Se connecter avec Passkeys beta
note
Se connecter avec des clés de passe est actuellement en bêta.
Les clés de passe peuvent être utilisées pour se connecter à Bitwarden comme une alternative à l'utilisation de votre mot de passe principal et courriel. Les clés de passe utilisées pour se connecter à Bitwarden nécessitent une vérification de l'utilisateur, ce qui signifie que vous devrez utiliser quelque chose comme un facteur biométrique ou une clé de sécurité pour établir avec succès l'accès à votre clé de passe.
Se connecter avec une clé de passe contournera l'identifiant en deux étapes de Bitwarden, cependant seules les combinaisons de navigateur et de clé de passe capables de PRF peuvent être utilisées pour configurer la connexion avec des clés de passe pour le déchiffrement du coffre. Les clés de passe qui n'utilisent pas PRF nécessiteront que vous saisissiez votre mot de passe principal après vous être connecté pour déchiffrer votre coffre.
Les clés de passe peuvent actuellement être utilisées pour se connecter à l'application web Bitwarden, et le support pour d'autres applications client est prévu pour une future version.
note
La connexion avec des clés de passe ne peut pas être utilisée par les membres d'une organisation qui utilise la politique de Exiger une authentification unique, SSO avec des appareils de confiance, ou Key Connector.
Vous pouvez avoir jusqu'à 5 clés de passe pour vous connecter à tout moment. Pour créer une clé de passe à utiliser pour se connecter à Bitwarden:
Dans l'application web, sélectionnez les Paramètres → Mon compte depuis la navigation :
Dans le menu des Paramètres, sélectionnez la page Sécurité et l'onglet Mot de passe principal.
Dans la section Se connecter avec un mot de passe, sélectionnez Activer ou, si vous avez déjà configuré un mot de passe, Nouveau mot de passe. On vous demandera d'entrer votre mot de passe principal :
Activez l'identifiant avec des clés de passe Suivez les instructions de votre navigateur pour créer une clé FIDO2. Vous pouvez compléter la vérification de l'utilisateur en utilisant un facteur comme une biométrie ou en créant un PIN.
Vous devrez peut-être, lors de cette procédure, annuler l'utilisation d'un authentificateur par défaut que votre navigateur voudra utiliser, par exemple si vous souhaitez utiliser une clé de sécurité matérielle sur un appareil macOS qui privilégiera Touch ID.Donnez un nom à votre clé de passe.
Si vous ne voulez pas utiliser votre clé de passe pour le chiffrement et le déchiffrement du coffre, décochez la case Utiliser pour le chiffrement du coffre :
Utilisez une clé de passe pour le chiffrement du coffre Cette option n'apparaîtra que si votre clé de passe et votre navigateur sont compatibles PRF. En savoir plus.
Sélectionnez Activer.
Votre clé de passe et votre navigateur doivent être capables de PRF afin de prendre en charge l'utilisation de la clé de passe pour le chiffrement et le déchiffrement du coffre. Votre liste de clés de passe affichera si chaque clé de passe est utilisée pour le chiffrement, prise en charge mais non activée, ou non prise en charge :
Si vous n'avez pas coché la case Utiliser pour le chiffrement du coffre lors de la configuration initiale de la clé de passe, ou si par exemple le navigateur que vous utilisiez à l'époque n'était pas capable de PRF, naviguez vers ce menu et sélectionnez le bouton Configurer le chiffrement.
Vous pouvez supprimer une clé de passe existante de Bitwarden en utilisant le bouton Supprimer sur le même écran. La suppression d'une clé de passe de Bitwarden ne supprimera pas la clé privée stockée dans votre authentificateur FIDO2, mais vous ne pourrez plus l'utiliser pour vous connecter à Bitwarden.
Une fois votre clé de passe créée, vous pouvez l'utiliser pour vous connecter à l'application web Bitwarden :
Sur l'écran d'identifiant Bitwarden, sélectionnez Se connecter avec une clé de passe où vous entrez habituellement votre adresse de courriel.
Suivez les instructions de votre navigateur pour lire la clé de passe, cela vous authentifiera avec Bitwarden.
