Qu'est-ce qu'un gestionnaire de mots de passe ?
Autrefois, durant les premières années d'Internet, vous aviez peut-être une poignée de mots de passe pour quelques applications web essentielles que vous utilisiez pour faire du shopping, étudier, rester en contact et travailler. Aujourd'hui, c'est beaucoup plus compliqué. En moyenne, on estime que les gens doivent se souvenir d'environ 100 mots de passe.
Bien que la technologie promette de faciliter notre vie, et c'est généralement le cas, chaque nouveau site Web et application auxquels nous nous inscrivons est un nouveau mot de passe que nous devons retenir. Pour la plupart, il est devenu impossible de tous les mémoriser. Pensez à vous-même - réutilisez-vous vos mots de passe sur plusieurs comptes (comme les deux tiers des utilisateurs d'Internet) ? C'est un gros non-non.
En utilisant de grandes listes de mots de passe volés (également appelées « dumps ») achetées sur le dark web, les cybercriminels peuvent forcer l'accès à d'autres sites ou utiliser d'anciens mots de passe pour extorquer les utilisateurs dans des arnaques. C'est l'effet domino de la violation de données. Une brèche en entraîne une autre, et ainsi de suite.
On rapporte que la plupart des violations de données sont causées par des mots de passe compromis, faibles et réutilisés. 1234567, ça vous dit quelque chose ?
Alors, comment en sommes-nous arrivés là, et que pouvons-nous faire à ce sujet ?
Le célèbre webcomic xkcd “Password Strength” l’a expliqué le mieux : « Après 20 ans d’efforts, nous avons réussi à entraîner tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs. »
C’est vrai. Il y a 20 ans, les professionnels de la cybersécurité réprimandaient les consommateurs pour ne pas avoir changé les mots de passe par défaut sur les appareils IoT (comme votre routeur Internet) ou pour avoir utilisé des mots de passe faciles à deviner comme « 12345 » ou « motdepasse ». De là est sorti le long et complexe mot de passe dont xkcd se moque : un mot courant avec un mélange de lettres majuscules et minuscules, au moins un chiffre et un symbole.
Lors de la création d'un nouveau compte, les sites exigent que nous créions des mots de passe longs et complexes. À défaut, nous ne sommes même pas autorisés à créer un compte. En supposant qu'une personne dépasse la phase de création de compte, elle va vite oublier le chiffre de la machine Enigma qu'elle vient de créer et se résigner à utiliser le lien « Mot de passe oublié ? » comme option de connexion quotidienne.
Heureusement, vous n'avez pas besoin de vous souvenir de tous ces mots de passe. Un gestionnaire de mots de passe peut les mémoriser pour vous.
Malwarebytes Labs définit un gestionnaire de mots de passe comme « une application logicielle conçue pour stocker et gérer les identifiants en ligne. Elle génère également des mots de passe. Habituellement, ces mots de passe sont stockés dans une base de données cryptée et verrouillée derrière un mot de passe principal. »
Une fois que tous vos noms d'utilisateur et mots de passe de compte ont été entrés dans le coffre-fort, votre mot de passe principal est le seul que vous devez mémoriser. Entrer votre mot de passe principal déverrouille votre coffre-fort de mots de passe, et depuis votre coffre-fort, vous pouvez ensuite récupérer le mot de passe dont vous avez besoin.
Quels sont les avantages d'utiliser un gestionnaire de mots de passe ?
Vous n’avez plus besoin de mémoriser tous vos mots de passe. Vous devez juste vous souvenir du mot de passe principal qui déverrouille votre coffre-fort de mots de passe. Et si vous optez pour un gestionnaire de mots de passe basé sur le cloud, vous pouvez accéder à votre coffre-fort de mots de passe n'importe où, depuis n'importe quel appareil.
Ils peuvent générer automatiquement des mots de passe très sécurisés pour vous. Les gestionnaires de mots de passe vous demanderont généralement si vous souhaitez utiliser un mot de passe généré automatiquement chaque fois que vous créez un nouveau compte sur un site Web ou une application. Ces mots de passe aléatoires sont longs, alphanumériques et essentiellement impossibles à deviner.
