Comment sécuriser les mots de passe ?
Que fait-on dans ce cas ? La solution la plus simple consiste à utiliser le même nom d’utilisateur et le même mot de passe pour plusieurs sites Web. Un nom d'utilisateur est souvent une variante d'un nom personnel ou d'un surnom avec des chiffres ajoutés, une majuscule aléatoire, etc. Même si on nous prévient à chaque étape que les mots de passe doivent être longs, complexes et différents sur chaque site web, nous utilisons encore trop souvent des mots de passe simples, comme password, password12!, password1 et autres. Tout attaquant un peu plus expérimenté sera capable de forcer brutalement vos mots de passe, mais il sera alors trop tard.
Même sur les téléphones, la plupart des gens utilisent des codes PIN simples (123456, 2222, 0000...) et des modèles (swipe vers la droite et le bas...). Le déverrouillage biométrique, disponible sur presque tous les téléphones récents, n'apparaît même pas dans la liste des solutions possibles entre les mains d'un utilisateur inexpérimenté. Sans parler de la possibilité que le code PIN soit le même que celui utilisé pour accéder aux services bancaires mobiles ou aux services de trading.
Nous sommes devenus complaisants. Nous comptons sur les entreprises pour assurer la sécurité de nos données, même si nous pouvons faire beaucoup de choses nous-mêmes. Vous ne vous souviendrez pas de plus d’une centaine de mots de passe à moins d’avoir une mémoire photographique. Vous ne les écrirez pas non plus sur un morceau de papier.
Une solution consiste à gérer des mots de passe dédiés
Certains d'entre vous utilisent déjà des gestionnaires de mots de passe dans les navigateurs Chrome, Firefox, Safari... Avec eux, vous pouvez créer des mots de passe complexes, les stocker dans un « coffre-fort » et laisser le navigateur les remplir automatiquement en cas de besoin.
Le gestionnaire de mots de passe de Google est-il sécurisé ?
Le gestionnaire de mots de passe de Google est une solution beaucoup plus sécurisée que l'utilisation répétée des mêmes mots de passe, mais ce n'est toujours pas la meilleure. Le gestionnaire de mots de passe de Google n'est pas open source, nous ne pouvons donc pas savoir exactement comment il fonctionne, comment il stocke les mots de passe, etc. Sinon, même le label « open source » ne signifie pas nécessairement qu’il s’agit d’une solution sûre. Mais il existe au moins la possibilité que le code source puisse être révisé par des experts indépendants.
Ce que nous savons, c'est que Google n'utilise pas une approche de cryptage sans connaissance, ce qui signifie que Google sait tout sur les données que vous stockez sur ses serveurs. Il existe une option pour activer le cryptage local des mots de passe avant qu'ils ne soient enregistrés sur votre compte Google. Nous n'avons aucune donnée sur le nombre d'utilisateurs qui l'ont activé, mais nous pouvons supposer que ce n'est pas la majorité. Il n'y a pas non plus d'option pour définir un mot de passe principal pour accéder au gestionnaire de mots de passe. Outre la transparence, l'inconvénient est qu'il ne fonctionne pas en dehors du navigateur Chrome.
Alors faut-il l'utiliser ? Même s'il n'est pas le meilleur et n'offre pas toutes les fonctionnalités qu'offrent certains autres gestionnaires de mots de passe, il reste sûr et surtout pratique.
Comment Apple stocke-t-il les mots de passe ?
Semblable à la solution de Google, celle d'Apple est également très pratique pour les utilisateurs, car elle est disponible par défaut sur tous les appareils Apple. Avec le gestionnaire de mots de passe iCloud Keychain, vous pouvez générer des mots de passe aléatoires, les stocker, stocker les numéros de carte de crédit, le gestionnaire remplit les informations pour vous, bref très similaire à ce que font tous les autres gestionnaires de mots de passe. Il utilise un cryptage AES 256 bits pour le cryptage, les mots de passe sont synchronisés avec d'autres appareils Apple, une vérification multifacteur est disponible et ils ont récemment ajouté la possibilité d'utiliser des « clés d'accès ».
Il fonctionne de manière très similaire au gestionnaire de mots de passe de Google et présente également les mêmes inconvénients : transparence, incompatibilité en dehors de l'écosystème Apple, manque de fonctionnalités plus avancées...
iCloud Keychain est un gestionnaire de mots de passe sécurisé et une solution que la plupart des gens utiliseront sur les appareils Apple – principalement pour des raisons de commodité.
5 Les utilisateurs de % qui aiment approfondir la sécurité préfèrent un gestionnaire de mots de passe dédié. Il en existe plusieurs et ils fonctionnent de manière très similaire, il est donc difficile de déterminer lequel est le meilleur.
