Lorsqu'il s'agit d'utiliser un gestionnaire de mots de passe, la commodité est essentielle pour la plupart des gens, encore plus que la sécurité.
Ils veulent un utilitaire qui remplit automatiquement les mots de passe, avec un minimum de tracas.
Si vous êtes l'un des rares à privilégier la sécurité à la commodité, WWPass PassHub est peut-être l'outil qu'il vous faut.
Construit à partir de zéro avec un accent sur la sécurité des données et zéro connaissance, cet outil demande un peu plus de travail de votre part que la plupart des autres, mais pour le bon utilisateur, il peut être un très bon choix.
PassHub lui-même est une application Web basée sur le cloud, sans installation locale requise.
Cela signifie que vous pouvez l'utiliser sur Windows, macOS, Linux, Android, iOS ou toute plate-forme prenant en charge un navigateur moderne.
Il nécessite un appareil Android ou iOS pour servir de clé d'authentification, ce qui ne devrait pas être un problème pour la plupart des gens.
Premiers pas avec PassHub
Presque tous les gestionnaires de mots de passe vous obligent à mémoriser un mot de passe principal fort.
Pas PassHub.
Son authentification est centrée sur la PassKey, un autre produit de WWPass.
Techniquement, une PassKey peut être une application, une carte à puce ou un périphérique USB, mais PassHub s'appuie spécifiquement sur l'application mobile.
Il ne s'agit pas précisément d'une authentification à deux facteurs, car votre téléphone sert à lui seul à vous authentifier.
Cependant, c'est bien mieux que l'authentification à un facteur qui repose strictement sur un mot de passe principal.
Pour commencer, accédez à l'App Store de votre appareil mobile et installez l'application WWPass PassKey.
Appuyez pour créer votre PassKey et entrez un code PIN alphanumérique.
L'application nécessite ce code PIN pour certaines activités sensibles, comme la création d'une sauvegarde PassKey, mais ce n'est pas un mot de passe principal.
L'installation se termine en quelques secondes.
En supposant que vous souhaitiez utiliser PassHub sur le même appareil mobile, commencez par appuyer sur le bouton qui l'ouvre dans votre navigateur.
Vous verrez un code QR, mais ne vous inquiétez pas, vous n'avez pas à comprendre comment faire en sorte que votre appareil se prenne en photo.
Appuyez simplement sur le code pour créer et ouvrir votre compte PassHub.
PassHub organise les données dans ce qu'il appelle des coffres-forts et est préconfiguré avec un coffre-fort personnel, un coffre-fort de travail et un exemple de coffre-fort.
Ce dernier contient naturellement quelques exemples d'entrées.
Pour utiliser PassHub sur un autre appareil, vous accédez d'abord à passhub.net dans le navigateur de votre choix.
Une fois que vous avez capturé le code QR résultant avec l'application PassKey pour vous authentifier, votre compte s'ouvre automatiquement dans le navigateur.
Si vous connaissez Myki Password Manager & Authenticator, vous verrez des similitudes avec PassHub.
Je l'ai certainement fait.
Myki nécessite un smartphone pour la configuration, comme PassHub.
Il se connecte aux instances de bureau en capturant un code QR.
Et il est fortement axé sur la sécurité.
Cependant, il existe des différences significatives.
Avec Myki, vos mots de passe résident sur le smartphone, pas dans le cloud.
Il fonctionne comme une extension de navigateur sur le bureau, où PassHub n'a pas besoin d'extension.
Et il gère les tâches courantes du gestionnaire de mots de passe comme la capture et la relecture automatisées de mots de passe, le remplissage de données personnelles dans des formulaires Web et la création de rapports sur les mots de passe faibles et en double, tout ce que PassHub ne fait pas.
Myki fonctionne même en remplacement de Google Authenticator.
Travail manuel
La mise en route est simple; obtenir vos mots de passe dans PassHub ne l'est pas.
Ce n'est pas une extension de navigateur, il n'a donc pas le pouvoir de capturer les informations d'identification lorsque vous vous connectez à des sites sécurisés.
Au lieu de cela, vous devez créer chaque connexion manuellement, en entrant (ou en copiant / collant) le nom d'utilisateur, le mot de passe et l'URL.
Oui, vous pouvez importer des données à partir d'un autre gestionnaire de mots de passe, pour une longueur d'avance.
Cependant, PassHub propose uniquement une assistance dédiée pour l'importation à partir de KeePass.