Ils peuvent vous alerter d'un site d'hameçonnage. Voici un rapide aperçu des scams d'hameçonnage. Les courriels de spam sont usurpés ou contrefaits pour donner l'impression qu'ils proviennent d'un expéditeur légitime, comme un ami, un membre de votre famille, un collègue ou une organisation avec laquelle vous faites affaire. Les liens contenus dans l'email mènent à des sites Web malveillants également usurpés conçus pour collecter les informations de connexion. Si vous utilisez un gestionnaire de mots de passe basé sur un navigateur, il ne remplira pas automatiquement les champs nom d'utilisateur et mot de passe puisqu'il ne reconnaît pas le site Web lié au mot de passe.
Ils peuvent aider vos bénéficiaires lors de votre décès. Cela s'appelle un héritage numérique. En cas de votre décès, votre famille ou toute autre personne désignée pour administrer votre succession aura accès à votre coffre-fort de mots de passe.
Les gestionnaires de mots de passe font gagner du temps. Au-delà du simple stockage de mots de passe, de nombreux gestionnaires de mots de passe remplissent automatiquement les identifiants pour un accès plus rapide aux comptes en ligne. De plus, certains peuvent stocker et remplir automatiquement le nom, l'adresse, l'email, le numéro de téléphone et les informations de carte de crédit. Cela peut être un énorme gain de temps lors des achats en ligne, par exemple.
De nombreux gestionnaires de mots de passe se synchronisent sur différents systèmes d'exploitation (OS). Si vous êtes utilisateur Windows au travail et utilisateur Mac à la maison, que vous utilisez Android du lundi au vendredi et que vous passez à iOS le week-end, vous pourrez accéder rapidement à vos mots de passe, quel que soit la plateforme que vous utilisez. Idem pour tous les navigateurs Web les plus populaires, c'est-à-dire Chrome, Firefox, Edge, Internet Explorer et Safari.
Ils aident à protéger votre identité. D'une manière détournée, les gestionnaires de mots de passe aident à protéger contre le vol d'identité, et voici pourquoi. En utilisant un mot de passe unique pour chaque site, vous segmentez essentiellement vos données sur chaque site Web et application que vous utilisez. Si un criminel pirate l'un de vos comptes, il ne pourra pas nécessairement accéder à tous les autres. Ce n’est pas infaillible, mais c’est une couche supplémentaire de sécurité que vous apprécierez certainement après une violation de données.
Les gestionnaires de mots de passe sont-ils sûrs ?
Les gestionnaires de mots de passe ont été piratés, mais leur bilan général en matière de sécurisation des données des utilisateurs est très bon. Le gestionnaire de mots de passe LastPass a subi quelques violations de données, comme quelques autres outils de gestion de mots de passe. De nombreux gestionnaires de mots de passe réputés utilisent des cryptages et sont sûrs à utiliser en 2023. Un exemple est NordPass Password Manager qui figure également sur la liste des gestionnaires de mots de passe les plus sûrs par Cyber News.
Il est important de se rappeler que si votre téléphone est infecté par un malware, votre gestionnaire de mots de passe peut également être compromis. Garder votre logiciel anti-malware et antivirus à jour est donc indispensable.
Quels sont les types de gestionnaires de mots de passe ?
Les gestionnaires de mots de passe basés sur ordinateur stockent vos mots de passe localement sur votre appareil, comme votre ordinateur portable, dans un coffre-fort crypté. Vous ne pouvez pas accéder à ces mots de passe depuis un autre appareil, et si vous perdez l'appareil, vous perdez tous les mots de passe stockés. Les gestionnaires de mots de passe installés localement sont une excellente option pour les personnes qui ne souhaitent tout simplement pas que leurs données soient stockées sur le réseau de quelqu'un d'autre. Certains gestionnaires de mots de passe installés localement trouvent un équilibre entre la confidentialité et la commodité en vous permettant de créer plusieurs coffres de mots de passe sur vos appareils et de les synchroniser lorsque vous vous connectez à Internet.
