Les gestionnaires de mots de passe ont rendu plus sûre l’utilisation des mots de passe pour le contrôle d’accès dans les petites et moyennes entreprises (PME) en éliminant les mauvaises pratiques de gestion des mots de passe. Ce fait n’est pas passé inaperçu auprès des attaquants, qui ont activement ciblé les gestionnaires de mots de passe pour compromettre la sécurité.
LastPass a fait l’objet d’un examen médiatique intense, ce qui rend compréhensible le dialogue global sur les gestionnaires de mots de passe. L’évaluation des alternatives relève de la diligence raisonnable, car les mots de passe sont essentiels au contrôle d’accès et les PME accordent une grande confiance aux solutions de sécurité. Cet article présente les différences entre JumpCloud Password Manager et LastPass. Il examine également comment l’approche holistique du contrôle d’accès de JumpCloud protège non seulement les mots de passe, mais l’étend également aux identités et à la confidentialité, l’intégrité et l’assurance des actifs informatiques.
JumpCloud gère les accès et les identités
LastPass et JumpCloud sont des solutions fondamentalement différentes. JumpCloud est une plateforme d’annuaire ouverte qui unifie les capacités de gestion des identités, des accès et des appareils, quelle que soit la méthode d’authentification sous-jacente ou l’écosystème des appareils. JumpCloud authentifie les utilisateurs, qu’ils utilisent des données biométriques, des certificats numériques, des mots de passe ou des clés SSH.
La plateforme considère les identités comme le nouveau périmètre, et la gestion des mots de passe en est un élément. Un accès sécurisé et sans friction est fondamental pour les organisations informatiques, et c’est pourquoi JumpCloud veille à ce que chaque ressource dispose d’un meilleur moyen de s’y connecter. Par exemple :
- Les serveurs utilisent des clés SSH, qui sont plus sûres que les mots de passe.
- Les certificats sans mot de passe peuvent sécuriser l’accès WiFi RADIUS
- Les applications Web utilisent SAML et OIDC pour l’authentification.
- Règles d’accès conditionnel pour la gestion des accès privilégiés
JumpCloud Password Manager est un module complémentaire intégré à la plateforme qui ajoute une sécurité et une commodité supplémentaires autour des mots de passe. Le potentiel de réutilisation des mots de passe ou de mots de passe faibles reste un risque pour la sécurité des organisations de toute taille. L’architecture de JumpCloud Password Manager est décentralisée, ce qui change des autres gestionnaires de mots de passe. Il s’agit là d’une différence importante.
Pourquoi ? Parce qu’il ne s’appuie pas sur les mots de passe maîtres qui sont généralement considérés comme un point faible des solutions de gestion des mots de passe basées sur le cloud. Les coffres-forts des clients sont stockés localement, et sont synchronisés de manière cryptée de bout en bout via les serveurs de JumpCloud. Cette approche est différente du fonctionnement des solutions de gestion de mots de passe basées sur le cloud, notamment LastPass.
LastPass se concentre surtout sur la gestion des mots de passe
LastPass est un coffre-fort permettant de protéger les mots de passe que vous utilisez pour tous vos appareils et applications Web. La fonction essentielle de LastPass est de générer et d’enregistrer des mots de passe. LastPass génère des mots de passe beaucoup plus forts que ceux que vous auriez autrement à retenir. Les éditions Team et Business de LastPass se concentrent sur :
- Éliminer la réutilisation des mots de passe
- Gestion centralisée des mots de passe
- Fournir un coffre-fort pour partager des notes
- Partage des informations d’identification au sein de l’organisation par le biais de groupes
L’architecture Cloud de LastPass
Les gestionnaires de mots de passe basés sur le cloud stockent les identifiants de connexion dans un référentiel en ligne, auquel il est possible d’accéder depuis n’importe quel appareil disposant d’une connexion Internet. Les utilisateurs peuvent accéder à leur gestionnaire de mots de passe à l’aide d’un navigateur web ou d’une application dédiée, et ils peuvent l’utiliser pour stocker et gérer leurs identifiants de connexion pour leurs comptes en ligne. Un mot de passe maître est généralement requis pour administrer le compte du gestionnaire de mots de passe. Les utilisateurs sont responsables de la création et de la gestion de ces mots de passe maîtres, qui peuvent devenir un sujet de préoccupation pour la cybersécurité.
Les mots de passe maîtres faibles et réutilisés peuvent facilement être devinés, ce qui compromettrait le coffre-fort de mots de passe des entreprises. Le phishing des utilisateurs finaux est un autre sujet de préoccupation, car il permet aux pirates d’accéder potentiellement aux coffres-forts des entreprises, même si les utilisateurs utilisent des mots de passe forts et uniques. Il s’agit d’une préoccupation majeure, car les attaques par phishing continuent d’augmenter.
La compromission de l’infrastructure de stockage en cloud des fournisseurs de gestionnaire de mots de passe (tel que rapporté dans l’actualité) peut conduire à ce que des parties malveillantes téléchargent la totalité de la base de données des coffres-forts cryptés des clients, ce qui donne aux pirates un temps infini pour essayer d’accéder aux coffres-forts des clients en forçant brutalement les mots de passe maître des utilisateurs finaux (la conception d’architectures hybrides, détaillée plus loin, réduit considérablement le risque de ce type de compromission). Il est important de noter que dans ce cas, le 2FA ne contribue pas à protéger les coffres-forts des clients.
