N’utilisez pas de mauvais mots de passe, utilisez un gestionnaire de mots de passe.
Stephen Shankland/CNET
Note de la rédaction : En reconnaissance de la Journée mondiale des mots de passe, CNET republie une sélection de nos articles sur l’amélioration et le remplacement des mots de passe.
Si vous faites partie des innombrables personnes qui utilisent imprudemment des mots de passe faciles à deviner ou réutilisent un mot de passe pour plusieurs comptes, les experts en cybersécurité ont un message pour vous : Ce n’est pas votre faute. Mémoriser un mot de passe unique et complexe pour chaque compte est impossible.
Mais c’est exactement le genre de corvée pour laquelle les ordinateurs sont doués. C’est pourquoi de nombreux experts en cybersécurité suggèrent d’utiliser un gestionnaire de mots de passe. C’est un utilitaire logiciel qui stocke en toute sécurité les mots de passe et les remplit automatiquement dans les pages de connexion. Ils vous aident à protéger chacun de vos comptes en ligne avec un mot de passe fort.
« Je recommande à tout le monde de l’utiliser », a déclaré Matias Woloski, directeur technique de la société d’authentification Auth0 et expert en sécurité des mots de passe. « Les gestionnaires de mots de passe sont aujourd’hui la meilleure alternative ».
Vous auriez probablement besoin de l’aide d’un gestionnaire de mots de passe. Le mot de passe le plus utilisé dans les violations de données reste « 123456 », selon les données de la société de cybersécurité SplashData, et le deuxième mot de passe le plus courant est, bien sûr, « password ». La personne moyenne n’utilise que 13 mots de passe uniques, et près d’un tiers a déclaré n’utiliser que deux ou trois mots de passe pour tous ses comptes, selon une enquête réalisée en 2018 par la société de logiciels antivirus McAfee.
Pour un regard plus large, consultez la couverture de CNET cette semaine sur les problèmes de mots de passe et les correctifs comme les clés de sécurité matérielles, les raisons pour lesquelles certaines anciennes règles de sélection de mots de passe sont maintenant obsolètes et un récit d’avertissement sur ce qui peut mal tourner avec un gestionnaire de mots de passe.
Vous avez plusieurs options de gestionnaire de mots de passe. Il existe des outils dédiés comme LastPass, BitWarden, Dashlane, Keeper et 1Password. Les navigateurs Web, notamment Safari, Chrome et Firefox, ont également des contrôles de mot de passe intégrés qui sont plus limités, surtout si vous utilisez plusieurs navigateurs, mais ils deviennent de plus en plus sophistiqués.
Malheureusement, les gestionnaires de mots de passe peuvent être complexes et ne fonctionnent pas toujours de manière fluide avec les sites web et les apps. C’est peut-être la raison pour laquelle seuls 3 % des internautes s’appuient principalement sur des gestionnaires de mots de passe, selon le Pew Research Institute. Woloski suggère de commencer avec l’aide d’une personne plus technique.
Pour autant, les gestionnaires de mots de passe peuvent vous aider à naviguer sur internet avec beaucoup moins de risques. Même si l’industrie technologique propose enfin de véritables alternatives aux mots de passe, et des moyens de les abandonner complètement, vous devrez toujours compter avec des dizaines, voire des centaines, de ces mots de passe pendant des années. Les gestionnaires de mots de passe peuvent aider, même s’ils ne sont pas parfaits
C’est quoi un gestionnaire de mots de passe ?
Les gestionnaires de mots de passe génèrent des mots de passe uniques et complexes pour chaque site, les stockent en toute sécurité et les saisissent sur différents navigateurs et appareils informatiques. Vous pouvez les utiliser comme des extensions de navigateur ou des applications mobiles qui remplissent à votre place les pages de connexion avec votre nom d’utilisateur et votre mot de passe.