Les gestionnaires de mots de passe basés sur le cloud stockent vos mots de passe cryptés sur le réseau du fournisseur de services. Le fournisseur de services est directement responsable de la sécurité de vos mots de passe. Le principal avantage des gestionnaires de mots de passe basés sur le cloud, 1Password et NordPass étant de bons exemples, est que vous pouvez accéder à votre coffre-fort de mots de passe depuis n'importe quel appareil tant que vous avez une connexion Internet. Les gestionnaires de mots de passe basés sur le Web peuvent prendre différentes formes—le plus souvent sous forme d'extension de navigateur, d'application de bureau ou d'application mobile.
Authentification unique (SSO). Contrairement à un gestionnaire de mots de passe qui stocke des mots de passe uniques pour chaque application que vous utilisez, l'authentification unique vous permet d'utiliser un mot de passe pour chaque application. Pensez à l'authentification unique comme votre passeport numérique. En entrant dans un pays étranger, un passeport indique aux agents des douanes et de l'immigration que votre pays de citoyenneté se porte garant de vous et que vous devez être autorisé à entrer avec un minimum de tracas. De même, lorsque vous utilisez une authentification unique pour vous connecter à une application, vous n'êtes pas tenu de vérifier votre identité. Au lieu de cela, le fournisseur de SSO garantit votre identité. Les entreprises privilégient les authentifications uniques par rapport aux gestionnaires de mots de passe pour plusieurs raisons. Principalement, l'authentification unique est un moyen sûr et pratique pour les employés d'accéder aux applications dont ils ont besoin pour accomplir leur travail. Les authentifications uniques réduisent également le temps passé par le service informatique sur le dépannage et la réinitialisation des mots de passe oubliés.
Bonnes pratiques pour les mots de passe
Ne réutilisez pas les mots de passe. Même avec un gestionnaire de mots de passe. Au lieu de cela, créez des mots de passe uniques pour chaque site et laissez votre gestionnaire de mots de passe faire son travail. Utilisez un générateur de mots de passe fort et sécurisé pour créer des mots de passe uniques pour tous vos comptes.
Créez des mots de passe complexes. De nombreux gestionnaires de mots de passe suggèrent automatiquement des mots de passe forts chaque fois que vous créez un compte pour un nouveau site. Sinon, essayez d'utiliser une combinaison aléatoire de lettres et de chiffres, et alternez entre majuscules et minuscules. Plus c'est complexe et absurde, mieux c'est, surtout puisque vous ne serez pas obligé de vous en souvenir. Le gestionnaire de mots de passe le fera. La différence clé réside dans la création de votre mot de passe principal (celui qui déverrouille tous les autres mots de passe). Celui-ci, vous devrez vous en souvenir, donc à moins d'avoir une mémoire eidétique, essayez de penser à quelque chose de mémorable pour vous, mais pas facilement traçable à votre identité. Ensuite, ajoutez quelques majuscules, quelques lettres et quelques caractères spéciaux, et vous avez un coffre-fort de mots de passe bien protégé.
Utilisez une phrase secrète. Lorsqu'il s'agit de créer votre mot de passe principal (celui qui déverrouille vos autres mots de passe), essayez d'utiliser une phrase secrète; c'est-à-dire une série de mots faciles à retenir, mais difficiles à deviner. Quelque chose de familier avec une tournure étrange, par exemple : « burrito de haricots crème glacée fendue. » Ou juste un tas de choses aléatoires qu'un humain peut facilement visualiser, mais qu'un ordinateur ne peut pas : « rat chic avocat néon voiture. » Utilisez votre imagination ! Les noms d'animaux, d'enfants ou d'autres membres de la famille, ou des phrases comme « Laisse-moi entrer ! » sont beaucoup trop courants, et donc faciles à déchiffrer pour les cybercriminels.
