- Qu’est-ce qu’un gestionnaire de mots de passe ?
- Quels sont les avantages d’utiliser un gestionnaire de mots de passe ?
- Les gestionnaires de mots de passe sont-ils sûrs ?
- Dernières nouvelles sur les gestionnaires de mots de passe
- Quels sont les types de gestionnaires de mots de passe?
- Bonnes pratiques en matière de mots de passe
Qu’est-ce qu’un gestionnaire de mots de passe ?
Il était une fois, pendant les premières années d’Internet, vous aviez peut-être une poignée de mots de passe pour quelques applications Web essentielles que vous utilisiez pour magasiner, étudier, rester connecté et travailler. Aujourd’hui, les choses sont beaucoup plus compliquées. Un rapport de 2017 de LastPass a révélé qu’en moyenne, les gens devaient se souvenir de 191 mots de passe différents — uniquement pour le travail — sans parler de leurs mots de passe personnels.
Alors que la technologie promet de nous faciliter la vie, et c’est généralement le cas, chaque nouveau site Web et application auquel nous nous inscrivons est un autre mot de passe dont nous devons nous souvenir. Pour la plupart, il est devenu impossible de se souvenir de tous. L’enquête sur la sécurité en ligne de Google 2019 a révélé que 52% des répondants réutilisaient le même mot de passe pour plusieurs comptes (mais pas tous). C’est un grand non-non.
En utilisant des listes géantes de mots de passe volés (alias « vidages ») achetés sur le dark Web, les cybercriminels peuvent se frayer un chemin de force vers d’autres sites ou utiliser d’anciens mots de passe pour extorquer des utilisateurs dans des escroqueries. C’est l’effet domino de la violation de données. Une brèche en mène une autre et une autre, etc.
Selon le rapport 2019 Verizon Data Breach Investigations Report, 80 % des violations de données sont causées par des mots de passe compromis, faibles et réutilisés.
Alors, comment en sommes-nous arrivés là, et que pouvons-nous y faire ?
La célèbre bande dessinée web xkcd « Force de mot de passe » l’a mieux expliqué: « Grâce à 20 ans d’efforts, nous avons réussi à former tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs. »
C’est vrai. il y a 20 ans, les professionnels de la cybersécurité recommandaient aux consommateurs de ne pas modifier les mots de passe par défaut sur les appareils IoT (comme votre routeur Internet) ou d’utiliser des mots de passe faciles à deviner comme « 12345 » ou « mot de passe ». De cela est venu le mot de passe long et fort xkcd se moque: un mot commun avec un mélange de lettres majuscules et minuscules, au moins un chiffre et un symbole.
Lors de la création d’un nouveau compte, les sites Web exigent que nous créions des mots de passe longs et forts. A défaut, nous ne sommes même pas autorisés à créer un compte. En supposant que l’on dépasse la phase de création de compte, vous allez rapidement oublier le chiffrement de la machine Enigma que vous venez de créer et vous résigner à utiliser le « Mot de passe oublié? » lien comme option de connexion quotidienne.
Heureusement, vous n’avez pas à vous souvenir de tous ces mots de passe. Un gestionnaire de mots de passe peut s’en souvenir pour vous.
Malwarebytes Labs définit un gestionnaire de mots de passe comme » une application logicielle conçue pour stocker et gérer les informations d’identification en ligne. Il génère également des mots de passe. Habituellement, ces mots de passe sont stockés dans une base de données cryptée et verrouillés derrière un mot de passe principal. »
Une fois que tous les noms d’utilisateur et mots de passe de votre compte ont été entrés dans le coffre-fort, votre mot de passe principal est le seul que vous devez mémoriser. La saisie de votre mot de passe principal déverrouille votre coffre-fort de mots de passe, et à partir de votre coffre-fort, vous pouvez ensuite récupérer le mot de passe dont vous avez besoin.
Quels sont les avantages d’utiliser un gestionnaire de mots de passe ?
Vous n’avez plus à mémoriser tous vos mots de passe. Il vous suffit de vous souvenir du mot de passe principal qui déverrouille votre coffre de mots de passe. Et si vous optez pour un gestionnaire de mots de passe basé sur le cloud, vous pouvez accéder à votre coffre-fort de mots de passe n’importe où, depuis n’importe quel appareil.