Il y a des tonnes d’avantages. Tout d’abord, vous n’avez pas à mémoriser de mots de passe (à l’exception du mot de passe de votre gestionnaire de mots de passe). Cela signifie que vous pouvez réellement suivre des conseils de sécurité désagréables mais utiles, comme ne jamais réutiliser un mot de passe et toujours utiliser des mots de passe longs et complexes comme $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Puis, les gestionnaires de mots de passe permettent de se prémunir contre les attaques de phishing qui vous dirigent vers des sites web frauduleux et tentent de vous inciter à saisir votre mot de passe. Les gestionnaires de mots de passe offrent vos identifiants de connexion uniquement lorsque vous êtes sur le bon site web.
Enfin, de nombreux gestionnaires de mots de passe ont des fonctionnalités qui vous indiquent quand un site a subi une violation de données. Ils peuvent également vous dire si le mot de passe que vous utilisez a été retrouvé dans un stock de données d’utilisateurs volées, comme c’est le cas pour au moins 555 millions de mots de passe. Ce sont des signes que vous devez changer votre mot de passe immédiatement. Les gestionnaires de mots de passe peuvent également vous aider à trouver des mots de passe faibles ou réutilisés.
Faut-il stocker tous ses mots de passe au même endroit ?
Le conseil standard depuis des décennies est de mémoriser les mots de passe, donc les stocker à un seul endroit semble un peu faux. Et, bien sûr, il serait terrible que des pirates puissent pénétrer dans votre gestionnaire de mots de passe et accéder à tous vos comptes.
Pour autant, la sécurité des gestionnaires de mots de passe s’est avérée robuste. Les pirates n’ont fait que des progrès limités dans le vol d’informations sur les utilisateurs des gestionnaires de mots de passe — une violation est allée jusqu’à compromettre les indices pour les questions de sécurité des utilisateurs de LastPass, par exemple — mais aucune attaque connue n’a accédé aux caches de mots de passe réels.
Bien sûr, les pirates pourraient éventuellement briser cette sécurité, mais ils sont beaucoup plus susceptibles de vous cibler avec une attaque de phishing pour voler vos mots de passe, a déclaré Mark Risher, responsable de la sécurité des comptes chez Google. De plus, l’utilisation d’un gestionnaire de mots de passe limite les chances que vous tombiez dans une attaque de phishing.
Vidéo : Dans un monde de mauvais mots de passe, une clé de sécurité pourrait être votre nouveau meilleur ami
Bien sûr, vous devez être prudent. Avec tous vos œufs de mots de passe dans un seul panier de gestionnaire de mots de passe, assurez-vous de trouver un moyen de vous souvenir de votre mot de passe principal ou de votre clé secrète. Il n’y a pas de problème à l’écrire, tant que vous le conservez dans un endroit sûr. Vous pouvez également exporter vos mots de passe vers une feuille de calcul de temps en temps, tant que vous la verrouillez avec un cryptage (ou mettez une copie imprimée dans un tiroir verrouillé).
Si vous perdez l’accès à votre compte, vous devrez passer par le processus de réinitialisation du mot de passe pour tous vos autres comptes, ce qui serait un très gros mal de tête.
Inconvénients des gestionnaires de mots de passe
Malheureusement, vous devez vous attendre à des moments difficiles lorsque vous utilisez des gestionnaires de mots de passe. Le simple fait d’ajouter les informations de tous vos comptes existants au service représente un travail, bien que la plupart des gestionnaires de mots de passe offrent des outils pour importer les données de votre navigateur ou d’autres gestionnaires de mots de passe. Et il faut des étapes supplémentaires pour activer votre gestionnaire de mots de passe sur votre téléphone.
Peut-être que le plus gros problème est que certains sites Web ne jouent pas bien avec les gestionnaires de mots de passe, causant le genre de problèmes minutieux et désagréables qui vous donnent envie de jeter votre ordinateur par la fenêtre.
Par exemple, les gestionnaires de mots de passe ne remarquent parfois pas les champs de connexion. Ou ils peuvent tâtonner lorsque des sites web demandent des informations supplémentaires comme un code PIN ou votre film préféré.
Parfois, les pages web ne jouent pas bien avec les gestionnaires de mots de passe.