Avantages :
- Fonctions pratiques et conviviales pour l’utilisateur final
- Disponible sur plusieurs systèmes d’exploitation
- Offre des fonctionnalités d’entreprise telles que des contrôles administratifs centralisés et une journalisation.
- Possibilité de partager les mots de passe entre utilisateurs
Inconvénients :
- La sécurité repose sur la capacité des utilisateurs finaux à créer, gérer et retenir des mots de passe maîtres forts.
- La sécurité repose sur les efforts des utilisateurs finaux pour éviter les attaques par hameçonnage, dont il est notoirement difficile de se protéger.
- La compromission des fournisseurs de services de gestion des mots de passe peut entraîner l’exfiltration massive des coffres-forts cryptés des clients.
- LastPass n’offre pas la possibilité de gérer les identités à grande échelle. Les intégrations avec des annuaires tiers et LDAP, ainsi que les rapports, ne sont disponibles qu’avec l’édition entreprise.
Vous recherchez une alternative à LastPass ? Essayez gratuitement JumpCloud Password Manager
L’architecture décentralisée de JumpCloud
L’architecture de stockage décentralisée de Jumpcloud Password Manager supprime la nécessité pour les utilisateurs de créer, gérer et se souvenir des mots de passe maîtres. Avec JumpCloud Password Manager, les mots de passe sont stockés localement sur les appareils des utilisateurs et sont synchronisés de manière transparente et cryptée de bout en bout entre les différents appareils.
Cette approche est un hybride entre une solution de gestion des mots de passe hors ligne et une solution de gestion cloud des mots de passe. Elle permet aux organisations de bénéficier du même niveau de commodité que les solutions basées sur le cloud et offre des fonctionnalités d’entreprise sans stocker les coffres dans le cloud. Elle ne repose pas non plus sur les mots de passe maîtres générés par les utilisateurs.
Avantages :
- Les mêmes fonctionnalités pratiques et multiplateformes
- Possibilité d’accéder à la chambre forte locale à l’aide de données biométriques ou d’un code PIN.
- Aucun mot de passe maître
- Stockage local des justificatifs d’identité
- Applications disponibles sur toutes les principales plateformes
- Contrôles administratifs centralisés et visibilité de la chambre forte
- Partage des mots de passe entre utilisateurs et équipes
- La possibilité de travailler de manière autonome ou de s’intégrer au service d’annuaire ouvert de JumpCloud sans avoir à acheter un SKU premium.
Inconvénients :
- Risque de perte de données en cas de perte des appareils de l’utilisateur et si les sauvegardes générées automatiquement ne sont pas correctement maintenues.
Choisir un gestionnaire de mots de passe
Maintenant que nous avons déterminé que les gestionnaires de mots de passe sont une partie importante et critique d’une architecture globale pour fournir un accès, comment choisir le bon ? Ce tableau présente les différences importantes entre l’architecture basée sur le cloud de LastPass et la solution décentralisée de JumpCloud Password Manager.
Feature | LastPass | JumpCloud Password Manager |
---|---|---|
Stockage des mots de passe | Le cloud | Synchronisation locale et automatique, chiffrée de bout en bout, sur plusieurs appareils. |
Méthode de chiffrement | Mots de passe maître gérés par l’utilisateur | Aucun mot de passe maître |
Contrôles administratifs centralisés | Oui | Oui |
Visibilité centralisée de l’administrateur | Oui | Oui |
Capacités multi-locataires | Limitées | Oui |
Intégration native avec Cloud Directory, Single Sign-On (SSO) et MFA | Non | Oui. JumpCloud Password Manager fait partie de la plateforme JumpCloud Open Directory, qui permet aux administrateurs informatiques de gérer de manière centralisée l’accès à différents types de méthodes d’authentification. |
Protégez vos identités avec JumpCloud
Les gestionnaires de mots de passe jouent un rôle important, mais ils ne résolvent qu’une partie du problème du contrôle sécurisé des accès. Les solutions ne fonctionnent pas toutes de la même manière et les mots de passe maîtres peuvent constituer un point faible en matière de sécurité. Les gestionnaires de mots de passe de solutions ponctuelles ne gèrent généralement pas l’accès à travers toutes les méthodes d’authentification. Une plateforme d’annuaire est nécessaire si vous souhaiter utiliser l’authentification unique partout, mais ce ne sont pas tous les services d’annuaire qui permettent une gestion unifiée des identités, des accès et des appareils.
Avec JumpCloud for MSPs, l’accès optimal aux ressources est étendu à vos clients. Le Password Manager peut être utilisé comme une solution autonome ou avec la plateforme complète de JumpCloud, ce qui permet aux PME de mieux adopter JumpCloud lorsqu’elles sont prêtes. Inscrivez-vous dès aujourd’hui pour un essai gratuit de 30 jours.