Small nick 01

Jérôme BENBIHI

Cinq bonnes raisons d’avoir un gestionnaire de mot de passe

 images/Sabine_D/5_bonnes_raisons_580.jpgJérôme BENBIHI CEO ADENIS

 

En matière de sécurité informatique, les règles de création de mots de passe sont simples !
Alors, pourquoi vous en passer ?

Pendant des années, on nous a dit que bientôt les mots de passe disparaîtraient ! Que les nouveaux systèmes d'identité intelligents les remplaceraient ! Mais force est de constater malgré tout que les mots de passe ont encore de beaux jours devant eux ! Alors, sauf si vous souhaitiez devenir une cible facile pour les pirates du web, vous devez vous protéger en adoptant les bons mots de passe. Mais, si les grandes entreprises peuvent créer des stratégies de mot de passe efficaces en utilisant un logiciel spécifique, qu’en est-il des petites entreprises et des particuliers ?
Selon l’usage, les règles de création de mots de passe sont simples : il vous suffit d’utiliser une série de chiffres, symboles et lettres ; de ne jamais réutiliser les mêmes mots de passe ; et d’activer si possible l'authentification à deux facteurs. Le plus prudent ensuite est de modifier vos mots de passe tous les ans pour éviter d'être piraté.
Mais le mieux est encore d’utiliser un gestionnaire de mots de passe.
Alors, il est vrai que certains gardent la liste de leurs mots de passe dans un fichier chiffré et que c’est précisément la fonction d’un gestionnaire de mots de passe logiciel. Mais quoique certains en pensent, le gestionnaire de mots de passe reste une bien meilleure solution et ne doit plus être une option mais un choix essentiel. On vous explique pourquoi…

Un gestionnaire de mots de passe logiciel : comment ça marche ?

Sur PC ou sur Mac, il vous suffit d’installer un programme qui sauvegarde les informations d'identification dans une base de données dont le contenu est protégé par le chiffrement. Pour déverrouiller la base de données de mots de passe, vous devez ensuite entrer une clé de déchiffrement que vous êtes le seul à connaître.
Les gestionnaires de mots de passe qui synchronisent votre base de données de mots de passe sur le cloud utilisent le système de chiffrement de bout en bout. Autrement dit, vos données sont chiffrées dès leur envoi et restent chiffrées durant tout leur transfert vers le serveur. Par la suite, lorsque vous vous connectez à une application sur votre appareil local, le programme envoie un mot de passe haché à sens unique pour vous identifier. Mais ce dernier ne pourra pas être utilisé pour déverrouiller le fichier lui-même.
En dehors de vous, personne n'aura donc accès à la clé de déchiffrement. Elle ne sera stockée nulle part, c’est pour cela qu’il ne faudra pas l’oublier ! Car, il n’existe aucun moyen de déchiffrer une clé protégée.

Un gestionnaire de mots de passe logiciel : quels avantages ?

1 ♦ L’intégration du navigateur

La plupart des gestionnaires de mots de passe incluent des extensions de navigateur qui enregistrent automatiquement les informations d'identification lorsque vous créez un nouveau compte ou lorsque vous vous connectez à l'aide de ces informations pour la première fois. Ce système vous permet également de saisir automatiquement vos données d'identification lorsque vous visitez un site Web correspondant.
L’avantage, comparé à une simple liste manuelle, c’est que vous n'aurez pas besoin de rechercher un fichier et de lui ajouter un mot de passe pour enregistrer vos identifiants. Et vous n'aurez pas besoin non plus d'ouvrir votre fichier liste pour rechercher, copier et coller votre mot de passe.

2 ♦ La génération de mot de passe

Chaque gestionnaire de mot de passe contient un générateur de mot de passe capable de créer un mot de passe aléatoire jamais utilisé auparavant. Et si ce mot de passe ne vous plaît pas, il vous suffit de cliquer pour en créer un autre. Vous pouvez ensuite utiliser ce mot de passe aléatoire lors de la création d'un nouveau compte ou de la modification d'un compte existant.
La plupart des gestionnaires de mots de passe vous permettent aussi de personnaliser la longueur et la complexité d'un mot de passe créé si le site vous impose des critères de mot de passe particuliers.

3 ♦ La protection contre le phishing

Le gestionnaire de mots de passe est également un bon moyen de protection contre le phishing. Si vous visitez par exemple un site qui a parfaitement réussi à dupliquer la page de connexion de votre banque, votre gestionnaire de mots de passe n'entrera pas vos informations d'identification enregistrées, car il reconnaîtra que l'URL de ce faux site ne correspond pas aux données enregistrées.
Cette protection est sans doute la plus méconnue et pourtant l’une des plus importantes. En effet, si vous gérez vos mots de passe manuellement, en copiant collant à partir d'une liste, vous collerez votre nom d'utilisateur et votre mot de passe sur ce faux site sans réaliser que c'est un site frauduleux.

