Qu'est-ce qu'un gestionnaire de mots de passe ?
Il fut un temps, pendant les premières années de l'internet, où vous n'aviez peut-être qu'une poignée de mots de passe pour quelques applications web essential que vous utilisiez pour faire des achats, étudier, rester connecté et travailler. Aujourd'hui, les choses sont beaucoup plus compliquées. En moyenne, les gens doivent se souvenir d'une centaine de mots de passe.
Alors que la technologie promet de nous faciliter la vie, et c'est généralement le cas, chaque nouveau site web et chaque nouvelle application pour lesquels nous nous inscrivons est un nouveau mot de passe dont nous devons nous souvenir. Pour la plupart d'entre nous, il est devenu impossible de se souvenir de tous les mots de passe. Pensez à vous : réutilisez-vous vos mots de passe pour plusieurs comptes (comme deux tiers des utilisateurs d'Internet) ? C'est un grand pas en avant.
Grâce à de gigantesques listes de mots de passe volés (appelées "dumps") achetées sur le darkweb, les cybercriminels peuvent pénétrer par force brute dans d'autres sites ou utiliser d'anciens mots de passe pour extorquer des utilisateurs dans le cadre d'escroqueries. C'est l'effet domino des violations de données. Une faille en entraîne une autre, puis une autre, et ainsi de suite.
La plupart des violations de données seraient dues à des mots de passe compromis, faibles et réutilisés. 1234567, quelqu'un ?
Comment en sommes-nous arrivés là et que pouvons-nous faire ?
La célèbre bande dessinée xkcd "Password Strength" (La force du mot de passe) l'explique le mieux : "En 20 ans d'efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à mémoriser pour les humains, mais faciles à deviner pour les ordinateurs."
C'est vrai. Il y a 20 ans, les professionnels de la cybersécurité reprochaient aux consommateurs de ne pas modifier les mots de passe par défaut des appareils IoT (comme votre routeur Internet) ou d'utiliser des mots de passe faciles à deviner tels que "12345" ou "password". C'est de là qu'est né le mot de passe long et fort dont se moque xkcd: un mot courant composé de lettres majuscules et minuscules, d'au moins un chiffre et d'un symbole.
Lors de la création d'un nouveau compte, les sites web exigent que nous créions des mots de passe longs et forts. Si ce n'est pas le cas, nous ne sommes même pas autorisés à créer un compte. En supposant que l'on passe la phase de création de compte, on oubliera rapidement le cryptogramme de la machine Enigma que l'on vient de créer et on se résignera à utiliser le lien "Mot de passe oublié" comme option de connexion quotidienne.
Heureusement, vous ne devez pas vous souvenir de tous ces mots de passe. Un gestionnaire de mots de passe peut les retenir pour vous.
Malwarebytes Labs définit un gestionnaire de mots de passe comme "une application logicielle conçue pour stocker et gérer les informations d'identification en ligne. Il génère également des mots de passe. En général, ces mots de passe sont stockés dans une base de données cryptée et protégés par un mot de passe principal".
Une fois que tous les noms d'utilisateur et mots de passe de vos comptes ont été saisis dans le coffre-fort, votre mot de passe principal est le seul que vous devez mémoriser. En entrant votre mot de passe principal, vous déverrouillez votre coffre-fort de mots de passe et vous pouvez y récupérer n'importe quel mot de passe dont vous avez besoin.
Quels sont les avantages de l'utilisation d'un gestionnaire de mots de passe ?
Vous ne devez plus mémoriser tous vos mots de passe. Vous ne devez retenir que le mot de passe principal qui déverrouille votre coffre-fort de mots de passe. Et si vous optez pour un gestionnaire de mots de passe basé sur le cloud, vous pouvez accéder à votre coffre-fort de mots de passe n'importe où, à partir de n'importe quel appareil.
Ils peuvent générer automatiquement des mots de passe hautement sécurisés. Les gestionnaires de mots de passe vous demandent généralement si vous souhaitez utiliser un mot de passe généré automatiquement chaque fois que vous créez un nouveau compte sur un site web ou une application. Ces mots de passe aléatoires sont longs, alphanumériques et pratiquement impossibles à deviner.
