Je recommande depuis longtemps l’utilisation des gestionnaires de mots de passe, et il existe quelques solutions efficaces sur le marché.
En choisissant un gestionnaire de mots de passe, nous devons prendre une décision concernant le stockage des mots de passe, la réputation, l’intégration dans le navigateur, les options de partage des identifiants, le choix d’un coffre-fort basé dans le Cloud ou en local, et enfin le coût.
Cependant, pour beaucoup d’entre nous, l’unique question reste tout simplement la suivante : pourquoi utiliser des gestionnaires de mots de passe ?
Il peut être difficile de convaincre des personnes, moins sensibles que vous en matière de cybersécurité, d’utiliser des gestionnaires de mots de passe, car il ajoute une complexité supplémentaire à une problématique que beaucoup considèrent déjà comme un casse-tête.
Cela dit, deux poids lourds sont récemment entrés en scène, et ils vont probablement aider les gestionnaires de mot de passe à devenir plus populaires : iCloud Keychain d’Apple et Smart Lock de Google.
Les deux sont intégrés et activés par défaut, ce qui peut aider les utilisateurs à franchir le pas, concernant l’adoption d’un gestionnaire de mots de passe.
Gestionnaires de mots de passe intégrés
Le véritable objectif des gestionnaires de mot de passe est de vous libérer du fardeau que représente le fait d’avoir à se rappeler de tous vos mots de passe. En principe, une fois ce fardeau éliminé, nous devrions être plus enclins à utiliser des mots de passe différents pour chacun des sites que nous visitons et applications que nous utilisons, au lieu de réutiliser le même (je parle bien sûr de spécimens tels que passw0rd1
) ou bien de faire des itérations faibles autour du même mot de passe (passw0rd2
,passw0rd3
…).
A l’heure actuelle, ces gestionnaires de mots de passe font exactement ce que vous attendez d’eux. Ils enregistrent les mots de passe que vous saisissez sur un appareil ou au niveau d’un site web, ils les stockent sous forme chiffrée dans le Cloud, puis remplissent automatiquement les champs appropriés avec vos identifiants, lors de votre prochaine connexion, afin que vous n’ayez pas à les mémoriser.
Vos identifiants stockés sont liés à un compte d’identification central pour chaque service. Si vous êtes connecté à votre compte Google ou iCloud, par le biais de plusieurs appareils ou navigateurs, l’un de ces appareils peut accéder à vos identifiants, et ce quel que soit l’endroit où vous les avez saisis la première fois.
Ainsi, l’utilisateur d’un iPhone ou d’un Android peut entrer ses identifiants dans un formulaire web sur son smartphone, puis se connecter à ce même site web à l’aide du navigateur Safari ou Chrome sur son ordinateur portable, sans avoir à se souvenir du mot de passe, à partir du moment où il se connecte avec le même compte iCloud ou Google sur les deux appareils.
Il convient de noter que l’iCloud Keychain d’Apple peut également stocker des informations de cartes de crédit, mais de nombreux autres gestionnaires de mots de passe le proposent également.
iCloud Keychain et Smart Lock sont activés automatiquement, invitant les utilisateurs à sauvegarder leur nom d’utilisateur et mot de passe pour la prochaine connexion, comme les navigateurs proposent déjà de le faire depuis des années. Mais maintenant ces informations ne sont pas simplement stockées localement, ou en clair. Ainsi, vous ne serez plus coincé avec un ancien mot de passe sur un navigateur que vous n’avez pas utilisé depuis longtemps, car les identifiants seront synchronisés pour vous permettre d’utiliser la dernière version.
Quand les autres gestionnaires sont gagnants
Smart Lock et iCloud Keychain ont encore des progrès à faire, bien sûr. Ils sont pour la plupart dépourvus de fioritures en tous genres, ils chiffrent, transmettent, puis stockent vos mots de passe de manière centralisée dans le Cloud, et vous permettent de verrouiller votre gestionnaire de mots de passe avec un mot de passe principal et/ou par le biais d’une fonction de sécurité biométrique. Plutôt standard jusque-là !
Smart Lock ne génère pas de mots de passe pour vous, bien qu’iCloud le fasse, ainsi les utilisateurs de Google doivent encore et toujours imaginer un mot de passe fort, avec le risque évident que beaucoup ne fassent pas l’effort. Smart Lock proposera simplement plusieurs copies de passw0rd1
, au lieu d’une collection de mots de passe forts et uniques.
Quand les autres gestionnaires sont perdants
Un domaine où Google et Apple ont une longueur d’avance, par rapport à certain nombre de gestionnaires de mots de passe, est le stockage des identifiants pour les applications sur smartphones : des gestionnaires de mots de passe tiers prennent en charge les identifiants des applications, mais pas tous. Depuis Apple iOS 11, iCloud Keychain prend en charge les connexions aux applications avec AutoFill.
Les utilisateurs d’iOS 11 peuvent enregistrer des identifiants, non seulement pour les formulaires web, mais également pour les applications isolées. Ces identifiants sont enregistrés au niveau de l’iCloud Keychain, et lorsque l’utilisateur se connecte de nouveau à l’application, il a la possibilité de demander à AutoFill de saisir automatiquement ses identifiants et de se connecter.
De même, Google mentionne que Smart Lock peut remplir les identifiants pour certaines applications, mais pas pour toutes.
Ainsi, ceux qui utilisent des gestionnaires de mots de passe tiers ont encore quelques actions à entreprendre si l’application ne récupère pas les identifiants au niveau des gestionnaires de mots de passe (quitter l’application, se connecter au gestionnaire de mot de passe, copier/coller les identifiants).
Reste à voir si Apple ou Google vont faciliter l’extraction d’identifiants des gestionnaires de mots de passe tiers, ou s’ils laisseront le soin aux développeurs d’applications isolées de les prendre en charge comme ils le font aujourd’hui.
Comment activer ou désactiver ces gestionnaires de mots de passe ?
Si vous utilisez un smartphone Apple ou Google récemment mis à jour, à moins d’avoir fait le nécessaire pour désactiver votre gestionnaire de mots de passe, il est probablement actif et fonctionne déjà. Mais si vous voulez vous assurer que le service est activé, ou si vous voulez le désactiver, voici la marche à suivre :
- Mot de passe de Google Vault : rendez-vous sur passwords.google.com, connectez-vous et désactivez Google Smart Lock.
- iCloud Keychain d’Apple : connectez-vous à votre compte iCloud sur un Mac ou un iPhone, et vérifiez les options de l’iCloud dans les paramètres et sélectionnez l’option “Keychain”.
Comme ces services sont associés à votre téléphone, le choix sera certainement plus facile pour ceux qui jusque-là étaient réfractaires à l’idée d’utiliser un gestionnaire de mot de passe. Et pour ceux qui veulent voir davantage d’internautes utiliser des gestionnaires de mots de passe, même s’ils ne sont pas encore parfaits, c’est une très bonne initiative !
Billet inspiré de Smart Lock and iCloud Keychain – password managers for the rest of us, sur Sophos nakedsecurity.