4 ♦ L’accès multiplateforme

Les gestionnaires de mots de passe fonctionnent sur plusieurs appareils (ordinateurs, appareils mobiles) et vous donne la possibilité de synchroniser votre base de données de mots de passe chiffrée sur le cloud. L'accès à ce fichier est sécurisé avec un système d’authentification.
Mais si vous gérez vos mots de passe manuellement, vous devrez transférer votre liste manuellement pour l’avoir sur d’autres appareils ou la conserver sur le cloud. Charge à vous également ensuite de vous assurer que chaque copie est correctement synchronisée.

5 ♦ La protection contre la surveillance

Autre avantage non négligeable : les gestionnaires de mots de passe sont une bonne protection contre les regards indiscrets au-dessus de votre épaule. Quelqu’un peut très bien vous regarder taper, en direct ou à l'aide d'une caméra de surveillance, et ainsi facilement voler vos identifiants tandis que grâce aux gestionnaires de mots de passe ces données ne sont jamais visibles.

Un gestionnaire de mots de passe logiciel : Pourquoi ? On répond aux idées reçues…

Vous pensez avoir un très bon système de gestion de vos mots de passe ?

Ok… Mais la plupart du temps ce système consiste à réutiliser un mot de passe de base facile à retenir et qui s’appuie souvent sur un suffixe ou un préfixe associé, modifié ensuite site par site. Le problème avec ce système c’est que vos mots de passe ne sont pas aléatoires, et que si quelqu'un découvre votre modèle, il aura quasiment la clé pour tout déverrouiller.
Par ailleurs, ce type de système ne fonctionne pas à grande échelle. Il se heurte aux critères de mots de passe de certains sites qui, par exemple, n'autorisent pas les caractères spéciaux ou limite la longueur du mot de passe, ou d’autres encore qui n’acceptent pas votre nouveau mot de passe car il est trop proche du précédent vous forçant ainsi à créer une exception à votre système, dont vous devrez bien évidemment vous souvenir !
Vous vous retrouvez alors avec une liste de mots de passe qui ne sont pas vraiment uniques, ni tout à fait aléatoires, mais pas du tout sécurisés ! Alors, pourquoi ne pas simplement utiliser un logiciel fait pour ça ?

Vous pensez que si quelqu'un vole votre fichier de mots de passe, il aura tous vos mots de passe ?

Non, pas vraiment… Si quelqu’un vole votre fichier de mots de passe, il se retrouvera avec des données chiffrées indéchiffrables sans la clé de déchiffrement que vous êtes le seul à connaître.
Bien évidemment, la prudence est de mise lors du choix de votre clé. Elle doit être suffisamment longue et complexe pour que personne ne puisse la deviner, même pas votre meilleur ami qui vous connait par cœur !
Autre conseil : n’écrivez pas cette clé sur une note de votre téléphone ou un petit papier sur votre bureau. Stockez-la dans un endroit sûr ou communiquez-la à une personne de confiance afin qu’elle puisse déverrouiller votre fichier de mots de passe si vous êtes dans l’incapacité de le faire.

Vous ne faites pas confiance au cloud ?

Ok… Vous ne voulez pas prendre le risque de conserver votre base de données complète de mots de passe sur le cloud. Mais vous devez savoir que le chiffrement des données combiné à une clé de déchiffrement bien choisie rend le risque quasiment nul.
Et si, malgré tout, vous ne faites pas confiance au cloud, vous avez d’autres choix. Certains gestionnaires de mots de passe offrent la possibilité de stocker une copie locale de votre fichier crypté sans synchronisation cloud. Dans ce cas, vous renoncer à utiliser votre gestionnaire de mots de passe sur plusieurs sites ou alors vous synchroniser manuellement vos fichiers entre vos différents appareils.

Vous pensez que vous n’êtes pas une cible ?

Et pourtant si… Il ne suffit pas d’être journaliste, activiste, membre d'un parti politique, sous-traitant d’une grande firme pour être une cible ! Sur le web, tout le monde est potentiellement une cible. Il est très facile pour un site frauduleux de pirater vos mots de passe et de les utiliser ensuite sur d’autres sites plus importants (banque ou autres) et ainsi vous causer préjudice. Ne l’oubliez pas !

 

Article publié sur LinkedIn

Laissez un commentaire