Ils peuvent générer automatiquement des mots de passe hautement sécurisés pour vous. Les gestionnaires de mots de passe vous demanderont généralement si vous souhaitez utiliser un mot de passe généré automatiquement chaque fois que vous créez un nouveau compte avec un site Web ou une application. Ces mots de passe aléatoires sont longs, alphanumériques et essentiellement impossibles à deviner.
Ils peuvent vous alerter sur un site de phishing. Voici un aperçu rapide des escroqueries par hameçonnage. Les pourriels sont usurpés ou falsifiés pour donner l’impression qu’ils proviennent d’un expéditeur légitime, comme un ami, un membre de la famille, un collègue de travail ou une organisation avec laquelle vous faites affaire. Les liens contenus dans l’e-mail dirigent vers des sites Web malveillants usurpés de la même manière et conçus pour récolter les informations de connexion. Si vous utilisez un gestionnaire de mots de passe basé sur un navigateur, il ne remplira pas automatiquement les champs nom d’utilisateur et mot de passe car il ne reconnaît pas le site Web comme étant celui lié au mot de passe.
Ils peuvent aider vos bénéficiaires lorsque vous décédez. C’est ce qu’on appelle un héritage numérique. En cas de décès, votre famille ou la personne que vous désignerez pour administrer votre succession aura accès à votre coffre-fort de mots de passe.
Les gestionnaires de mots de passe gagnent du temps. Au-delà du simple stockage des mots de passe pour vous, de nombreux gestionnaires de mots de passe remplissent également automatiquement les informations d’identification pour un accès plus rapide aux comptes en ligne. En outre, certains peuvent stocker et remplir automatiquement le nom, l’adresse, l’e-mail, le numéro de téléphone et les informations de carte de crédit. Cela peut être un gain de temps énorme lors de vos achats en ligne, par exemple.
De nombreux gestionnaires de mots de passe se synchronisent entre différents systèmes d’exploitation (OS). Si vous êtes un utilisateur Windows au travail et un utilisateur Mac à la maison, passez sur votre Android du lundi au vendredi et passez à iOS le week-end, vous pourrez accéder rapidement à vos mots de passe quelle que soit la plate-forme sur laquelle vous vous trouvez. Idem pour tous les navigateurs Web les plus populaires; c’est-à-dire Chrome, Firefox, Edge, Internet Explorer et Safari.
Ils aident à protéger votre identité. D’une manière détournée, les gestionnaires de mots de passe aident à se protéger contre le vol d’identité, et voici pourquoi. En utilisant un mot de passe unique pour chaque site, vous segmentez essentiellement vos données sur chaque site Web et application que vous utilisez. Si un criminel pirate l’un de vos comptes, il ne pourra pas nécessairement accéder à l’un des autres. Ce n’est pas infaillible, mais c’est une couche de sécurité supplémentaire que vous apprécierez certainement à la suite d’une violation de données.
Les gestionnaires de mots de passe sont-ils sûrs ?
Les gestionnaires de mots de passe ont été piratés, mais leur bilan global en matière de sécurisation des données utilisateur est très bon.
Le gestionnaire de mots de passe LastPass a subi une violation de données en 2015. Pendant la violation, les cybercriminels se sont débarrassés des e-mails des utilisateurs, mais n’ont pas réussi à voler de mots de passe. Même s’ils l’ont fait, la plupart des gestionnaires de mots de passe, y compris LastPass, utilisent un cryptage de qualité militaire pour protéger les mots de passe.
Comparez cela à Facebook, Google et Twitter. Les trois géants de la technologie ont admis avoir accidentellement stocké les mots de passe des utilisateurs dans un texte clair et lisible — pas de cryptage pour parler — pour certains de leurs utilisateurs, il y a plusieurs années. Et dans le cas de Google, tout le chemin du retour à 2005. Pour autant que l’on sache, aucun des mots de passe n’a été volé, bien que Google ait réinitialisé les mots de passe affectés « par excès de prudence » immédiatement après avoir découvert leur erreur.
Dernières nouvelles sur les gestionnaires de mots de passe
Quand pouvons-nous nous débarrasser définitivement des mots de passe ?
