NordPass

NordPass est développé par la même équipe de cybersécurité^[5] qui a créé NordVPN, un fournisseur de service VPN^[6],[7].

• NordPass est basé sur le système de chiffrement ChaCha20, en particulier sur sa version XChaCha^[8].
• NordPass est doté d’une architecture à divulgation nulle de connaissance^[9]: les mots de passe sont chiffrés sur l’appareil de l’utilisateur et seulement ensuite stockés sur le cloud. Ainsi, NordPass ne peut pas voir, modifier ou gérer de quelque manière que ce soit les mots de passe des utilisateurs^[10].
• Un coffre-fort chiffré fonctionne comme un coffre-fort numérique dans lequel les utilisateurs peuvent stocker leurs identifiants de connexion, notes sécurisées, et cartes bancaires^[11].
• Le mot de passe principal sert de clé pour déverrouiller le coffre-fort chiffré^[12]. Le mot de passe principal protège les mots de passe des utilisateurs^[13], mais c’est à l’utilisateur de s’assurer qu’il a créé un mot de passe principal fort^[12].
• NordPass dispose de l'authentification à deux facteurs^[14]. Il prend en charge différentes applications d’authentification, dont Google Authenticator, Duo et Authy.
• Depuis sa version la plus récente, il prend en charge également FIDO U2F. NordPass fonctionne donc désormais avec YubiKey et d’autres clés de sécurité tierces^[15]. Cependant, cette protection est intégrée à la connexion au service et non à l’application, ce qui constitue une faiblesse.
• NordPass propose une fonction de partage sécurisé des mots de passe entre les utilisateurs de NordPass^[16].
• NordPass peut analyser les fuites de données pour détecter les mots de passe ayant été divulgués^[17].
• NordPass peut identifier les mots de passe faibles, réutilisés ou anciens, qui sont classés dans les catégories mots de passe faibles, réutilisés et anciens^[18].

La société de cybersécurité indépendante Cure53 a mené un audit en février 2020 qui a confirmé la sécurité du gestionnaire de mots de passe NordPass^[19].

NordPass est basé à États-Unis^[20], pays qui n’a pas d’obligation de conservation des données et ne participe pas aux alliances Five Eyes ni Fourteen Eyes^[21],[22]. L’entreprise^[21] n’est donc pas tenue par la loi d’enregistrer les journaux d’activité ni de les partager avec les gouvernements^[23].

Lors de son lancement en 2019, NordPass a reçu des critiques mitigées, certains sites d’évaluation technique soulignant l’absence de quelques fonctionnalités. PC Mag, par exemple, mentionne qu’il « offre très peu de fonctionnalités avancées telles que le remplissage de formulaires, les dossiers, la surveillance de la sécurité ou la prise en charge de la clé 2FA »^[24].

Au fil du temps, NordPass et ses fonctionnalités ont évolué et ont reçu une évaluation positive de la part des utilisateurs et des critiques, comme l’ont souligné des sites Internet technologiques influents tels que Wired, Forbes, Business Insideret TechRadar.

Dans la critique de 2023 de Tech.co, NordPass a été considéré comme un « gestionnaire de mots de passe fonctionnel et bien conçu » avec « des fonctions supplémentaires intéressantes telles qu’un outil d’analyse des fuites de données »^[25]. Toutefois, la note a été abaissée en raison des lacunes de l’application NordPass, notamment l’impossibilité de modifier les mots de passe des comptes dans l’application elle-même et l’absence de certaines fonctions, telles qu’un kill switch.

Plusieurs sites d’information et magazines techniques ont inclus NordPass dans leur classement des meilleurs gestionnaires de mots de passe du marché^{[26],[27],[28],[29],[30]}, et NordPass est lauréat de prix technologique^[31],[32].