De nombreuses personnes ont encore des pratiques de sécurité déficientes, notamment en ce qui concerne les mots de passe. Ils les réutilisent, se fient à des mots de passe faciles à craquer ou ne savent pas que les recommandations ont changé. Les raisons qu'ils invoquent pour ne pas utiliser un gestionnaire de mots de passe ne sont ni folles ni stupides - leurs sentiments sont tout à fait compréhensibles. Mais elles sont toujours erronées.
Les mots de passe sont semblables aux serrures de la porte d'entrée d'une maison. Et lorsque vous vivez dans une ville, tout le monde met au moins une serrure. Mais selon la serrure, il ne faut qu'une minute à un cambrioleur expérimenté pour la franchir. Il faut au minimum une serrure à pêne dormant – qui ne peut être ouvert que par une clé ou une poignée – et, dans les quartiers plus fréquentés ou plus difficiles, une porte plus épaisse, des charnières plus robustes et des vis plus longues pour la gâche du pêne dormant.
Se protéger sur le Web comme on protège sa maison
Et pourtant, il ne faut pas se fier uniquement aux clés pour les serrures de porte. De nos jours, il est possible d’adapter son dispositif de sécurité pour se faciliter la vie tout en la rendant plus sûre, par exemple en utilisant des claviers PIN, des lecteurs Bluetooth et d'autres méthodes pour entrer.
Il en va de même pour les gestionnaires de mots de passe. Il est possible d’en choisir un, quels que soient les besoins ou les préoccupations – et il n’y a pas besoin de réorganiser sa vie pour cela. Pour preuve, nous avons passé en revue les six principales raisons pour lesquelles les gens n'utilisent pas de gestionnaire de mots de passe, en les décortiquant une par une.
Raison 1 : J'ai mon propre système et il fonctionne bien
Beaucoup de gens croient encore que l'utilisation de chiffres et de symboles à la place des lettres ou le fait de s'inspirer d'un mot de passe de base constituent une protection suffisante. Malheureusement, ces stratégies ne sont plus assez solides et ne le sont plus depuis longtemps. En d'autres termes, il est de plus en plus facile de forcer la serrure d'un accès numérique.
On peut parier sur le fait que l’on ne sera jamais victime d'une tentative de prise de contrôle d'un compte, mais c’est un pari risqué. Les violations de données ne font qu'augmenter en fréquence (et en portée), et les retombées potentielles augmentent également à mesure que les services vitaux se déplacent en ligne. Et même si l’on génère ses propres mots de passe longs ou même des mots de passe aléatoires, en garder la trace sera soit moins protégé que dans un gestionnaire de mots de passe (une feuille de calcul avec un nom anodin n'est pas sûre), et repose en grande partie sur une bonne mémoire.
Raison 2 : Cela prend trop de temps
Chacun peut configurer un gestionnaire de mots de passe pour qu'il remplisse automatiquement ses informations de connexion, ainsi que pour qu'il génère et enregistre les mots de passe - ici le trousseau iCloud sur iPhone. (Crédit : DR)
C'est faux ! Taper ses informations de connexion prend plus de temps que si un gestionnaire de mots de passe s'affiche et remplit automatiquement les informations d'identification pour soi. Donc, même si chacun peut avoir l'impression que l'utilisation d'un gestionnaire de mots de passe ralentit le processus, ce n'est pas le cas. Pour ce qui est de la configuration du gestionnaire de mots de passe, certains d'entre eux ne demandent aucun travail pour faire partie du quotidien. Ceux qui sont intégrés aux écosystèmes de Google, Apple et Microsoft (et même aux navigateurs comme Firefox) se connectent au compte existant et offrent une gestion automatisée des mots de passe sur tous les appareils.
Même les gestionnaires de mots de passe tiers comme Lastpass sont assez transparents si l’utilisateur a quelques minutes pour s’inscrire, puis installer une extension de navigateur et une application mobile. Il se peut qu’il doive également modifier un ou deux paramètres système pour assurer une intégration complète dans le flux. Une fois cette étape franchie, l'expérience est presque aussi facile qu'avec les gestionnaires de mots de passe traditionnels, et l’utilisateur bénéficie de fonctions plus robustes. Il reste bien sûr possible de saisir ses mots de passe au fut et à mesure que l’on se connecte à ces comptes, aucun besoin de les saisir tous en même temps.
Raison 3 : Cela coûte trop cher
Aucun besoin de dépenser un seul centime pour un bon gestionnaire de mots de passe. Certes, les gestionnaires de mots de passe payants comme Endpass ou Lastpass sont souvent recommandés, mais c'est en raison de leurs fonctions utiles supplémentaires, et non de leur niveau de protection. Un service payant offrira un éventail plus large d'options d'authentification à deux facteurs (comme des clés d'authentification matérielles ou la possibilité, dans le gestionnaire de mots de passe, de générer des jetons logiciels), un partage plus facile des mots de passe, des plans familiaux avec accès collectif aux mots de passe, des fonctions spéciales pour les voyages, etc.
