Se souvenir des mots de passe est l'une de ces choses auxquelles on ne semble tout simplement pas pouvoir échapper. À tout le moins, nous devons tous nous souvenir d'un seul mot de passe: celui qui permet de déverrouiller un gestionnaire de mots de passe. Ces gestionnaires de mots de passe se présentent sous une grande variété de formes et de formes, des logiciels aux petits appareils que l'on emporte avec eux. Le Mooltipass Mini BLE appartient à cette dernière catégorie: il est suffisamment petit pour tenir confortablement dans une main ou une poche, tout en étant capable de se souvenir de tous vos mots de passe.
À l'approche de sa campagne de financement participatif, le Mooltipass Mini BLE est une évolution de l'appareil Mooltipass Mini, qui agit par défaut comme un clavier USB, en saisissant les informations de connexion pour vous. Avec l'extension de navigateur requise installée, ce processus peut également être automatisé lors de la navigation sur un site Web connu. Toutes les nouvelles informations d'identification peuvent également être enregistrées automatiquement de cette façon.
Là où le Mooltipass Mini BLE diffère de l'original, c'est qu'il ajoute également un mode Bluetooth (BLE), lui permettant d'être utilisé facilement avec n'importe quel appareil compatible BLE, y compris les ordinateurs portables et les smartphones, sans avoir à chercher un câble USB et / ou adaptateur OTG.
J'utilise déjà le Mooltipass Mini original depuis un certain temps, et l'équipe Mooltipass a eu la gentillesse de m'envoyer un prototype Mooltipass Mini BLE pour évaluation et comparaison. Nous allons jeter un coup d'oeil.
Principes de base de Hardware Password Manager
Parfois, on a l'impression que la nécessité de se souvenir de cinq douzaines de mots de passe est une chose récente, mais c'est à peu près une exigence depuis que quelqu'un a proposé le concept de «comptes d'utilisateurs» sur les systèmes informatiques. Cependant, gérer les mots de passe de son système d'exploitation, de deux douzaines de magasins en ligne, de comptes bancaires et de réseaux sociaux demande un peu plus de travail. Surtout si on le fait de la bonne façon® et utilise un mot de passe différent pour chaque connexion.
Alors que les mots de passe griffonnés sur un post-it sont garantis sécurisés tant que personne ne les jette un coup d'œil, cette méthode est maladroite et un peu de papier se perd facilement. Les gestionnaires de mots de passe basés sur des logiciels sont une étape décisive, et c'est ce que j'utilise principalement ces dernières années. Ils utilisent une clé principale pour crypter une base de données qui contient les informations d'identification ainsi que d'autres informations sensibles. On peut transporter en toute sécurité ce fichier de base de données crypté en le plaçant sur un lecteur en ligne ou une clé USB.
Un gestionnaire de mots de passe matériel comme le Mooltipass Mini (BLE) est similaire à ce concept, mais au lieu d'un fichier de base de données chiffré, le périphérique Mooltipass est essentiellement la base de données sous forme physique. Les informations d'identification sont stockées localement, dans un périphérique de stockage inviolable. Pour déverrouiller l'appareil, vous avez besoin de deux choses:
- Quelque chose que vous avez (carte à puce avec clé AES).
- Quelque chose que vous savez (code PIN).
Cette authentification à deux facteurs garantit que si quelqu'un s'enfuit avec votre carte à puce, il ne peut toujours pas déverrouiller votre appareil Mooltipass. Il est également intéressant de noter que plusieurs personnes peuvent partager le même appareil Mooltipass, ne voyant que les informations d'identification que leur carte à puce personnelle et leur code PIN déverrouillent. Ceci est très différent d'un autre gestionnaire de mots de passe matériel récent appelé BeamU, qui se déverrouille avec seulement une empreinte digitale («quelque chose que vous êtes»), permettant théoriquement à quiconque soulève votre empreinte digitale d'accéder à toutes les informations d'identification sur votre carte BeamU.
Cela dit, le Mooltipass Mini BLE vous permet toujours de l'utiliser comme appareil d'authentification Web (FIDO2), le manque de biométrie étant un choix judicieux, comme je l'ai expliqué dans un article récent sur FIDO2. Il s'agit de la même fonctionnalité de jeton matériel que nous trouvons dans SoloKey, mais combine la conservation du mot de passe et FIDO2 dans un seul appareil. Jusqu'à présent, le Mooltipass Mini BLE a l'air bien.
Entrez dans la dentisterie à basse énergie
Bluetooth Low Energy (BLE) est devenu un protocole parallèle préféré à côté du protocole Bluetooth classique. Il permet une portée de communication similaire à celle du Bluetooth classique, tout en utilisant beaucoup moins d'énergie. C'est une bonne chose pour le Mooltipass Mini BLE, car contrairement à son prédécesseur, il doit désormais vivre sur batterie. Par défaut, BLE est désactivé, mais peut être activé dans les paramètres de l'appareil.
Avec BLE activé, une seule charge de batterie devrait durer environ un mois, en fonction de la fréquence à laquelle l'écran est allumé. Comme cela se produit chaque fois que vous devez confirmer l'ajout de nouvelles informations d'identification ou envoyer manuellement les informations d'identification à un champ de connexion.
