Bitwarden ; Comment déchiffrer le data.json

[Parisien_entraide]

2022-08-27_111102.jpg

Il existe des présentations et tutos de Bitwarden (gestionnaire de mots de passe open source) sur le site

Bitwarden : le gestionnaire de mot de passe gratuit
https://www.malekal.com/bitwarden-gesti ... e-gratuit/

Installer Bitwarden sur un NAS (Synology, QNAP) ou un VPS avec le Docker
https://www.malekal.com/installer-bitwa ... ec-docker/

------------

BitwardenDécrypter

Le script Python (requiert donc un package Python https://www.python.org/downloads/windows/ )
https://github.com/S3cur3Th1sSh1t/BitwardenDecryptBrute

Décrypte un fichier Bitwarden data.json crypté (à partir de l'application de bureau).
Vous pouvez stocker en toute sécurité data.json en tant que sauvegarde chiffrée et hors ligne de votre coffre-fort en sachant que vous pourrez toujours le déchiffrer.

Il s'agit d'une version modifiée de :
https://github.com/GurpreetKang/BitwardenDecrypt qui ajoute le support des wordlists.

Pour déterminer l'emplacement du fichier data.json, voir :
https://bitwarden.com/help/data-storage ... al-machine

Si on souhaite utiliser des wordlists (attention certaines approchent les 30 Go)
https://hackntricks.fr/4-wordlists-pour ... -de-passe/


Points négatifs :

-BitwardenDecrypt ne fonctionne pas avec les exportations JSON chiffrées Bitwarden.
Ces exportations n'ont pas la clé symétrique protégée nécessaire pour déchiffrer les entrées
- C'est du brute force, donc dépendant de la puissance du PC, du mot de passe (longueur, ...)

Point positif : A le mérite d' exister


Accessoirement pour déterminer le temps nécessaire en brute force par rapport à la longueur du mot de passe (cela reste empirique car tout dépend par quoi cela est traité, comme la puissance de l'ordinateur
Cela indique également si le mot de passe choisi figure dans une base de données volées bien connue (haveibeenpwned)
https://password.kaspersky.com/fr/