Test de 1Password (2025) : Sécurité de référence

Les gestionnaires de mots de passe sont généralement imprécis sur Android et iOS, et 1Password n'échappe pas à ce problème. J'estime qu'environ 10 à 15 % des champs que je rencontre sur mobile ne sont pas enregistrés par 1Password, ce qui m'oblige à copier mon mot de passe manuellement. Ce problème est davantage lié à la façon dont les applications catégorisent les différents champs et les exposent aux autres applications en cours d'exécution, qu'à un problème spécifique à 1Password.

1Password tente au moins de contourner ce problème grâce aux applications liées. Lorsque vous vous connectez à des applications à partir d'entrées de votre coffre-fort, 1Password associe votre identifiant à l'application à laquelle vous vous connectez. Cela n'élimine pas les problèmes de saisie automatique sur mobile, mais cela s'avère utile lorsque 1Password recherche une URL spécifique pour la saisie automatique et que l'application mobile ne fonctionne pas avec cette URL.

Hormis la saisie automatique, utiliser 1Password sur Android et iOS est un jeu d'enfant. Vous pouvez saisir le mot de passe de votre compte à chaque déverrouillage, mais 1Password prend en charge l'authentification biométrique sur Android et iOS, y compris Face ID. Après un certain délai (modifiable dans les paramètres), 1Password vous demandera de saisir à nouveau votre mot de passe. Heureusement, si vous ne souhaitez pas utiliser la biométrie, vous pouvez également configurer un code PIN ou un mot de passe.

L'accès rapide est important, car 1Password est extrêmement limité sur mobile, et c'est un avantage. Changer d'application ou verrouiller votre téléphone verrouille également votre compte. Si vous parcourez la liste des applications ouvertes, vous ne verrez que l'écran de connexion 1Password.

Vous êtes libre de modifier ces paramètres, du délai de ressaisie du mot de passe de votre compte au moment où 1Password doit effacer l'historique de votre clavier. Les valeurs par défaut fonctionnent bien, mais si vous préférez, vous pouvez désactiver ces mesures de sécurité supplémentaires.

Sécurité unique

1Password fonctionne peut-être de manière similaire à d'autres gestionnaires de mots de passe, mais sa conception de sécurité est unique. L'entreprise propose un livre blanc que vous pouvez consulter pour en savoir plus, et tient à jour une liste de certifications et de tests d'intrusion récents. Cependant, le cœur de la sécurité de 1Password repose sur une approche à connaissance nulle. Il est conçu de telle sorte que, même si 1Password le souhaitait, il ne pourrait déchiffrer le contenu de votre coffre-fort.

Ce système fonctionne grâce à ce que 1Password appelle la dérivation à deux clés secrètes (2SKD). Il utilise le mot de passe de votre compte et une clé secrète générée sur votre appareil lors de votre première inscription pour générer une clé de chiffrement (KEK). 1Password génère également sur votre appareil une paire de clés publique-privée. Votre clé privée est chiffrée avec la KEK, tandis que votre clé publique est partagée.

Il existe plusieurs couches de chiffrement imbriquées, mais l'important est que 1Password ne possède ni copie de votre clé privée, ni copie du mot de passe de votre compte, nécessaires à l'obtention de la KEK. Lors de votre authentification, tout se déroule localement sur votre appareil, y compris le chiffrement et le déchiffrement. Votre KEK, votre mot de passe principal et votre clé privée restent toujours sur votre appareil.