fini les mots de passe qu'on s'envoie par mail, ou qu'on note sur des bouts de papier, on peut désormais bien faire ça ! Ainsi, les identifiants d'accès à des comptes partagés (framaform, peertube, email commun …)
Pour partager un secret avec une ou plusieurs personnes, il faut impérativement faire parti d'une organisation. Chaque utilisateur peut faire parti d'une ou plusieurs organisations. Dans une organisation, on range les secrets par “Collection” ; un secret peut être dans une ou plusieurs collections (mais il doit toujours être dans au moins une Collection). Les utilisateurs ont des droits d'accès par collection - par exemple, on peut donner accès à la collection “serveurs” à uniquement François et Guillaume, “serveur dev” à François, Guillaume et Killian, etc. Il y a aussi la possibilité de donner à un utilisateur accès en lecture seule à une collection.
TODO : trouver de meilleurs exemples !
La gestion d'une organisation, ainsi que la gestion des partages (qui peut voir quoi) se gère uniquement par le site web. Pour l'instant, voir la doc officielle à ce sujet pour plus d'informations !
À l'intérieur d'une collection, il n'est pas possible d'organiser les mots de passe / secret : ils sont tous stockés au même niveau (hiérarchie “à plat”). Pour s'organiser, il est donc conseillé d'organiser les collections par objet, plutôt que par équipe. Par exemple, on pourrait avoir les collections suivantes :
En pratique, la recherche est bien faite et cherche de base parmi notre “vault” personnel + toutes les collections d'une organisation : on n'a pas besoin de savoir où est rangé exactement un mot de passe pour le trouver, juste le site concerné. De plus, avec l'auto-complétion de l'extension de navigateur, bitwarden va probablement trouver par lui même les bons identifiants, en fonction du site que vous visitez !
Sous ubuntu, il y a un petit bug qui fait que la CLI n'est pas utilisable directement … Il faut plutôt l'appeler avec (cf issue github :
OPENSSL_CONF=/dev/null bw
A définir comme alias dans .bashrc par exemple :
alias bw='OPENSSL_CONF=/dev/null bw'
On commence par définir les paramètres du serveur :
bw config server https://coffrefort.cemea.org
La config sera enregistrée dans .config/Bitwarden\ CLI/data.json
Puis on se loggue une fois :
bw login
Puis saisie du login et mot de passe.
Ensuite, quand on veut utiliser la CLI, il faut unlock, ce qui donne une variable à exporter. Perso, je fais ça avec un oneliner :
alias bwunlock='export BW_SESSION=$(/home/GuillaumeD/bin/bw unlock --raw)'
Et ensuite on peut faire des commandes bw dans le terminal actuel (puis bw lock
ou on ferme le terminal pour refermer la vault) Vu que bw renvoie du JSON, perso je pipe ça à jq
pour avoir un rendu un peu sympa (indentation + couleur) via une fonction dans mon bashrc :
function bw { out=$(OPENSSL_CONF=/dev/null /home/GuillaumeD/bin/bw "$@") echo $out | jq }
Pour chercher :
bw list items --search motachercher
Si on veut filtrer dans une organisation/collection précise, on récupère l'id de l'organisation ou de la collection :
bw list organizations bw list collections
Et ensuite on peut refaire notre recherche :
bw list items --search manioc --collectionid mon_id_de_collection bw list items --search manioc --organizationid mon_id_dorganization