Si vous quittez un autre produit, vous devrez exporter les données dans un fichier .CSV.
J'ai essayé d'importer un ensemble simplifié de données exportées depuis Keeper Password Manager et Digital Vault (obtenez 40% de réduction sur Keeper Unlimited et Keeper Family! Chez Keeper Security).
Cependant, PassHub s'est plaint qu'il avait le mauvais nombre de "fichiers" (ce qui signifie des champs).
Pour mettre mes données au bon format, j'ai créé une connexion de test, je l'ai exportée et j'ai fait correspondre la mise en page de mes données au fichier résultant.
Une fois cette étape terminée, l'importation a réussi.
Comme vous l'avez peut-être deviné, PassHub n'automatise pas non plus le processus de remplissage de vos informations d'identification enregistrées dans des sites sécurisés.
Il offre cependant des boutons pratiques pour copier le nom d'utilisateur et le mot de passe dans le presse-papiers.
Comme PassHub, KeePass, F-Secure Key et Intuitive Password ne capturent pas les connexions, mais tous les trois automatisent entièrement ou partiellement la relecture des mots de passe.
Avec PassHub, vous pouvez également stocker des notes simples et sécurisées qui se synchronisent sur tous vos appareils.
Vous pouvez enregistrer des éléments comme une combinaison de cadenas ou votre numéro de passeport.
Vous pouvez également stocker et synchroniser des fichiers, jusqu'à un maximum de 200 Mo.
Comme Authentic8 Silo, un autre produit axé sur la sécurité, PassHub ne stocke pas de données personnelles pour remplir les formulaires Web.
Le contact de mon entreprise a souligné que les malfaiteurs avaient trouvé des moyens de voler des données de remplissage de formulaire en utilisant des zones de texte cachées et, dans tous les cas, le remplissage de formulaire nécessiterait une extension de navigateur.
Quelques autres concurrents évitent de remplir des formulaires, parmi lesquels 1U, KeePass et Zoho Vault.
Organisation des mots de passe
Comme indiqué, une nouvelle installation PassHub est fournie avec trois conteneurs appelés coffres-forts.
L'un concerne les données personnelles, l'autre le travail et le dernier préchargé avec quelques exemples.
Comme vous le verrez ci-dessous, lorsque vous partagez des données en toute sécurité avec un autre utilisateur, vous partagez un coffre-fort entier, et non des éléments individuels, il est donc important de garder les choses organisées.
Dans chaque coffre-fort, vous pouvez créer un nombre illimité de dossiers et de sous-dossiers pour organiser vos connexions.
Avec LastPass, Password Boss, Sticky Password Premium et quelques autres, les dossiers et sous-dossiers deviennent des sous-menus attachés au bouton de la barre d'outils de l'extension du navigateur.
PassHub ne nécessite pas d'extension de navigateur et n'a donc pas un tel menu.
Il est judicieux de s'organiser au fur et à mesure, en plaçant les nouvelles connexions dans le bon dossier lors de la création.
Si vous avez besoin de réorganiser les choses plus tard, c'est juste un peu fastidieux.
Vous ne pouvez pas glisser-déposer; vous devez plutôt couper l'élément et le coller dans son nouvel emplacement.
Générateur de mot de passe
Comme toujours, conserver vos mots de passe en toute sécurité dans le gestionnaire de mots de passe n'est que la moitié de la tâche.
Vous devez également remplacer ceux qui sont faibles ou ceux que vous avez utilisés pour plusieurs sites.
PassHub ne vérifie pas la force de vos mots de passe et n'offre certainement pas de rapport de force exploitable comme celui que vous obtenez avec LastPass, LogMeOnce Password Management Suite Premium, Dashlane et quelques autres.
Il vous suffit de parcourir la liste et de vérifier chacun d'eux.
Lorsque vous créez ou modifiez une entrée de connexion, PassHub propose un générateur de mot de passe aléatoire pour vous aider.
Par défaut, il crée des mots de passe en utilisant des chiffres plus des lettres majuscules et minuscules; assurez-vous de cocher la case qui l'oblige également à utiliser des caractères spéciaux.
La longueur du mot de passe est importante.
L'ajout de quelques caractères peut pousser le temps de déchiffrer par force brute un mot de passe de plusieurs jours à plusieurs siècles.
Hélas, PassHub génère par défaut des mots de passe de 10 caractères, ce que je considère trop court.