Brett Pearce/CNET
Pire, certains sites web bloquent la fonction de remplissage automatique, empêchant les gestionnaires de mots de passe de saisir vos identifiants de connexion. Une banque australienne, CommBank, conseille à ses clients de ne pas stocker les identifiants de leur compte bancaire sur un gestionnaire de mots de passe. Dans une déclaration, CommBank a dit qu’elle voit la valeur des gestionnaires de mots de passe, mais pense que les pirates trouveront des moyens de tromper ses clients avec des schémas d’hameçonnage sophistiqués s’ils utilisent des gestionnaires de mots de passe.
« Pour les mots de passe bancaires en ligne, nous recommandons aux clients de créer un mot de passe fort et unique pour chaque compte et de ne pas le noter », a déclaré un porte-parole de l’entreprise. Malgré tout, les experts en sécurité disent que cela rend beaucoup plus probable que les clients utilisent des mots de passe faibles ou réutilisés.
1Password s’attaque au blocage du remplissage automatique en travaillant avec les fabricants de navigateurs Web qui veulent que les sites Web autorisent la fonction, a déclaré Matt Davey, directeur des opérations de l’entreprise.
« Ce qu’ils essaient de faire, c’est de les contourner au niveau du site, et de les remplir automatiquement de toute façon », a déclaré Davey à propos des fabricants de navigateurs. 1Password va également contacter directement les sites web pour leur dire qu’ils devraient se mettre au programme et laisser leurs utilisateurs se connecter avec un gestionnaire de mots de passe.
Même les personnes techniquement compétentes luttent avec la friction des gestionnaires de mots de passe. Kimber Dowsett, une experte en cybersécurité qui a précédemment aidé à sécuriser les systèmes de la NASA et qui travaille maintenant comme directrice de l’ingénierie de sécurité chez Truss, une entreprise d’infrastructure logicielle, a été frustrée récemment lorsqu’elle a essayé de se connecter au site Web d’une banque. Elle a dû taper ses identifiants de connexion manuellement, car le site web a bloqué son gestionnaire de mots de passe.
Il y avait un dernier problème : elle ne pouvait pas savoir si un mot de passe à caractère était le chiffre zéro ou la lettre O, elle devait donc deviner.
« Une grande partie de la friction serait allégée par les développeurs d’applications permettant simplement le remplissage automatique et le collage afin que nous puissions réellement utiliser les gestionnaires de mots de passe comme prévu », a déclaré Dowsett. « Jeter une clé dans tout cela n’aide personne ».
Utiliser moins les mots de passe
Il y a de bonnes nouvelles sur deux fronts. La première est que les fabricants de Chrome, Safari et Firefox renforcent leurs propres gestionnaires de mots de passe. Apple en a intégré un dans iOS et l’active par défaut. Vous pouvez utiliser ces fonctionnalités sur les appareils que vous contrôlez à l’aide d’un mot de passe ou d’un identifiant biométrique. De plus, elles devraient rendre le stockage numérique des mots de passe plus courant et potentiellement forcer les développeurs de sites web à jouer le jeu avec des fonctionnalités comme le remplissage et le collage automatiques.
Deuxièmement, les nouvelles technologies vous permettent de moins utiliser les mots de passe. La biométrie comme vos empreintes digitales et votre visage réduit la nécessité de présenter votre mot de passe à chaque fois que vous accédez à un service. Les services d’authentification unique vous permettent de vous connecter à un site avec un autre compte, comme Google, Apple ou Facebook. Vous devrez cependant être à l’aise pour partager plus d’informations sur les services que vous utilisez avec l’un de ces titans de la technologie.
Troisièmement, l’authentification multifactorielle, les clés de sécurité et d’autres technologies d’authentification contribuent à améliorer les lacunes de sécurité des mots de passe. À terme, vous pourriez ne plus avoir à utiliser de mots de passe du tout.
Cette innovation ne remplacera pas les mots de passe de sitôt, a déclaré Dimitri Sirota, PDG de BigID, dont la société aide les entreprises à protéger les informations personnelles. Mais elle commence à ébrécher la primauté des mots de passe pour garder vos comptes en sécurité. Et c’est une bonne chose, a-t-il ajouté.
« Les mots de passe ont été la norme pendant longtemps », a déclaré Sirota. « Et une dont personne n’est particulièrement heureux ».
Première publication le 10 mars 2020 à 5h00 PT.