Je travaille dans le domaine de la sécurité informatique depuis 12 ans et j’utilise un gestionnaire de mots de passe depuis au moins 6 ans. Au départ cela semble être fastidieux à mettre en oeuvre au quotidien, mais je ne cesse de répéter à quel point c’est devenu nécessaire.
En 2013 j’ai publié Comment créer un mot de passe complexe et s’en rappeler, les temps ont changé. Vous devez systématiquement avoir un mot de passe complexe pour chaque site web. Je vous propose aujourd’hui plein de bonnes raisons d’utiliser un gestionnaire de mots de passe.
Ils sont simples à paramétrer et à utiliser
Avant d’utiliser mon premier gestionnaire de mots de passe, je m’imaginais devoir rester assis pendant des heures en face d’un énorme tableau, en vérifiant chaque identifiant et chaque mot de passe, et ce pour chaque site que je visitais. Personne ne se réjouis à l’avance de ce genre de corvée !
Heureusement, cela ne fonctionne pas ainsi. Un gestionnaire de mots de passe récupère votre identifiant et votre mot de passe actuels, dès qu’il remarque que vous êtes en train de les saisir au niveau d’un site internet pour la première fois. Ensuite il les stocke dans un coffre-fort à mots de passe sécurisé, en attendant la prochaine utilisation. L’idée est que le seul mot de passe que vous ayez à vous rappeler une fois que vous aurez paramétré votre gestionnaire de mots de passe, est justement le mot de passe principal du coffre-fort.
Lorsque vous travaillez et que vous êtes connecté à internet, par exemple, lorsque vous vous connecter à votre compte de messagerie, le gestionnaire de mots de passe va détecter que vous avez saisi vos identifiants et vous proposera de les sauvegarder au sein du coffre-fort. La prochaine fois que vous vous connecterez, le gestionnaire de mots de passe entre vos identifiants à votre place, et ce automatiquement. C’est aussi simple que cela !
De plus, lorsque vous changez le mot de passe de votre compte, ce que vous devriez faire sans réfléchir s’il s’agit d’un mot de passe que vous utilisez ailleurs, le gestionnaire de mots de passe détectera le changement, et le mettra à jour dans sa base pour vous.
Ils s’assurent que vos mots de passe soient uniques et complexes
Je ne peux pas faire plus simple : vous devez absolument utiliser des mots de passe uniques et complexes sur tous les sites web que vous visitez. Pourquoi ? Lorsqu’un site est piraté, les hackers vont souvent s’emparer des identifiants qu’ils ont réussi à récupérer : nom d’utilisateur et mots de passe associés, et essayer ces données sur d’autres sites web pour forcer d’autres comptes. Malheureusement, cela fonctionne plutôt bien car beaucoup de gens réutilisent leurs identifiants sur beaucoup d’autres sites (vous pouvez vérifier si vos données ont déjà été utilisées dans une telle attaque sur haveibeenpwned.com).
Cependant, comme les services en ligne prolifèrent, il est au final impossible de créer, et encore moins de se rappeler, chaque mot de passe unique pour chaque site. Heureusement, les gestionnaires de mots de passe peuvent vous aider à générer des mots de passe uniques pour vous.
Un mot de passe complexe* doit être d’une longueur acceptable, contenir un mélange de majuscules et de minuscules, avec des chiffres et des caractères particuliers. Cela signifie qu’un bon mot de passe peut ressembler à ceci : Vp$lskFOyS4h^oqI.
Il est assez complexe pour ne pas essayer d’en créer des douzaines comme celui-ci, et encore moins de tous se les rappeler. Heureusement, le gestionnaire de mot de passe s’occupe de ces 2 tâches pour vous.
Ainsi dans le pire des cas, si votre compte est concerné par une faille de sécurité, et si vous utilisez un mot de passe unique, le hacker n’aura accès qu’à un seul compte, et pas à tous vos comptes en ligne d’un coup.
*Rappelez-vous : Ce n’est pas parce qu’un site n’exige pas un mot de passe complexe que vous ne pouvez pas en utiliser. Ne simplifions pas la vie des cybercriminels !
Sérieusement, vous ne pouvez pas mémoriser tous vos mots de passe
Lorsque vous utilisez un gestionnaire de mots de passe, vos mots de passe sont mobiles et sécurisés. La plupart des gestionnaires de mots de passe vous permettent de synchroniser votre compte depuis plusieurs machines différentes (ainsi vous pouvez, par exemple, y avoir accès depuis votre domicile, et depuis les ordinateurs au travail). D’autres offrent en plus une application mobile (1Password, LastPass), ou bien une option vous permettant d’exporter les données de votre clé de chiffrement vers un fichier sécurisé ou vers une clé USB (KeePass). Toutes ces options vous permettent d’avoir accès à votre coffre-fort sécurisé alors que vous vous déplacez.
L’une de mes options favorites est le partage sécurisé d’identifiants concernant un compte utilisé par des tierces parties de confiance. Par exemple, lorsque ma compagne et moi-même, avons chacun notre propre compte personnel associé à un gestionnaire de mots de passe, nous pouvons activer une option pour partager des identifiants spécifiques entre nos 2 comptes, de manière à pouvoir avoir un accès sécurisé et garder ces identifiants synchronisés.
Cela rend l’accès à la facture mensuelle d’électricité, ou bien au compte bancaire en commun beaucoup plus facile. De plus, si l’un d’entre nous change le mot de passe sur l’un de ces comptes partagés, comme le gestionnaire de mots de passe garde une trace du changement effectué, nous avons automatiquement les identifiants mis à jour.
Cela peut vous faire peur d’avoir tous vos mots de passe centralisés en un seul et même endroit, mais tous les gestionnaires de mots de passe, dignes de ce nom, utilisent un chiffrement ultra-puissant afin de sécuriser vos données. En plus, certains proposent la double authentification 2FA.
Prêts pour tester un gestionnaire de mots de passe ? Super !
Si j’ai réussi à vous convaincre d’essayer un gestionnaire de mots de passe, le meilleur moyen pour commencer est de se lancer directement. La plupart offre une version gratuite, que vous pouvez utiliser telle quelle, avec certaines fonctionnalités avancées que vous pouvez obtenir en payant. Ci-dessous vous trouverez les 4 que je connais le mieux, mais il existe beaucoup d’autres choix possibles :
- 1Password
- Dashlane (des français, cocorico)
- LastPass
- KeePass
Alors, allez-vous vous laisser tenter par le gestionnaire de mots de passe, ou bien n’êtes-vous pas encore convaincus ? Etes-vous déjà un utilisateur fan d’un gestionnaire de mots de passe. Faites-le nous avoir dans la section commentaires.
Billet inspiré et adapté de Why you should use a password manager par Maria Varmazis, Sophos NakedSecurity.
Jérôme
petite base Keepass locale, aves sauvegarde sur disques externes… :)
oui, il y a plus “facile”.. Dashlane est sexy .. mais j’ai vraiment du mal avec l’idée de confier l’intégralité de mes mots de passes à quelqu’un et à lui faire confiance pour les garder de manière sûre :)