Gestionnaire de mots de passe open source Mais warden ajoute une couche de sécurité supplémentaire pour les comptes qui ne sont pas protégés par une authentification à deux facteurs, nécessitant une vérification de l’adresse e-mail avant d’autoriser l’accès aux comptes.
Lorsqu’une tentative de connexion potentiellement suspecte est détectée, par exemple à partir d’un appareil non reconnu, l’utilisateur sera désormais invité à confirmer l’action en entrant un code de vérification qu’il a reçu par e-mail.
Ceux qui ne fournissent pas le code ne peuvent pas accéder au coffre-fort de mots de passe.
« À partir de février, Mais warden renforcera la sécurité des comptes d’utilisateurs pour les utilisateurs qui n’utilisent pas la connexion en deux étapes (2FA) pour leur compte Bitwarden », lit-on dans l’annonce.
« Lors de la connexion à partir d’un appareil non reconnu, il sera demandé aux utilisateurs un code de vérification par e-mail pour confirmer la tentative de connexion et mieux protéger leurs coffres-forts Bitwarden. »
Cette étape de sécurité est une forme d’authentification à deux facteurs, donc essentiellement, Mais warden l’applique même pour ceux qui ne l’ont pas activée eux-mêmes.
Bien que cela fournisse une protection supplémentaire, la meilleure approche serait d’activer l’authentification multifacteur via des applications d’authentification ou, mieux encore, des mots de passe conformes à FIDO.
L’activation de n’importe quelle méthode 2FA ou l’utilisation de clés API ou SSO pour se connecter exclut automatiquement les utilisateurs de ce nouveau mécanisme de sécurité. Les instances auto-hébergées sont également exclues.
Comme les deux directeurs l’ont expliqué dans une page FAQ distincte, les événements suivants déclencheront l’invite de code supplémentaire:
- Connexion à partir d’un nouvel appareil
- Réinstallation de l’application mobile ou de bureau
- Effacer les cookies du navigateur Web
Bitwarden est au courant d’une sous-catégorie d’utilisateurs qui stockent leurs informations d’identification de messagerie dans le coffre-fort du gestionnaire de mots de passe et met en garde contre les problèmes pratiques qui découlent de la nouvelle étape de vérification qui sera introduite la semaine prochaine.
Pour éviter d’être exclus de leurs comptes de messagerie et de Bit Warden, les utilisateurs doivent s’assurer qu’ils ont un accès indépendant à leurs informations d’identification de messagerie ou simplement activer 2FA sur leurs comptes Bitwarden.
Cette étape de sécurité supplémentaire ne doit pas être considérée comme une excuse pour utiliser des mots de passe maîtres faibles ou recycler des mots de passe.
Les utilisateurs doivent s’assurer que leur mot de passe principal est difficile à utiliser par force brute en choisissant quelque chose de long et unique et en incluant différents types de caractères.