Bitwarden, NordPass, 1Password, RoboForm, KeePass, Keeper... Il existe de nombreux choix et ceux répertoriés sont considérés comme les plus populaires. Vous n’êtes pas obligé de vous limiter à un seul. L’un est plus facile à gérer, mais il n’y a aucune autre raison pour laquelle vous ne devriez pas utiliser deux gestionnaires de mots de passe. La plupart de ces gestionnaires proposent une version gratuite qui sera suffisante pour la plupart, mais vous pouvez éventuellement louer l'une des versions payantes pour des fonctionnalités supplémentaires, telles que l'authentification multifacteur avec des appareils tels que la YubiKey.
Étant donné que vous avez probablement déjà des mots de passe stockés dans un gestionnaire de mots de passe Google ou Apple, vous devrez d'abord les exporter pour utiliser d'autres gestionnaires de mots de passe.
Dans Chrome, accédez à Paramètres, sélectionnez Remplissage automatique et mots de passe, puis Google Password Manager. Vous remarquerez alors une autre section Paramètres sur la gauche où vous sélectionnerez Exporter les mots de passe au format CSV. Si jamais vous en avez besoin, ces paramètres vous permettent également d'activer le cryptage et d'importer des mots de passe depuis d'autres navigateurs ou gestionnaires de mots de passe.
Utilisateurs Apple, le moyen le plus simple d'exporter des mots de passe vers le trousseau iCloud est sur un ordinateur Mac. Accédez aux Préférences Système ou Paramètres, sélectionnez Mots de passe dans les sections, il vous sera probablement demandé de saisir votre mot de passe ou d'utiliser Touch ID, vous pourrez alors choisir parmi plusieurs options pour exporter tous les mots de passe. À notre connaissance, il est actuellement impossible d'exporter des mots de passe sur des iPhones sans utiliser des solutions tierces, alors assurez-vous que la synchronisation des mots de passe est activée sur tous les appareils Apple.
Vous pouvez ensuite facilement importer le fichier CSV exporté dans le gestionnaire de mots de passe sélectionné.
Que proposent les gestionnaires de mots de passe dédiés ?
Prenez Bitwarden par exemple.
Bitwarden est un gestionnaire de mots de passe sécurisé et open source. Il est extrêmement simple à utiliser, les fonctions sont élaborées, d’où sa popularité auprès des utilisateurs. Son intégrité a été vérifiée pour la dernière fois par des experts externes en 2022. Il vous permet également d'installer leur service sur votre propre serveur si vous souhaitez gérer votre propre cloud.
Son avantage est aussi qu’il est disponible sur tous les systèmes d’exploitation (Android, iOS, MacOS, Windows et aussi Linux) sous forme d’application ou d’interface web. Il peut être installé comme extension dans presque tous les navigateurs et est également compatible avec Windows Hello et Touch ID.
Bitwarden prend en charge l'authentification sans mot de passe, ce qui signifie que vous pouvez vous connecter avec un code à usage unique, une vérification biométrique ou une clé de sécurité. Bitwarden offre également une excellente prise en charge des mots de passe, y compris la possibilité de se connecter à Bitwarden avec un mot de passe, ce qui signifie que vous n'avez même pas besoin d'utiliser un nom d'utilisateur ou un mot de passe pour ouvrir le coffre-fort. Il existe également quelques extras, comme une fonctionnalité de partage de fichiers sécurisé (Bitwarden Send), une application d'authentification (malheureusement payante), et vous pouvez toujours compter sur une communauté d'utilisateurs extrêmement active.
Que sont les mots de passe ou les clés d'accès ?
Les clés d'accès sont un nouveau type d'identifiants de connexion qui vous permettent de vous connecter à des sites Web et à des services sans avoir à saisir de mot de passe. Vous n'avez pas besoin de les mémoriser, mais vous pouvez les utiliser avec les appareils que vous possédez déjà, comme un smartphone ou un ordinateur portable. Les clés d'accès sont basées sur les normes WebAuthentication ou WebAuthn. Les deux utilisent la cryptographie à clé publique.
En plus du piratage des systèmes de données, les clés d'accès ne peuvent pas être volées lors d'attaques de phishing. Les cybercriminels ont souvent recours au phishing ou à l'ingénierie sociale pour accéder au nom d'utilisateur et au mot de passe d'un utilisateur, qu'ils utilisent ensuite pour accéder à des données précieuses. La clé d'accès se compose d'une clé privée et d'une clé publique. La clé publique reste sur les serveurs de l'entreprise, la clé privée reste sur votre appareil et ne peut pas être facilement volée.
Quelle que soit la solution que vous choisissez (ou si vous vous en tenez à un gestionnaire de mots de passe Google ou Apple), utilisez quotidiennement différents mots de passe et noms d'utilisateur. Vous ne stockez pas non plus les mots de passe dans les documents Word, Google Drive ou quelque chose de similaire. Les mots de passe doivent être longs et utiliser à la fois des caractères et des chiffres. Et en aucun cas, ne confiez vos mots de passe à d'autres.
Photo de couverture : Image de starline sur Freepik