Si votre clé de passe est configurée pour le chiffrement du coffre, vous avez terminé ! Sinon, entrez votre mot de passe principal et sélectionnez Déverrouiller pour déchiffrer les données de votre coffre.
La suite décrit les mécanismes de se connecter avec des clés de passe. L'onglet qui vous concerne dépend de si vos clés de passe ont été configurées avec chiffrement.
Créez une clé de passe
Lorsqu'une clé de passe est enregistrée pour se connecter à Bitwarden:
Une paire de clés publique et privée de passkey est générée par l'authentificateur via l'API WebAuth. Cette paire de clés, par définition, constitue votre clé de passe.
Une clé symétrique PRF est générée par l'authentificateur via l'extension PRF de l'API WebAuthn. Cette clé est dérivée d'un secret interne unique à votre clé de passe et d'un sel fourni par Bitwarden.
Une paire de clés publique et privée PRF est générée par le client Bitwarden. La clé publique PRF chiffre votre clé de chiffrement de compte, à laquelle votre client aura accès en vertu d'être connecté et déverrouillé, et la clé de chiffrement de compte chiffrée par PRF résultante est envoyée au serveur.
La clé privée PRF est cryptée avec la clé symétrique PRF (voir Étape 2) et la clé privée PRF cryptée résultante est envoyée au serveur.
Votre client envoie des données aux serveurs Bitwarden pour créer un nouvel enregistrement de credential de clé de passe pour votre compte. Si votre clé de passe est enregistrée avec le support pour le chiffrement et le déchiffrement du coffre, cet enregistrement comprend :
Le nom de la clé de passe
La clé publique de passkey
La clé publique PRF
La clé de chiffrement de compte cryptée PRF
La clé privée cryptée PRF
Votre clé privée de passkey, qui est nécessaire pour accomplir l'authentication, ne quitte jamais le client que sous un format crypté.
Se connecter avec votre clé de passe
Lorsqu'une clé de passe est utilisée pour se connecter et, spécifiquement, pour déchiffrer vos données de coffre :
En utilisant la cryptographie à clé publique de l'API publique WebAuthn, votre demande d'authentication est affirmée et confirmée.
Votre clé de chiffrement de compte PRF-chiffrée et clé privée PRF-chiffrée sont envoyées du serveur à votre client.
En utilisant le même sel fourni par Bitwarden et le secret interne unique à votre clé de passe, la clé symétrique PRF est recréée localement.
La clé symétrique PRF est utilisée pour déchiffrer votre clé privée PRF chiffrée, ce qui donne votre clé privée PRF.
La clé privée PRF est utilisée pour déchiffrer votre clé de chiffrement de compte PRF-chiffrée, ce qui donne votre clé de chiffrement de compte. Votre clé de chiffrement de compte est utilisée pour déchiffrer vos données de coffre.
Créez une clé de passe
Lorsqu'une clé de passe est enregistrée pour se connecter à Bitwarden :
Une paire de clés publique et privée passkey est créée. Cette paire de clés, par définition, constitue votre clé de passe.
Votre client envoie des données aux serveurs Bitwarden pour créer un nouvel enregistrement de credential de clé de passe pour votre compte. Si votre clé de passe n'est pas enregistrée auprès du support pour le chiffrement et le déchiffrement du coffre, cet enregistrement comprend :
Le nom de la clé de passe
La clé publique de la clé de passe
La clé privée de votre clé de passe, qui est nécessaire pour accomplir l'authentication, ne quitte jamais le client que sous un format crypté.
Se connecter avec votre clé de passe
Lorsqu'une clé de passe est utilisée pour se connecter, votre demande d'authentication est affirmée et confirmée en utilisant la cryptographie de clé publique de l'API publique WebAuthn. Vous serez alors tenu de déchiffrer votre coffre en utilisant votre mot de passe principal.
Régénérer votre clé de chiffrement de compte invalidera la fonctionnalité de chiffrement et de déchiffrement de toute clé de passe configurée pour utiliser pour le chiffrement du coffre. La capacité de cette clé de passe à être utilisée pour l'authentification lors de la connexion à Bitwarden ne sera pas affectée lorsque vous régénérez votre clé de chiffrement de compte.
Comment ça marche