Les pirates vont-ils pirater plus? Pas si nous continuons à réutiliser les mots de passe
Pourquoi vous n’avez pas besoin de 27 mots de passe différents
Quels sont les types de gestionnaires de mots de passe?
Les gestionnaires de mots de passe basés sur ordinateur stockent vos mots de passe localement sur votre appareil, comme votre ordinateur portable, dans un coffre-fort crypté. Vous ne pouvez pas accéder à ces mots de passe à partir d’un autre appareil, et si vous perdez l’appareil, vous perdez tous les mots de passe qui y sont stockés. Les gestionnaires de mots de passe installés localement sont une excellente option pour les personnes qui ne veulent tout simplement pas que leurs données soient stockées sur le réseau de quelqu’un d’autre. Certains gestionnaires de mots de passe installés localement établissent un équilibre entre confidentialité et commodité en vous permettant de créer plusieurs coffres de mots de passe sur vos appareils et de les synchroniser lorsque vous vous connectez à Internet.
Les gestionnaires de mots de passe basés sur le cloud stockent vos mots de passe cryptés sur le réseau du fournisseur de services. Le fournisseur de services est directement responsable de la sécurité de vos mots de passe. Le principal avantage des gestionnaires de mots de passe basés sur le cloud, 1Password et LastPass étant de bons exemples, est que vous pouvez accéder à votre coffre-fort de mots de passe depuis n’importe quel appareil tant que vous disposez d’une connexion Internet. Les gestionnaires de mots de passe basés sur le Web peuvent se présenter sous différentes formes, le plus souvent sous forme d’extension de navigateur, d’application de bureau ou d’application mobile.
Authentification unique (SSO). Contrairement à un gestionnaire de mots de passe qui stocke des mots de passe uniques pour chaque application que vous utilisez, SSO vous permet d’utiliser un mot de passe pour chaque application. Considérez l’authentification unique comme votre passeport numérique. Lors de l’entrée dans un pays étranger, un passeport indique aux fonctionnaires des douanes et de l’immigration que votre pays de citoyenneté se porte garant de vous et que vous devriez être autorisé à entrer avec un minimum de tracas. De même, lorsque vous utilisez SSO pour vous connecter à une application, vous n’êtes pas obligé de vérifier votre identité. Au lieu de cela, le fournisseur SSO garantit votre identité. Les entreprises privilégient les SSO par rapport aux gestionnaires de mots de passe pour plusieurs raisons. L’authentification unique est principalement un moyen sûr et pratique pour les employés d’accéder aux applications dont ils ont besoin pour accomplir leur travail. Les SSO réduisent également le temps consacré au dépannage et à la réinitialisation des mots de passe oubliés.
Bonnes pratiques en matière de mots de passe
Ne réutilisez pas les mots de passe. Même avec un gestionnaire de mots de passe. Créez plutôt des mots de passe uniques pour chaque site et laissez votre gestionnaire de mots de passe faire ce pour quoi il est conçu.
Créez des mots de passe complexes. De nombreux gestionnaires de mots de passe suggèrent utilement automatiquement des mots de passe forts chaque fois que vous créez un compte pour un nouveau site. Sinon, essayez d’utiliser une combinaison aléatoire de lettres et de chiffres, et passez de la majuscule à la minuscule. Plus c’est complexe et absurde, mieux c’est — d’autant plus que vous ne serez pas obligé de vous en souvenir. Le gestionnaire de mots de passe le fera. La seule différence clé réside dans la création de votre mot de passe principal (celui qui déverrouille tous les autres mots de passe). Celui-ci, vous devrez vous en souvenir, donc à moins d’avoir une mémoire eidétique, essayez de penser à quelque chose de mémorable pour vous, mais qui ne remonte pas facilement à votre identité. Ajoutez ensuite des majuscules, des lettres et des caractères fantaisistes, et vous disposez d’un coffre-fort de mots de passe bien protégé.