Le port USB est passé de Micro-USB à USB-C, mais sinon, la fonctionnalité USB reste inchangée. Dans le Mooltipass Mini BLE, le câble sert à la fois de communication USB et de chargement de la batterie interne.
Avec le logiciel d'accompagnement installé (connu sous le nom de moolticute avec des sources disponibles sur GutHub), on peut modifier divers paramètres pour l'appareil, tels que la disposition du clavier à utiliser lorsqu'il émule un clavier USB ou BLE. L'accès à la liste des informations d'identification se fait également via l'application, ce qui permet l'ajout et la maintenance manuels des informations d'identification. Avec ceux dans l'ordre, il suffit alors d'installer soit une extension de navigateur, soit de connecter le Mooltipass Mini BLE via USB ou BLE (ou les deux) et de choisir les informations d'identification à envoyer à l'appareil connecté. Si BLE et USB sont actuellement connectés, l'appareil utilisera son écran pour demander à l'utilisateur de choisir entre les deux connexions.
En essayant cela sur un ordinateur portable Windows 10 via BLE, il a réussi à remplir les champs de connexion sur des sites comme Github à l'aide de la fonctionnalité de «clavier BLE simulé». Aucun logiciel spécial requis, ce qui le rend très utile lorsque l’utilisation d’un logiciel de gestion de mots de passe ne va pas voler, comme l’utilisation d’un ordinateur public ou professionnel.
Mon expérience bêta
Après avoir reçu une première version de l'appareil Mooltipass Mini BLE, j'ai été informé qu'un deuxième appareil était également en route vers moi, le premier ayant un bug du firmware présumé. Bien que je n'ai pas rencontré ce bogue, il s'est avéré qu'avoir un deuxième appareil était très utile, en raison de la nature du matériel de niveau bêta. À un moment donné, l'écran du premier appareil a cessé de s'allumer, bien que le reste de l'appareil fonctionne toujours. Cela a été confirmé comme un problème connu avec les premières unités.
Le deuxième appareil ne m'a pas posé de problèmes majeurs jusqu'à présent. J'ai pu l'utiliser de manière similaire au Mooltipass Mini, avant d'explorer les nouvelles fonctionnalités. En termes de sensation et d'apparence, les deux appareils sont assez similaires. Ils sont toujours enfermés dans une coque métallique similaire, la molette de défilement cliquable sur le côté droit est très similaire et l'affichage est le look monochrome familier, bien qu'un écran OLED plus haute résolution que sur l'original.
Lorsque j'ai reçu le premier appareil, je pouvais insérer l'une des cartes à puce fournies et créer une nouvelle clé («utilisateur»). La possibilité de cloner une carte à puce via une option de menu est également utile. De cette façon, vous avez une sauvegarde de la clé au cas où vous perdriez d'une manière ou d'une autre la carte à puce d'origine. Dans l'application Moolticute, il vous est également constamment rappelé de faire une sauvegarde de la base de données d'informations d'identification. Tout cela devrait rendre assez difficile le verrouillage de ses comptes, car la base de données n'est jamais limitée à un seul appareil.
Voir les champs de connexion sur divers sites sur mon ordinateur portable se remplir presque comme par magie était également une expérience intéressante. Les seuls problèmes que j'ai rencontrés étaient liés au fait que l'interface USB du Mini BLE ne fonctionnait pas correctement avec mon hub USB habituel, et le BLE HID de mon smartphone Xiaomi Mi 5 ne fonctionnait pas. Les concentrateurs USB ne posent aucun problème sur le Mini d'origine, ce qui semble être un problème temporaire, l'équipe Mooltipass étant déjà au courant du problème.
Verdict précoce
Le Mooltipass Mini BLE semble être à peu près le gestionnaire de mots de passe matériel dont je n'avais pas vraiment réalisé dont j'avais besoin. Je ne suis pas vraiment intéressé par l’authentification Web et je ne fais pas confiance à la biométrie pour sécuriser mes données. C’est là que le Mooltipass Mini BLE offre une authentification non biométrique à deux facteurs pour le déverrouiller, autorisant même différentes catégories de données cryptées (déverrouillées avec une carte à puce et un code PIN différents). Avoir le support FIDO2 est un bonus au cas où je voudrais l'utiliser et avoir besoin d'un jeton.
Comme le Mini original, le Mini BLE est un projet open source, tant pour le matériel que pour le logiciel. Que ce soit un point important pour vous ou non est principalement un choix personnel. Pour moi, cela ajoute un certain niveau de confiance dans le sens où je peux regarder les schémas et le code source quand j'en ai envie.
Depuis que j'ai eu les premiers prototypes à utiliser, il semble injuste d'accorder trop de poids à certains problèmes de matériel et de micrologiciel restants. J'espère cependant que ces derniers problèmes seront résolus avant que le matériel final ne soit prêt. Une fois que cela se produit, je serai peut-être tenté de retirer le Mooltipass Mini pour son successeur BLE.