Choisir la bonne stratégie de connexion SSO

Bitwarden repose sur le principe du cryptage sans connaissance, ce qui signifie que tout ce que vous stockez dans un coffre-fort Bitwarden est crypté et ne peut être vu par personne d'autre que vous-même ou les utilisateurs autorisés de votre entreprise. La plupart des gestionnaires de mots de passe mettent en œuvre une approche de cryptage sans connaissance, bien qu'à des degrés divers. Bitwarden combine le cryptage de bout en bout et le cryptage complet sans connaissance, de sorte que personne, pas même Bitwarden, n'y a accès.

Référence rapide

En ce qui concerne le chiffrement de bout en boutle cryptage et le décryptage ont lieu au niveau de l'appareil. Les données du coffre-fort sont cryptées avant de quitter le téléphone ou l'ordinateur et décryptées à destination. Bitwarden utilise le cryptage AES-CBC 256 bits, le hachage salé et PBKDF2 SHA-256 pour protéger toutes les données du coffre-fort.

Avec un cryptage sans connaissance, les membres de l'équipe Bitwarden ne peuvent accéder à aucune de vos informations. Au lieu de cela, vos données restent cryptées de bout en bout avec votre e-mail et votre mot de passe principal. Bien entendu, toutes les applications et tous les services commerciaux ne sont pas conçus - ou n'ont pas besoin d'être conçus - à l'aide de ce cadre. Dans les applications non cryptées, les noms d'utilisateur et les mots de passe permettent l'accès. En l'absence de protocole de cryptage, les fournisseurs de logiciels peuvent accéder à toutes les données de l'utilisateur stockées dans l'application.

Lorsqu'un utilisateur se connecte à Bitwarden, une application cryptée, deux choses se produisent : l'authentification et le décryptage. L'utilisateur doit d'abord s'authentifier pour accéder aux données cryptées du coffre-fort, qui sont ensuite décryptées localement avec la clé de l'utilisateur, dérivée de son mot de passe principal. Pour la majorité des utilisateurs de Bitwarden, leur mot de passe principal permet ces deux étapes. Il sert d'agent d'authentification et de clé de décryptage.

Les entreprises qui cherchent à tirer parti du SSO avec Bitwarden devraient considérer les options flexibles que Bitwarden fournit.

Avec le SSO et les applications non chiffrées, les utilisateurs s'authentifient avec un seul jeu d'identifiants pour accéder à plusieurs applications. Dans de nombreux cas, c'est tout ce dont les utilisateurs finaux des entreprises ont besoin. Le SSO ne s'occupe que de l'authentification dans ces cas, car il n'y a pas d'informations cryptées.

Pour maintenir un cryptage sans connaissance, Bitwarden sépare l'authentification et le décryptage en deux étapes distinctes pour le SSO : l'authentification par le fournisseur SSO, puis le décryptage et l'accès au coffre-fort par le biais d'un mot de passe principal. Par conséquent, les clés de décryptage ne passent jamais par les serveurs Bitwarden et les utilisateurs conservent leurs informations d'identification pour le SSO et leur propre clé de décryptage pour Bitwarden.

Afin de répondre au mieux aux besoins d'un large éventail d'entreprises disposant de ressources informatiques et d'écosystèmes différents, Bitwarden propose deux options de déploiement pour l'intégration de sa solution avec le SSO.

Cette option permet aux employés de bénéficier d'une expérience d'entreprise sans mot de passe grâce à un modèle d'appareil de confiance, ce qui facilite, accélère et élargit le processus de connexion global. Une fois ses appareils enregistrés et confirmés, l'utilisateur n'a plus qu'à s'authentifier auprès du SSO pour accéder aux données cryptées du coffre-fort. Une clé de cryptage utilisée dans le cadre du processus de décryptage est stockée en toute sécurité sur l'appareil, de sorte qu'une fois que le service SSO a authentifié l'utilisateur, l'appareil est en mesure de décrypter les données sans intervention supplémentaire de l'utilisateur.

Pour en savoir plus sur le SSO avec des appareils de confiance , cliquez ici.

La connexion avec SSO utilise le fournisseur SSO pour l'authentification, puis un mot de passe maître Bitwarden de l'utilisateur pour décrypter ses données. Il s'agit de l'option de déploiement la plus simple pour les équipes informatiques qui conservent le processus d'authentification SSO et un mot de passe unique pour le décryptage avec un modèle de cryptage à connaissance nulle.

En savoir plus sur la connexion avec SSO ici

Cette option intègre les étapes de décryptage des données de l'utilisateur, où les administrateurs informatiques déploient et gèrent une application de connecteur de clés (ou un serveur de gestion des clés) pour conserver les clés de cryptage de l'utilisateur pour les coffres-forts Bitwarden.

Grâce à un serveur de clés auto-hébergé, les entreprises stockent, gèrent et fournissent automatiquement les clés permettant de décrypter les données des utilisateurs lorsqu'ils se connectent à Bitwarden par le biais du SSO. Le processus maintient un cryptage sans connaissance du côté de Bitwarden, et est transparent pour les utilisateurs - ils se connectent via SSO et accèdent immédiatement à leur coffre-fort Bitwarden décrypté, le tout en une seule étape.

Le serveur de clés contenant des données sensibles sur les utilisateurs, il est essentiel que les entreprises sachent comment déployer, sauvegarder et maintenir le serveur et mettre en œuvre des politiques de sécurité rigoureuses. La gestion des clés cryptographiques est extrêmement sensible et n'est recommandée qu'aux entreprises disposant d'une équipe et utilisant une infrastructure qui a déjà déployé et géré un serveur de clés en toute sécurité.

Bitwarden s'engage à protéger les entreprises et à faciliter la sécurité des mots de passe pour les utilisateurs finaux. Les options SSO de Bitwarden favorisent et stimulent l'adoption par les utilisateurs et simplifient l'expérience utilisateur tout en restant fidèles à l'approche du chiffrement sans connaissance.

En choisissant Bitwarden, vous bénéficiez de la flexibilité d'utiliser n'importe quel fournisseur d'identité supportant les standards SAML ou OpenID. La combinaison unique du choix de votre propre fournisseur d'identité et des options SSO offertes par Bitwarden signifie que les entreprises peuvent déployer le bon modèle d'authentification et de décryptage avec une approche fiable et open source.