Ils peuvent vous avertir de la présence d'un site d'hameçonnage. Voici un bref aperçu des escroqueries par hameçonnage. Les courriels de spam sont falsifiés pour donner l'impression qu'ils proviennent d'un expéditeur légitime, comme un ami, un membre de la famille, un collègue ou une organisation avec laquelle vous êtes en relation d'affaires. Les liens contenus dans l'e-mail renvoient à des sites web malveillants également falsifiés, conçus pour recueillir les identifiants de connexion. Si vous utilisez un gestionnaire de mots de passe basé sur un navigateur, il ne remplira pas automatiquement les champs du nom d'utilisateur et du mot de passe car il ne reconnaît pas le site web comme étant celui lié au mot de passe.
Ils peuvent aider vos bénéficiaires à votre décès. C'est ce qu'on appelle un héritage numérique. En cas de décès, votre famille ou la personne que vous aurez désignée pour administrer votre succession aura accès à votre coffre-fort de mots de passe.
Les gestionnaires de mots de passe font gagner du temps. En plus de stocker les mots de passe pour vous, de nombreux gestionnaires de mots de passe remplissent automatiquement les informations d'identification pour un accès plus rapide aux comptes en ligne. En outre, certains peuvent stocker et remplir automatiquement le nom, l'adresse, l'adresse électronique, le numéro de téléphone et les informations relatives à la carte de crédit. Cela peut représenter un gain de temps considérable lors d'achats en ligne, par exemple.
De nombreux gestionnaires de mots de passe se synchronisent entre différents systèmes d'exploitation (OS). Si vous êtes un utilisateur de Windows au travail et de Mac à la maison, que vous utilisez Android du lundi au vendredi et iOS le week-end, vous pourrez accéder rapidement à vos mots de passe, quelle que soit la plate-forme sur laquelle vous vous trouvez. Il en va de même pour tous les navigateurs web les plus populaires, à savoir Chrome, Firefox, Edge, Internet Explorer et Safari.
Ils contribuent à protéger votre identité. D'une manière détournée, les gestionnaires de mots de passe contribuent à la protection contre l'usurpation d'identité, et voici pourquoi. En utilisant un mot de passe unique pour chaque site, vous segmentez essentiellement vos données sur chaque site web et application que vous utilisez. Si un criminel pirate l'un de vos comptes, il ne pourra pas nécessairement accéder aux autres. Ce n'est pas une méthode infaillible, mais c'est une couche de sécurité supplémentaire que vous apprécierez certainement au lendemain d'une violation de données.
Les gestionnaires de mots de passe sont-ils sûrs ?
Les gestionnaires de mots de passe ont été piratés, mais leur bilan global en matière de sécurisation des données des utilisateurs est très bon. Le gestionnaire de mots de passe LastPass a subi quelques violations de données, tout comme d'autres outils de gestion de mots de passe. Il existe de nombreux gestionnaires de mots de passe réputés qui utilisent le cryptage et peuvent être utilisés en toute sécurité en 2023. Le gestionnaire de mots de passe NordPass, par exemple, figure également sur la liste des gestionnaires de mots de passe les plus sûrs établie par Cyber News.
Il est important de se rappeler que si votre téléphone est infecté par un logiciel malveillant, votre gestionnaire de mots de passe peut également être violé. Il est donc indispensable de maintenir votre logiciel anti-malware et antivirus à jour.
Quels sont les différents types de gestionnaires de mots de passe ?
Les gestionnaires de mots de passe de bureau stockent vos mots de passe localement sur votre appareil, comme votre ordinateur portable, dans un coffre-fort crypté. Vous ne pouvez pas accéder à ces mots de passe à partir d'un autre appareil, et si vous perdez l'appareil, vous perdez tous les mots de passe qui y sont stockés. Les gestionnaires de mots de passe installés localement sont une excellente option pour les personnes qui ne veulent pas que leurs données soient stockées sur le réseau de quelqu'un d'autre. Certains gestionnaires de mots de passe installés localement trouvent un équilibre entre confidentialité et commodité en vous permettant de créer plusieurs coffres-forts de mots de passe sur vos appareils et de les synchroniser lorsque vous vous connectez à l'internet.
