Bitwarden est un gestionnaire de mots de passe bien-aimé pour une bonne raison – il est riche en fonctionnalités et ses abonnements payants coûtent des sous-centres (10 $ / an). Le service est également proactif de renforcer continuellement la sécurité pour ses utilisateurs.
Voici la dernière mise à jour de sécurité pour les comptes personnels hébergés par le cloud: à partir de février, si vous n’avez pas activé l’authentification à deux facteurs, un code de confirmation sera envoyé à votre adresse e-mail lors de la connexion à partir d’appareils non reconnus. Il doit être entré pour approuver la tentative de connexion.
Dans son annonce de la nouvelle fonctionnalité, Bitwarden dit qu’un appareil non reconnu est auparavant non utilisé pour se connecter, celui où l’application Bitwarden n’était pas installée ou celle qui avait ses cookies de connexion Bitwarden. Le service traitera tous ces scénarios comme de nouveaux appareils, forçant cette étape de vérification.
Dans l’ensemble, ce changement est bon – si quelqu’un devine votre mot de passe, votre coffre-fort est protégé contre l’intrusion. Mais un gros danger existe avec cette nouvelle couche de sécurité, et Bitwarden l’appelle spécifiquement.
Si vous stockez vos informations d’identification par e-mail dans votre compte Bitwarden, vous pouvez vous enfermer accidentellement à la fois de votre e-mail et de votre gestionnaire de mots de passe, avec peu ou pas de recours. Comment? Si vous accédez à votre compte Bitwarden pour vous connecter à votre adresse e-mail et qu’il envoie le code de vérification à votre adresse e-mail, vous n’avez aucun moyen d’accéder à l’un ou l’autre site.
Ce scénario potentiel de Doomsday ne se limite pas non plus à Bitwarden, il y a d’autres gestionnaires de mot de passe qui insérent une étape de confirmation supplémentaire pour les appareils non reconnus.
Heureusement, il y a une solution facile. Vous pouvez simplement mémoriser votre mot de passe par e-mail séparément de celui de votre gestionnaire de mots de passe.
Alternativement, pour Bitwarden spécifiquement, cette nouvelle procédure de sécurité peut être contournée si vous vous connectez à votre compte avec un Casskey ou activez 2FA. Il n’est pas applicable aux utilisateurs qui se connectent via SSO, une clé API ou l’auto-hébergement de leur coffre-fort.
Si vous n’avez pas déjà commencé à utiliser PassKeys ou 2FA, vous devriez vraiment – que vous utilisiez ou non Bitwarden. Ce style de vérification de vérification limitée n’est pas aussi solide que ces deux protections, et tous les gestionnaires de mots de passe ne les envoient pas. Au minimum, si vous avez un mot de passe faible sécurisant votre coffre-fort, améliorez-le dès que possible. Un gestionnaire de mots de passe peut essayer de nous sauver de nous-mêmes, mais ce n’est jamais une garantie.