Bitwarden, un gestionnaire de mots de passe gratuit, offre beaucoup de fonctionnalités. Pas besoin de dépenser de l'argent pour avoir une bonne sécurité. (Crédit : Bitwarden)
Mais un bon gestionnaire de mots de passe gratuit stocke toutes les informations de connexion en toute sécurité et génère facilement des mots de passe longs et aléatoires pour chaque site Web et chaque application. Et tout comme les gestionnaires de mots de passe payants, il reconnaîtra les sites visités et proposera de remplir automatiquement les informations d'identification, ainsi que de prendre en charge l'authentification à deux facteurs de base. Les meilleurs services gratuits proposent également de partager des mots de passe en toute sécurité, de définir un accès d'urgence pour les contacts de confiance et de générer des noms d'utilisateur uniques (pas seulement des mots de passe), etc.
Raison 4 : Avoir tous mes mots de passe au même endroit est dangereux
Personne n’a tort sur ce point. L'idée de mettre tous ses mots de passe au même endroit peut sembler en contradiction directe avec la sécurité. Si quelqu'un s'y introduit, la suite risque de se compliquer. Mais l’on peut atténuer ce problème sans trop de difficultés. Sa première ligne de défense : choisir un bon mot de passe principal et activer l'authentification à deux facteurs. Il s'agit sans doute de la mesure la plus importante que l’on puisse prendre pour se protéger. Il faut également protéger ses comptes en exigeant un code PIN, une authentification biométrique ou un mot de passe principal pour toutes les extensions de navigateur et les applications installées.
Parmi les possibilités, utiliser une application comme Authy propose de générer une authentification à deux facteurs. (Crédit : Authy)
La façon dont chacun choisit de stocker ses mots de passe peut également minimiser ou éliminer ce problème. Par exemple, en s’appuyant sur KeePass comme gestionnaire, celui-ci donne un contrôle total sur le fichier contenant toutes les informations de connexion. Il suffit de l’enregistrer sur un PC ou un disque externe de confiance et l'accès aux mots de passe restera limité. Les mots de passe peuvent également être répartis entre différents services et applications. On peut imaginer s’inscrire à la fois à LastPass et à Bitwarden, en stockant un mélange de comptes dans chacun. Autre alternative : placer les informations relatives aux comptes de moindre valeur dans un gestionnaire basé sur le cloud, tandis que les informations relatives à ses comptes de grande valeur restent enfermées dans un fichier KeePass. Pour tous ces scénarios, posséder les deux extensions de navigateur ou applications installées sur les différents appareils permettra d’avoir une utilisation simultanée.
KeePass n'a peut-être pas l'air de grand-chose, mais il fait le travail en donnant un contrôle total sur la base de données de mots de passe. On peut également opter pour l'un de ses forks, comme KeePassXC, pour une interface plus moderne.
Raison 5 : Stocker mes mots de passe dans le cloud semble risqué
C'est une préoccupation légitime. Même l'entreprise la plus diligente peut présenter une vulnérabilité dans son système. Les bugs sont une partie malheureuse, mais régulière du développement de logiciels. Mais des options existent. Comme mentionné précédemment, KeePass enregistre les mots de passe dans un fichier local, ce qui permet de ne pas stocker ces données dans le cloud. Il est également possible de bricoler sa propre solution de stockage dans le cloud en téléchargeant un fichier de coffre-fort KeePass vers un fournisseur de stockage cloud auquel on fera confiance (un fournisseur qui dispose d'un nombre suffisant d'ingénieurs pour se prémunir correctement contre les pirates informatiques ou de garanties adéquates contre les employés malhonnêtes), par exemple Dropbox, OneDrive, iCloud Drive ou Google Drive.
On peut envisager d’opter pour un système hybride. Utiliser un gestionnaire de mots de passe en ligne pour les comptes de valeur moyenne ou faible (ceux qui contiennent l’adresse et les informations de facturation, mais pas plus), tandis que les comptes financiers et autres comptes très personnels sont stockés dans un environnement plus étroitement contrôlé.
Raison 6 : Je vais être coincé avec un gestionnaire de mots de passe que je déteste
C’est tout l’inverse. La possibilité d'exporter ses mots de passe est une pratique standard pour tous les gestionnaires de mots de passe réputés. Les meilleurs services offrent d’ailleurs d'exporter des mots de passe sous forme de fichier chiffré, ce qui minimise le risque que des données sensibles tombent entre de mauvaises mains.
Nous reviendrons dans un prochain sujet sur les solutions à destination des entreprises avec la montée en puissance du passwordless.