Vous n'avez pas besoin de choisir son maximum de 64 caractères, mais veuillez le monter jusqu'à 16 ou même 20 caractères.
Après tout, vous n'avez pas à vous souvenir du mot de passe généré.
De la même manière, n'optez pas pour créer des mots de passe mémorables.
L'utilisation de cela vous donne des mots de passe prononçables de toutes les lettres comme nalabiweratur, mais vous feriez mieux d'utiliser un mélange aléatoire de tous les jeux de caractères.
PassHub n'est pas le seul produit qui utilise par défaut des mots de passe générés trop courts.
Password Genie est également défini par défaut sur 10 caractères et Trend Micro sur seulement huit.
À l'autre bout de l'échelle, Myki et Enpass Password Manager créent tous deux des mots de passe de plus de 30 caractères par défaut.
Partage sécurisé
Vous ne devriez pas partager vos mots de passe avec n'importe qui, mais vous devez parfois vraiment partager l'accès à un ou plusieurs comptes.
Avec PassHub, vous pouvez partager n'importe quel coffre-fort avec d'autres et contrôler le niveau d'accès pour chaque utilisateur.
Commencez par créer un coffre-fort pour le partage, puis coupez et collez les connexions souhaitées dans ce coffre-fort.
Cliquez sur l'icône de menu à trois points du coffre-fort et choisissez Partager.
Si c'est la première fois que vous partagez le coffre-fort, PassHub vous invite à nommer le partage.
Cliquez ensuite pour générer un code de partage, qui ressemble à un numéro de carte de crédit, avec quatre ensembles de quatre chiffres.
Transmettez ce code en toute sécurité au destinataire et attendez une réponse.
Notez que le code expire après 48 heures.
Le destinataire doit ouvrir PassHub, cliquer sur le lien Accepter l'invitation et coller le code.
Maintenant, la balle est de retour dans votre camp.
Vous verrez une icône de notification sur le coffre-fort partagé et sur l'élément Utilisateurs de son menu.
Cliquez sur Utilisateurs, cliquez pour approuver le nouvel utilisateur et définir un niveau d'accès.
Au niveau Lecture seule, l'utilisateur peut afficher et utiliser les éléments partagés, ce qui inclut la visualisation du mot de passe.
Certains produits, parmi lesquels Dashlane, LastPass et RoboForm, peuvent permettre au destinataire d'utiliser la connexion sans pouvoir voir le mot de passe.
L'activation de l'accès d'un utilisateur à l'éditeur permet de modifier les éléments dans le coffre-fort.
Au niveau administrateur, le destinataire peut ajouter et supprimer d'autres utilisateurs ou modifier leur accès.
Notez que les éléments du coffre-fort partagé sont littéralement partagés, pas simplement copiés.
Les changements affectent tous les utilisateurs.
LastPass, LogMeOnce, Password Boss et quelques autres prennent le partage à un autre niveau, en fournissant un système qui vous permet de léguer vos mots de passe à un héritier mais de les garder secrets pendant que vous êtes en vie.
PassHub ne le fait pas, du moins pas pour le moment.
Zéro connaissance
Les concepteurs de WWPass ne veulent pas voir vos mots de passe.
Ils ne veulent même pas savoir qui vous êtes.
Et comme la création d'un compte ne nécessite pas d'adresse e-mail, ils n'ont vraiment aucune connaissance.
Cette approche n'est pas simple.
Prenez le partage, par exemple.
Le coffre-fort partagé doit être chiffré avec votre clé privée pour votre compte et avec une clé privée différente pour chaque autre compte utilisateur.
Une façon d'y parvenir serait de déchiffrer vos données et de les rechiffrer avec la nouvelle clé, mais ce n'est pas acceptable, car les données ne seraient pas protégées pendant le processus.
Le contact de mon entreprise a expliqué en détail comment le système utilise les clés publiques et privées pour établir la connexion sans exposer vos données.
Plutôt que d'entrer dans ce niveau de détail, je vais proposer une analogie.
Supposons que vos données soient stockées dans un sac en tissu bleu et que vous souhaitiez les mettre dans un sac vert sans que personne ne les voie.
Vous mettez le sac bleu dans le sac vert, secouez les données et retirez le sac bleu.
Simple!
Avoir accès à vos mots de passe contrôlés par un seul appareil mobile peut être un problème si cet appareil est perdu ou (pire) volé, de sorte que l'application PassKey inclut la possibilité de sauvegarder vos détails cryptographiques.
Ce...