Utilisez une phrase secrète. Lorsqu’il s’agit de créer votre mot de passe principal (celui qui déverrouille vos autres mots de passe), essayez d’utiliser une phrase secrète, c’est-à-dire une série de mots faciles à retenir, mais difficiles à deviner. Quelque chose de familier avec une torsion étrange, par exemple: « split de crème glacée au burrito aux haricots. »Ou juste un tas de choses aléatoires qu’un humain peut facilement visualiser, mais qu’un ordinateur ne peut pas: « fancy rat neon avocado car. »Utilisez votre imagination! Animaux de compagnie, enfants ou autres noms de famille, ou des lignes comme « Laissez-moi entrer! » sont beaucoup trop courants, et donc faciles à déchiffrer pour les cybercriminels.
Activez l’authentification à deux facteurs (2FA) ou multifacteur (MFA). L’une des meilleures façons de sécuriser n’importe quel compte, gestionnaire de mots de passe ou non, est d’activer la MFA. Avec un gestionnaire de mots de passe compatible MFA, vous devrez vérifier votre identité à l’aide de deux facteurs d’authentification ou plus, notamment quelque chose que vous connaissez, quelque chose que vous possédez et quelque chose que vous êtes. Ce que vous connaissez est généralement votre mot de passe, mais il peut également s’agir d’un code PIN. Quelque chose que vous possédez peut-être votre téléphone portable, votre carte bancaire ou un jeton de sécurité sur une clé USB. Enfin, quelque chose que vous êtes peut être vérifié à l’aide de la biométrie, comme la reconnaissance faciale, vocale ou de l’iris et l’identification des empreintes digitales. La biométrie comportementale, telle que les frappes au clavier, peut également être appliquée.
Cette couche de sécurité supplémentaire signifie que toute personne qui tente de se connecter à votre compte (y compris vous-même) devra contrôler ces facteurs d’authentification supplémentaires en dehors du nom d’utilisateur et du mot de passe. Un exemple de ceci serait: Après avoir entré votre mot de passe principal pour accéder au gestionnaire de mots de passe, un code serait envoyé à votre téléphone portable, que vous devrez ensuite entrer avant d’accéder au coffre-fort. Une chose à garder à l’esprit lorsque vous utilisez votre téléphone comme facteur d’authentification: les numéros de téléphone peuvent être détournés.
Cela s’appelle le SIMjacking (ou échange de cartes SIM) et cela se produit lorsqu’un cybercriminel, se faisant passer pour vous, convainc votre opérateur téléphonique de réaffecter votre numéro de téléphone à son téléphone en répondant avec succès à vos questions de sécurité. Une recherche rapide sur les réseaux sociaux suffit souvent aux escrocs pour glaner les réponses dont ils ont besoin. Et une fois que les criminels ont le contrôle de votre téléphone, ils ont tout ce dont ils ont besoin pour voler votre identité. En conséquence, vous pouvez plutôt vous tourner vers un authentificateur logiciel comme Authy ou Google Authenticator pour les comptes critiques.
Pensez à deux fois aux gestionnaires de mots de passe gratuits. La plupart des gestionnaires de mots de passe gratuits les plus populaires fonctionnent en fait sous un modèle commercial freemium, ce qui signifie que vous devez payer si vous voulez les meilleures fonctionnalités — parfois essentielles —. Avez-vous besoin de vos mots de passe pour les synchroniser entre les navigateurs et les appareils ? Avez-vous besoin d’héritage numérique ? Avez-vous besoin de partager vos identifiants avec votre famille ? Avez-vous besoin d’une authentification multifacteur ? Les gestionnaires de mots de passe gratuits n’incluent généralement pas ces fonctionnalités. L’AMF, en particulier, est un must. Dans le débat entre gratuit et payant, optez pour un gestionnaire de mots de passe payant.
Créez une stratégie de gestionnaire de mots de passe. Voici un conseil pour les petites et moyennes entreprises : Créez une politique de gestionnaire de mots de passe et informez les employés qu’il est acceptable d’utiliser un gestionnaire de mots de passe pour sécuriser leurs comptes professionnels. Votre personnel utilise déjà un méli-mélo de méthodes potentiellement non sécurisées pour essayer de gérer ses nombreux mots de passe, et la plupart des violations de données commencent par un mot de passe faible ou réutilisé. Une politique officielle de gestion des mots de passe est votre première ligne de défense contre une cyberattaque sur votre réseau.