Les gestionnaires de mots de passe basés sur le cloud stockent vos mots de passe cryptés sur le réseau du fournisseur de services. Le fournisseur de services est directement responsable de la sécurité de vos mots de passe. Le principal avantage des gestionnaires de mots de passe basés sur le cloud, dont 1Password et NordPass sont de bons exemples, est que vous pouvez accéder à votre coffre-fort de mots de passe à partir de n'importe quel appareil dès lors que vous disposez d'une connexion Internet. Les gestionnaires de mots de passe basés sur le web peuvent se présenter sous différentes formes, le plus souvent sous la forme d'une extension de navigateur, d'une application de bureau ou d'une application mobile.
L'authentification unique (SSO). Contrairement à un gestionnaire de mots de passe qui stocke des mots de passe uniques pour chaque application que vous utilisez, le SSO vous permet d'utiliser un seul mot de passe pour chaque application. Considérez l'authentification unique comme votre passeport numérique. Lorsque vous entrez dans un pays étranger, un passeport indique aux fonctionnaires des douanes et de l'immigration que votre pays de citoyenneté se porte garant de vous et que vous devriez être autorisé à entrer avec un minimum d'ennuis. De même, lorsque vous utilisez le SSO pour vous connecter à une application, vous n'avez pas à vérifier votre identité. C'est le fournisseur de SSO qui se porte garant de votre identité. Les entreprises préfèrent les SSO aux gestionnaires de mots de passe pour plusieurs raisons. En premier lieu, le SSO est un moyen sûr et pratique pour les employés d'accéder aux applications dont ils ont besoin pour accomplir leur travail. Les SSO réduisent également le temps que les services informatiques consacrent au dépannage et à la réinitialisation des mots de passe oubliés.
Meilleures pratiques en matière de mots de passe
Ne réutilisez pas vos mots de passe. Même avec un gestionnaire de mots de passe. Créez plutôt des mots de passe uniques pour chaque site et laissez votre gestionnaire de mots de passe faire ce pour quoi il a été conçu. Utilisez un générateur de mot de passe fort et sécurisé pour créer des mots de passe uniques pour tous vos comptes.
Créez des mots de passe complexes. De nombreux gestionnaires de mots de passe suggèrent automatiquement des mots de passe complexes chaque fois que vous créez un compte sur un nouveau site. Si ce n'est pas le cas, essayez d'utiliser une combinaison aléatoire de lettres et de chiffres, et alternez entre majuscules et minuscules. Plus il est complexe et absurde, mieux c'est, d'autant plus que vous n'aurez pas à vous en souvenir. Le gestionnaire de mots de passe s'en chargera. La seule différence essentielle réside dans la création de votre mot de passe principal (celui qui déverrouille tous les autres mots de passe). À moins que vous n'ayez une mémoire eidétique, essayez de penser à quelque chose de mémorable pour vous, mais qui ne permette pas de remonter facilement à votre identité. Ajoutez ensuite quelques majuscules, quelques lettres et quelques caractères fantaisistes, et vous obtiendrez un mot de passe bien protégé.
Utilisez une phrase de passe. Lorsqu'il s'agit de créer votre mot de passe principal (celui qui déverrouille vos autres mots de passe), essayez d'utiliser une phrase de passe, c'est-à-dire une série de mots faciles à mémoriser, mais difficiles à deviner. Quelque chose de familier avec une tournure étrange, par exemple : "haricot burrito crème glacée partagée". Ou simplement un ensemble de choses aléatoires qu'un être humain peut facilement visualiser, mais pas un ordinateur : "fancy rat neon avocado car". Faites preuve d'imagination ! Les noms d'animaux, d'enfants ou d'autres membres de la famille, ou des phrases comme "Laissez-moi entrer" sont beaucoup trop courants et donc faciles à déchiffrer pour les cybercriminels.