Activez l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA). L'un des meilleurs moyens de sécuriser un compte, qu'il s'agisse ou non d'un gestionnaire de mots de passe, est d'activer la MFA. Avec un gestionnaire de mots de passe activé MFA, vous serez tenu de vérifier votre identité en utilisant deux ou plusieurs facteurs d'authentification, qui incluent quelque chose que vous savez, quelque chose que vous possédez, et quelque chose que vous êtes. Ce que vous savez est généralement votre mot de passe, mais cela peut aussi être un numéro PIN. Ce que vous possédez peut être votre téléphone portable, votre carte bancaire ou un jeton de sécurité sur une clé USB. Enfin, ce que vous êtes peut être vérifié en utilisant des biométries, telles que la reconnaissance faciale, vocale ou de l’iris, et l’identification par empreinte digitale. Les biométries comportementales, telles que les frappes, peuvent également être appliquées.
Cette couche de sécurité supplémentaire signifie que toute personne tentant de se connecter à votre compte (vous-même inclus) devra contrôler ces facteurs d'authentification supplémentaires en dehors du nom d'utilisateur et du mot de passe. Un exemple de ceci serait : Après avoir entré votre mot de passe principal pour accéder au gestionnaire de mots de passe, un code serait envoyé à votre téléphone mobile, que vous devrez ensuite entrer avant d'accéder au coffre. Une chose à garder à l'esprit lors de l'utilisation de votre téléphone comme facteur d'authentification, les numéros de téléphone peuvent être détournés.
Cela s'appelle le SIMjacking (alias le détournement de carte SIM) et cela se produit lorsqu'un cybercriminel, se faisant passer pour vous, convainc votre opérateur téléphonique de réattribuer votre numéro de téléphone à leur téléphone en répondant correctement à vos questions de sécurité. Une simple recherche sur les réseaux sociaux suffit souvent aux escrocs pour trouver les réponses dont ils ont besoin. Et une fois que les criminels ont le contrôle de votre téléphone, ils ont tout ce dont ils ont besoin pour voler votre identité. En conséquence, vous pouvez vous tourner vers un authentificateur logiciel comme Authy ou Google Authenticator à la place pour les comptes critiques.
Réfléchissez à deux fois avant d'utiliser des gestionnaires de mots de passe gratuits. Un grand nombre des gestionnaires de mots de passe gratuits les plus populaires opèrent en réalité sur un modèle freemium, ce qui signifie que vous devez payer pour obtenir les meilleures—parfois essentielles—fonctionnalités. Avez-vous besoin que vos mots de passe se synchronisent sur les navigateurs et appareils ? Avez-vous besoin d'un héritage numérique ? Avez-vous besoin de partager des identifiants avec votre famille ? Avez-vous besoin d'une authentification multi-facteurs ? Les gestionnaires de mots de passe gratuits n'incluent pas généralement ces fonctionnalités. La MFA, en particulier, est indispensable. Dans le débat entre gratuit vs payant, optez pour un gestionnaire de mots de passe payant.
Créez une politique de gestionnaire de mots de passe. Voici un conseil pour les petites et moyennes entreprises : Créez une politique de gestionnaire de mots de passe et informez les employés qu'il est acceptable d'utiliser un gestionnaire de mots de passe pour sécuriser leurs comptes professionnels. Votre personnel utilise déjà un patchwork de méthodes potentiellement non sécurisées pour essayer de gérer leurs nombreux mots de passe, et la plupart des violations de données commencent par un mot de passe faible ou réutilisé. Une politique de gestionnaire de mots de passe officielle est votre première ligne de défense contre une cyberattaque sur votre réseau.
Voir aussi : Passkey
FAQ
Qu'est-ce qu'un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe est une application logicielle conçue pour stocker et gérer les informations d'identification en ligne.
Quel est l'intérêt d'un gestionnaire de mots de passe ?
Un gestionnaire de mots de passe vous aide à générer et à stocker en toute sécurité des mots de passe longs et uniques pour tous vos comptes en ligne. Vous devez utiliser des mots de passe différents pour tous vos comptes et il est difficile de tous les retenir.