Activez l'authentification à deux facteurs (2FA) ou l'authentification à plusieurs facteurs (MFA). L'un des meilleurs moyens de sécuriser un compte, qu'il s'agisse d'un gestionnaire de mots de passe ou non, est d'activer l'authentification multifactorielle. Avec un gestionnaire de mots de passe compatible avec l'AFM, vous devrez vérifier votre identité à l'aide d'au moins deux facteurs d'authentification, à savoir quelque chose que vous connaissez, quelque chose que vous possédez et quelque chose que vous êtes. Ce que vous connaissez est généralement votre mot de passe, mais il peut également s'agir d'un code PIN. Ce que vous possédez peut être votre téléphone portable, votre carte bancaire ou un jeton de sécurité sur une clé USB. Enfin, ce que vous êtes peut être vérifié à l'aide de la biométrie, comme la reconnaissance faciale, vocale ou de l'iris et l'identification des empreintes digitales. La biométrie comportementale, telle que la frappe au clavier, peut également être utilisée.
Cette couche de sécurité supplémentaire signifie que toute personne tentant de se connecter à votre compte (y compris vous-même) devra contrôler ces facteurs d'authentification supplémentaires en dehors du nom d'utilisateur et du mot de passe. Voici un exemple : Après avoir saisi votre mot de passe principal pour accéder au gestionnaire de mots de passe, un code serait envoyé à votre téléphone portable, que vous devriez ensuite saisir avant d'accéder au coffre-fort. Une chose à garder à l'esprit lorsque vous utilisez votre téléphone comme facteur d'authentification : les numéros de téléphone peuvent être piratés.
C'est ce qu'on appelle le SIMjacking (alias SIM-swapping) et cela se produit lorsqu'un cybercriminel, se faisant passer pour vous, convainc votre opérateur téléphonique de réattribuer votre numéro de téléphone à son téléphone en répondant avec succès à vos questions de sécurité. Une recherche superficielle sur les médias sociaux suffit souvent aux escrocs pour glaner les réponses dont ils ont besoin. Et une fois que les criminels ont pris le contrôle de votre téléphone, ils ont tout ce qu'il faut pour voler votre identité. C'est pourquoi il est préférable d'utiliser un authentificateur logiciel tel qu'Authy ou Google Authenticator pour les comptes essentiels.
Pensez-y à deux fois avant d'utiliser un gestionnaire de mots de passe gratuit. La plupart des gestionnaires de mots de passe gratuits les plus populaires fonctionnent en fait selon un modèle commercial freemium, ce qui signifie que vous devez payer si vous souhaitez bénéficier des meilleures fonctionnalités, parfois essentielles. Avez-vous besoin que vos mots de passe soient synchronisés entre les navigateurs et les appareils ? Avez-vous besoin d'un héritage numérique ? Avez-vous besoin de partager vos identifiants avec votre famille ? Avez-vous besoin d'une authentification multifactorielle ? Free Les gestionnaires de mots de passe n'incluent généralement pas ces fonctionnalités. L'authentification multifactorielle, en particulier, est indispensable. Dans le débat entre gratuit et payant, optez pour un gestionnaire de mots de passe payant.
Créez une politique de gestion des mots de passe. Voici un conseil pour les petites et moyennes entreprises : Créez une politique de gestion des mots de passe et faites savoir à vos employés qu'ils peuvent utiliser un gestionnaire de mots de passe pour sécuriser leurs comptes professionnels. Votre personnel utilise déjà un ensemble de méthodes potentiellement peu sûres pour tenter de gérer ses nombreux mots de passe, et la plupart des violations de données commencent par un mot de passe faible ou réutilisé. Une politique officielle de gestion des mots de passe est votre première ligne de défense contre une cyberattaque sur votre réseau.
Voir aussi Passkey
FAQs
Qu'est-ce qu'un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est une application logicielle conçue pour stocker et gérer les informations d'identification en ligne.
Quel est l'intérêt d'un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe vous aide à générer et à stocker en toute sécurité des mots de passe longs et uniques pour tous vos comptes en ligne. Vous devez utiliser des mots de passe différents pour tous vos comptes et il est difficile de tous les retenir.